Навигация
Реклама
Реклама

Положение о защите персональных данных (РОДО). Изменения в 2018 году

  1. определения
  2. Обязанности контроллера данных
  3. IOD заменит ABI
  4. Какие документы разрабатывать?
  5. санкции

С 25 мая 2018 года вступит в силу Постановление Европейского парламента и Совета (ЕС), регулирующее защиту персональных данных. Оставалось мало времени для реализации своих записей. Однако санкции за неиспользование могут иногда быть очень суровыми.

Для наглядности - персональные данные уже защищены. Действующий закон, действующий с 1997 года, вскоре изменит свою форму. Он будет заменен Регламентом Европейского парламента и Совета (ЕС) от 2016 года. Как сейчас, как правило, он будет обязательным для всех субъектов, обрабатывающих персональные данные, и, следовательно, также - по большей части - предпринимателей. Персональные данные обрабатываются не только крупными организациями с мощными базами данных, но и небольшими, которые имеют информацию о сотрудниках или подрядчиках. Регулирование очень обширное, намного больше, чем действующий закон о защите персональных данных, поэтому здесь невозможно обсудить все его положения. Давайте сосредоточимся только на избранных.

определения

Регламент определяет такие термины, как «персональные данные», «обработка», «конфиденциальные данные», «профилирование», «администратор» и т. Д. Из основных условий, пожалуйста, обратите внимание, что:

  • «Персональные данные» означают информацию об идентифицированном или идентифицируемом физическом лице («субъект данных»); идентифицируемое физическое лицо - это лицо, которое может быть прямо или косвенно идентифицировано, в частности на основе идентификатора, такого как имя, идентификационный номер, данные о местоположении, интернет-идентификатор или один или несколько конкретных факторов, определяющих физические, физиологические, генетические, психологические, экономическая, культурная или социальная идентичность физического лица. Таким образом, личными данными могут быть: имя и фамилия, номер PESEL, адрес места жительства, налоговый идентификационный номер, номер телефона, номер банковского счета, псевдоним, состояние здоровья, преступность, сексуальные предпочтения и т. Д. Тем не менее, они должны быть достаточно идентифицируемыми, чтобы позволить человеку быть идентифицированным.

пример

Если номер банковского счета не идентифицирует владельца среднего «Kowalski», в связи с именем и фамилией владельца, личные данные уже предоставлены.

  • «Обработка» означает операцию или набор операций, выполняемых с персональными данными или наборами персональных данных в автоматическом или неавтоматизированном режиме, например сбор, запись, систематизация, упорядочивание, хранение, адаптация или изменение, загрузка, просмотр, использование, раскрытие посредством отправки, распространения или другие типы совместного использования, сопоставления или объединения, ограничения, удаления или уничтожения

пример

Формально говоря, если мы напишем на карточке имя, фамилию и телефон клиента, это обработка его личных данных.

  • «Набор данных» означает структурированный набор персональных данных, доступных в соответствии с указанными критериями, независимо от того, является ли набор централизованным, децентрализованным или функционально или географически распределенным.

пример

Что касается предыдущего примера, если мы сохраняем данные клиентов без каких-либо конкретных критериев на страницах и выбрасываем их в ящик с другими карточками, чаще всего нам не придется заниматься сбором личных данных.

Обязанности контроллера данных

Регламент определяет ряд обязанностей администратора данных, в нашем случае это просто предприниматель. Среди них можно указать обязательство:

  • продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных (если обработка происходит на основе согласия);
  • обеспечение субъекта данных информацией, указанной в ст. 13 и 14 Положения (в том числе: личность и контактные данные администратора, цель обработки персональных данных, получатели персональных данных, срок хранения персональных данных);
  • исправление по требованию лица, чьи данные обрабатываются, неверно относительно его персональных данных;
  • удаление персональных данных (если выполняются условия, изложенные в статье 17 Регламента, т. е. лицо отозвало согласие и не имеет оснований для обработки, или персональные данные больше не нужны для целей, для которых они были собраны), или ограничивают их обработку (если они имеют место помещения, указанные в статье 18 Правил, например, в период, в течение которого администратор проверяет действительность оговорок лица в отношении правильности его данных), по запросу субъекта данных;
  • осуществляет соответствующие технические и организационные меры для обработки, которая должна быть выполнена в соответствии с настоящим Регламентом и иметь возможность продемонстрировать его;
  • в случае нарушения защиты персональных данных, без неоправданной задержки - если это возможно, не позднее, чем в течение 72 часов после обнаружения нарушения - сообщить об этом в надзорный орган (президенту Управления защиты персональных данных), если только маловероятно, что нарушение приведет к риск нарушения прав или свобод физических лиц. Если нарушение защиты персональных данных может привести к высокому риску нарушения прав или свобод физических лиц, оно также уведомляет субъект данных о нарушении.

