Time Group | 10 вещей, которых вы должны знать о RODO - Time Group

Опубликовано: 14.10.2018

C 25 мая 2018 года вступает в силу новое законодательство о охране личных данных в Польше. Физические лица получат право на удаление своих личных данных из любых источников, а фирмы и государственные институты должны будут провести ряд изменений. За невыполнение требований нового законодательства можно будет схлопотать штраф в размере даже 20 миллионов евро.

Rozporządzenie o Ochronie Danych Osobowych (RODO) – это новое законодательство, которое распространяется на все страны ЕС, которое описывает совсем иначе (в сравнении со старым законодательством) механизмы обработки, использования и хранения персональных данных в фирмах и государственных организациях. Каждая фирма должна учесть новое законодательство в своей деятельности до 25 мая 2018 года.

Кого касается RODO?

Данное законодательство касается абсолютно всех фирм и государственных организаций Польши, которые накапливают и используют персональные данные физических лиц. Что интересно – RODO должны учесть в своей деятельности абсолютно все организации государственных органов, ранее на них не распространялось действие такого законодательства. Сегодняшние изменения касаются как больших фирм, так и каждое госучреждение Польши, даже те небольшие фирмы, в которых работает всего несколько человек, интернет-магазины, школы, и все-все, кто так или иначе хранит данные о физических лицах.

Новое законодательство вводит ряд обязанностей, по новому описывает ответственность, а так же финансовые санкции. Новые штрафы могут измеряться в сотнях тысяч злоты или даже в миллионах евро, в зависимости от фирмы, которая будет наказана.

Кроме этого вводится ряд других изменений:

• расширение категорий ответственности за нарушение,

• на фирмах будет определен руководитель, который непосредственно отвечает за хранение персональных данных,

• вводится понятие инспектора персональных данных (IOD),

• вводится обязательство проведения аудитов безопасности, а так же ведения журналов рисков и нарушений.

Это только некоторые изменения, которые требуют организационных изменений в вашей фирме.

10 важных изменений связанных с RODO

1. Финансовые наказания

RODO вводит финансовое наказание за отсутствие внедрения и соответствия предприятия новым законам по охране персональных данных.

Фирмы могут получить штрафы от 10 до 20 миллионов евро или от 2% до 4%  общего оборота предприятия.

Для государственных организаций предусмотрен штраф на уровне 100.000 злотых.

Штрафы будут применяться пропорционально к допущенным нарушениям.

2. Непосредственная ответственность организации

За нарушения законодательства о охране персональных данных будет ответчать непосредственно руководитель фирмы, отдела, школы, госорганизации. Ответственность является непосредственной и назначение инспектора охраны персональных данных в фирме или передача этой функции сторонней фирме не освобождает от этой ответственности. А потому каждый президент правления, директор, бурмистр, мэр города должен соответственным образом приготовиться к RODO. Руководитель предприятия является ответственным лицом как перед контролирующим органом, так и перед судами соответствующих инстанций. Нет возможности перенести эту ответственность на кого-то из работников предприятия.

3. Инспектор охраны данных (IOD) – новая функция

Инспектор охраны данных (IOD) – это новая функция ответственного лица в организации, которое занимается не только вопросами персональных данных, но на котором лежит обязанность уведомления органов контроля о нарушениях. Понятие администратора персональных данных (ABI), которое существовало ранее перестаёт при этом существовать.

Определение IOD является обязательным для юридических лиц, которые во время ведения своей деятельности обрабатывают такие типы персональных данных, отсутствие безопасности которых может привести к нарушению прав и свобод физических лиц, к примеру дети.

В обязательном порядке IOD должны назначить:

• Публичные госорганизации: школы, госадминистрация гмин, организации социальной помощи, коммунальные предприятия и т.п.,

• Фирмы, которые регулярно обрабатывают и хранят персональные данные физических лиц, к примеру телекоммуникационные фирмы, рекламные фирмы, фирмы, которые проводят разного рода опросы, стразовые компании и т.п.,

• госпитали, поликлиники,

• другие, о которых говорит законодательство RODO.

IOD должен обладать знаниями в области хранения персональных данных, для того чтобы правильным образом руководить политикой хранения персональных данных на предприятии.

4. Уведомление о нарушениях в течении 72 часов

Инспектор Персональных Данных IOD имеет обязательство уведомлять контролирующие органы о нарушении безопасности персональных данных на предприятии в течении 72 часов от момента возникновения нарушения.

В некоторых случаях есть необходимость уведомления непосредственно физических лиц, которых касается инцидент (утечка).

5. Реестр нарушений

Одно из изменений, которое навязывает нам RODO, является новое обязательство для инспектора персональных данных на предприятии – ведение журнала-реестра нарушений. Согласно законодательству IOD должен документировать любые нарушения безопасности персональных данных, суть самих нарушений, а так же описывать действия, которые были предприняты в этой связи.

Ведение документации подобным образом должно дать возможность контролирующим органам возможность проверить, соблюдаются ли фирмой правила RODO в отношении ведения такой документации, а так же возможность проверки уведомления контролирующего органа о такого рода нарушениях.

6. Анализ рисков

Проведение анализа рисков будет обязательным для организаций, которые занимаются хранением персональных данных «высокого риска», к таким данным относятся: данные которые касаются здоровья (физического, психического, использование медицинских услуг), данных о детях, конфиденциальных данных.

7. Новые процедуры и положения

Необходимость проработки и реализации процедур, а так же механизмов которые обеспечат безопасность обработки персональных данных, тестирование и оценка их эффективности – это ответственность инспектора персональных данных RODO.

Новые обязанности – это вопрос повышенной ответственности для инспектора персональных данных, с учетом отсутствия готовых решений в этой сфере. RODO не указывает напрямую о том, какие документы, процедуры и политики необходимо внедрить. В общих формах упоминается о том, что сами фирмы должны проявить осторожность и старательность в обеспечении этих процессов, чтобы во время обработки персональных данных не дошло до нарушения.

8. Обязательство инвентаризации информации содержащей персональные данные.

RODO не обязает регистрировать реестры данных, которые содержат персональные данные. Однако вводят обязательство вести внутренний реестр обработки таких данных, который должен включать в себя такую информацию: причина обработки конкретных персональных данных, описание категории персональных данных, реестры нарушений, данные ответственных лиц, которые ответственны за обработку конкретного объекта данных на предприятии.

9. Право на удаление персональных данных и право просмотра истории хранимых персональных данных

RODO признает право физического лица требовать от организаций, которые хранят персональные данные физического лица, удаления персональных данных о себе, такая просьба не имеет возможности отказа.

Чуть деталей:

• „право быть забытым” или право на удаление персональных данных о себе; это касается информации: в цифровой форме, бумажной, а так же о информации в резервных копиях,

• расширенное право физического лица на просмотр его персональной информации, к примеру: право на получение копии хранимых персональных данных.

10. Обработка персональных данных детей

Администратор данных должен обеспечить возможность выражение согласия на хранение персональных данных детей родителями (в первую очередь это касается сервисов в Интернете).

Документы, которые регулируют вопросы RODO

Распоряжение европейского парламента 2016/679 от 27 апреля 2016 года, которое касается охраны персональных данных. Дополнением к европейским регуляциям RODO является проект закона от 13 сентября 2017 года о охране персональных данных.

Related

Игорь Кирчевский

Неутомимый оптимист (местами) и надеюсь профессионал в том, что делаю. Ведь свою работу нужно делать либо хорошо, либо заниматься тем, что у тебя получается лучше. Так и живем. В прошлом айтишник-программист, а в будущем - никто не знает что будет в будущем :)

Похожие статьи

rss