РОДО - Регламент про захист даних або Загальний регламент про захист даних, GDPR). Набір правил, укладених Європейським Союзом, що стосуються захисту фізичних осіб. Стосується обробки персональних даних та їх вільного переміщення. Опублікована в Офіційному віснику Європейського Союзу L 119 від 4 травня 2016 р. Набула чинності з 25 травня 2018 р. Застосовується до всіх суб'єктів господарювання, що діють на території ЄС, включаючи малий бізнес, а також великі транснаціональні корпорації.

Які покарання передбачені за недотримання RODO?

Максимальний штраф становить 20 000 000 євро. Недобросовісні компанії повинні сплатити до 4% свого загального річного світового обороту за попередній рік (Стаття 83(5)(a) RODO)

Співробітники знайомляться з новим регламентом

Загальні принципи обробки даних:

  • Законність, прозорість та доброчесність
  • Обмеження обробки за призначенням
  • Коректність і мінімізація
  • Обмеження щодо зберігання
  • Конфіденційність та доброчесність
  • Підзвітність

Покроковий план навчання:

1. вивчення наступних понять:

  • профілювання
  • персональні та біометричні дані
  • псевдонімізація
  1. Впровадження RODO в організацію:
  • з чого почати?
  • на чому зосередитися?
  • пріоритети завдань
  • необхідні процедури
  1. Основні завдання контролера та процесора даних:
  • правові положення та принципи
  • конфіденційність за задумом і за замовчуванням
  • реєстр видів діяльності та категорій переробки
  • зобов'язання надавати інформацію
  1. Роль спеціаліста із захисту даних:
  • яку кваліфікацію він/вона має
  • посада в компанії
  1. Права осіб щодо їхніх даних:
    • доступ, забування та інші
    • як виглядає порушення даних? кому ви повідомляєте про порушення?

Як РОДО змінило внутрішнє регулювання?

  • Набув чинності новий Закон про захист персональних даних від 10 травня 2018 року (діє з 25 травня 2018 року)
  • Адміністратор інформаційної безпеки (ABI) був замінений на Інспектора з питань захисту персональних даних (IODO)
  • Інститут Генерального інспектора з питань захисту персональних даних був скасований на користь Президента Управління з питань захисту персональних даних (PUODO)

На кого впливає захист даних?

Всі підприємці (в тому числі фізичні особи-підприємці) без розрізнення за кількістю працівників, розміром або обсягом робіт (стаття 2 і стаття 3 РОДО). Виняток становлять види діяльності, на які не поширюється законодавство Європейського Союзу, а також особи, які здійснюють домашню або особисту діяльність.

З якою інформацією вони пов'язані?

  • ім'я
  • адреса проживання (місцезнаходження)
  • PESEL або інший ідентифікаційний номер
  • ім'я електронної пошти
  • фактори, що визначають фізіологічну, фізичну, генетичну, психічну, економічну, соціальну чи культурну ідентичність людини.

Які дані не повинні оброблятися?

Особливо захищених, таких як:

  • расове походження
  • здоров'я
  • сексуальна орієнтація
  • біометричні дані

Інспектор перевіряє дотримання процедур

Базові операції:

  • колекція
  • запис
  • попередній перегляд
  • модифікація
  • використання
  • розкриття
  • розповсюдження
  • обмін
  • пристосування
  • зв'язування
  • знищення
  • обмежувальний
  • видалення

Стаття 6 RODO перераховує низку обставин, які дозволяють обробляти персональні дані.

Торговець зобов'язаний отримати згоду на їх обробку від суб'єкта даних або коли це необхідно для виконання договору.

Контролером даних може бути юридична або фізична особа, яка:

  • впроваджує процедури безпеки
  • визначити спосіб і мету збору та обробки даних
  • визначає сферу застосування
  • імплементує нормативно-правові акти
  • забезпечити безпеку
  • оцінити ризик витоку даних
  • врахує вартість засобів захисту

Ви можете прочитати в Регламенті, що гарантії можуть бути в організаційній або технічній формі. Вони повинні бути пов'язані з обсягом, характером, контекстом, метою обробки, а також враховувати ризик порушення свобод і прав осіб, які надали дані.

У DPA ми знаходимо наступні вказівки, які можуть бути використані контролером у відповідних обставинах:

  • Постійно забезпечуйте цілісність, конфіденційність, доступність, відмовостійкість систем і сервісів обробки - рівень безпеки повинен бути однаковим.
  • Резервне копіювання даних. Можливість відновити доступність персональних даних також у разі технічного або фізичного інциденту.
  • Шифрування та псевдонімізація - обробка персональної інформації таким чином, щоб її неможливо було ідентифікувати та пов'язати з особою, без доступу до іншої інформації.
  • Проведення регулярних тестів, перевірка та вимірювання ефективності організаційних або технічних заходів, які забезпечують безпечну обробку. Охорона - це безперервний процес, який постійно аналізується та вдосконалюється.
  • Заходи безпеки:

організаційні:

  • вказівки щодо захисту
  • допуск тільки уповноваженого персоналу
  • і прихильність до конфіденційності
  • практичні заняття на чистому екрані та за столом
  • видача ключів уповноваженим особам
  • облік переробної діяльності, за винятком підприємств, на яких працює менше 250 осіб

Технічний:

  • шифрування даних
  • захист від шкідливого програмного забезпечення
  • безпека комп'ютерних мереж
  • система аутентифікації з необхідністю введення логіну та паролю користувача
  • Шафи або кімнати для зберігання інформації у фізичній формі

Важливо пам'ятати, що генерування даних пов'язане з ризиком порушення свобод і прав людини. Вона не є спорадичною і включає в себе конфіденційні дані або дані, що стосуються юридичних порушень і засуджень.

Хто такий Уповноважений із захисту даних і коли його призначають?

Допомагає компаніям у дотриманні нормативних вимог. Надає інформацію про зобов'язання, пов'язані з RODO для процесора або контролера. Крім того, співпрацює з PUODO. Обов'язок призначити інспектора виникає в певних ситуаціях, передбачених статтею 37 RODO, коли:

  • "Обробка здійснюється органом державної влади або органом, за винятком судів при здійсненні ними судових функцій;
  • основна діяльність контролера або процесора складається з операцій обробки, які в силу свого характеру, обсягу або цілей вимагають регулярного та систематичного моніторингу суб'єктів даних у великих масштабах; або
  • основна діяльність контролера або процесора полягає в обробці у великих масштабах спеціальних категорій персональних даних, зазначених у статті 9(1), а також персональних даних, що стосуються кримінальних засуджень та правопорушень, зазначених у статті 10.".