IOD заменит ABI

Что важно, вступление в силу постановления означает конец существования администраторов информационной безопасности. Они будут заменены инспекторами по защите данных. Как и в большинстве случаев, администратор сможет и не должен их устанавливать. Исходя из этого принципа, регулирование в отношении предпринимателей содержит определенные отступления, которые, тем не менее, не будут применяться в большинстве случаев к микро- и малым предприятиям.

Какие документы разрабатывать?

Польский закон о защите личных данных довольно требователен, когда речь идет о защите личных данных. Таким образом, компании, которые осуществляют надлежащую обработку персональных данных, уже разработали такие документы, как, например:

  • политика безопасности,
  • инструкция по управлению системой ИКТ,
  • реестр файлов персональных данных,
  • реестр лиц, уполномоченных на обработку персональных данных.

Кроме того, ABI регулярно сообщает о соответствии обработки персональных данных положениям о защите персональных данных. Из-за вышеизложенного может оказаться, что некоторым организациям потребуется лишь незначительное обновление своих документов. Тем более, если мы заметим, что в нормативном документе отсутствует документация такого важного значения, как текущий акт, и элементы, которые он предписывает создать, уже могут быть включены в текущую документацию. Среди немногих документов, указанных в постановлении, следует указать в реестре действия по обработке персональных данных, выполняемые контролерами данных или от их имени и содержащие такую ​​информацию, как, например:

  • имя, фамилия, имя и контактные данные администратора и любых со-контролеров, а также, при необходимости, представителя администратора и сотрудника по защите данных;
  • цели обработки,
  • описание категорий субъектов данных и категорий персональных данных;
  • категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или в международных организациях.

Это важная информация для предпринимателей, на которых работает менее 250 человек. Они могут быть освобождены от обязанности вести учет обработки персональных данных, если они обрабатывают персональные данные:

  • не вызывает риск нарушения прав или свобод субъектов данных,
  • является спорадическим,
  • не включает в себя личные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или идеологические убеждения, членство в профсоюзе, генетические данные, биометрические данные, данные о здоровье, сексуальности или сексуальной ориентации физического лица,
  • не включает в себя личные данные относительно осуждений и нарушений закона.

санкции

В настоящее время закон предусматривает ограниченную возможность применения финансовых санкций к предпринимателям, которые не соблюдают его положения. Регулирование будет гораздо более строгим в этом отношении. Штрафы, которые будут предусмотрены, составят до 20 000 000 евро, а в случае предприятий - даже 4% их мирового оборота.

На рынке существует множество организаций, которые предлагают аудиторские проверки правильности применения правил GDPD. Их легко найти в интернете. Соответствующие правила также могут быть реализованы с помощью юридических и адвокатских контор. Стоимость аудита и подготовки соответствующих документов может составлять от нескольких сотен до нескольких тысяч злотых. В то же время кажется, что расстояние должно быть приближено как к самым дешевым, так и к самым дорогим. Важным является то, что использование услуг внешних юридических лиц не является необходимым - предприниматель может самостоятельно внедрить правила GDPR.

Важным является то, что использование услуг внешних юридических лиц не является необходимым - предприниматель может самостоятельно внедрить правила GDPR

Правовые акты:

  1. Регламент (EU) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC (общее положение о защите данных) Журнал Офис. EU L 119/1;
  2. Закон от 29 августа 1997 года о защите персональных данных, Dz. Единица 2016 года +922

Мы решили организовать маркетинговую кампанию, и нам интересно, стоит ли привлекать маркетинговое агентство на аутсорсинг или, возможно, самостоятельно ...

Какие документы разрабатывать?
#
Пользовательское соглашение | Для правообладателей www.ruqmida.ge24d33aa Copyright © 2016 Все права защищены.