Довідкова інформація про нові правила
Захист даних
РОДО - Регламент про захист даних або ОРОД - Загальний регламент про захист даних, GDPR). Звід правил, укладених Європейським Союзом, що стосуються захисту фізичних осіб. Стосується обробки персональних даних та їх вільного переміщення. Опублікований в Офіційному віснику Європейського Союзу L 119 4 травня 2016 р. Набув чинності 25 травня 2018 р. Застосовується до всіх суб'єктів, що діють на території ЄС, включаючи малий бізнес, а також великі транснаціональні корпорації.
Які покарання передбачені за недотримання RODO?
Максимальний штраф становить 20 000 000 євро. Недобросовісні компанії повинні сплатити до 41ТП3Т від їхнього загального річного світового обороту за попередній рік (стаття 83(5)(а) RODO).
Загальні принципи обробки даних:
- Дотримання законодавства, прозорість та доброчесність;
- Обмеження щодо мети обробки;
- Коректність і мінімізація;
- Обмеження на зберігання;
- Конфіденційність і цілісність;
- Підзвітність.
Покроковий план навчання:
1. вивчення наступних понять:
- профайлінг,
- персональні та біометричні дані,
- псевдонімізація;
2 Впровадження РОДО в організацію:
- з чого почати?
- на чому зосередитися?
- пріоритети завдань,
- необхідні процедури;
3 Основні завдання контролера та процесора даних:
- законодавство та принципи,
- конфіденційність за задумом і за замовчуванням,
- реєстр видів діяльності та категорій переробки,
- обов'язки надавати інформацію;[Поділ тексту на частини].
4 Роль спеціаліста із захисту даних:
- яку кваліфікацію вона має,
- посаду в компанії;
5 Права осіб щодо їхніх даних:
- доступ, забуття та інші,
- як виглядає витік даних? кому повідомляти про порушення?[Розбивка тексту на частини][Розбивка тексту на частини].
Як РОДО змінило внутрішнє регулювання?
- Новий Закон про захист персональних даних від 10 травня 2018 року (набув чинності 25 травня 2018 року);
- Адміністратора інформаційної безпеки (ABI) було замінено на спеціаліста із захисту даних (DPO);
- Інститут Генерального інспектора з питань захисту персональних даних був скасований на користь Президента Управління з питань захисту персональних даних (PUODO).
На кого впливає захист даних?
Всі підприємці (в тому числі фізичні особи-підприємці) без розрізнення за кількістю працівників, розміром або обсягом робіт (стаття 2 і стаття 3 РОДО). Виняток становлять види діяльності, на які не поширюється законодавство Європейського Союзу, а також особи, які здійснюють домашню або особисту діяльність.
З якою інформацією вони пов'язані?
- ім'я;
- адреса проживання (місцезнаходження);
- PESEL або інший ідентифікаційний номер;
- ім'я електронної пошти;
- фактори, що визначають фізіологічну, фізичну, генетичну, психічну, економічну, соціальну чи культурну ідентичність людини.
Які дані не повинні оброблятися?
Особливо захищених, таких як:
- расове походження;
- стан здоров'я;
- сексуальну орієнтацію;
- біометричні дані.
Базові операції:
- колекція;
- запис;
- попередній перегляд;
- модифікацію;
- використовувати;
- розкриття;
- розповсюдження;
- ділитися;
- примірка;
- з'єднання;
- знищення;
- скорочення;
- видалення.
Стаття 6 RODO перераховує низку обставин, які дозволяють обробляти персональні дані.
Торговець зобов'язаний отримати згоду на їх обробку від суб'єкта даних або коли це необхідно для виконання договору.
Контролером даних може бути юридична або фізична особа, яка:
- впроваджує процедури безпеки;
- визначає спосіб і мету збору та обробки даних;
- визначає сферу застосування;
- здійснює юридичні дії;
- забезпечити безпеку;
- оцінити ризик витоку даних;
- врахує вартість засобів захисту.
Ви можете прочитати в Регламенті, що гарантії можуть бути в організаційній або технічній формі. Вони повинні бути пов'язані з обсягом, характером, контекстом, метою обробки, а також враховувати ризик порушення свобод і прав осіб, які надали дані.
У DPA ми знаходимо наступні вказівки, які можуть бути використані контролером у відповідних обставинах:
- Постійно забезпечуйте цілісність, конфіденційність, доступність, відмовостійкість систем і сервісів обробки - рівень безпеки повинен бути однаковим.
- Резервне копіювання даних. Можливість відновити доступність персональних даних також у разі технічного або фізичного інциденту.
- Шифрування та псевдонімізація - обробка персональної інформації таким чином, щоб її неможливо було ідентифікувати та пов'язати з особою, без доступу до іншої інформації.
- Проведення регулярних тестів, перевірка та вимірювання ефективності організаційних або технічних заходів, які забезпечують безпечну обробку. Охорона - це безперервний процес, який постійно аналізується та вдосконалюється.
- Заходи безпеки:
організаційні:
- посібник із захисту;
- допуск лише уповноважених працівників;
- і прихильність до конфіденційності;
- практичні заняття на чистому екрані та за столом;
- видача ключів уповноваженим особам;
- облік переробної діяльності, за винятком підприємств з кількістю працівників менше 250 осіб;
Технічний:
- шифрування даних;
- захист від шкідливих програм;
- безпека комп'ютерних мереж
- система аутентифікації з необхідністю введення логіну та паролю користувача;
- шафи або кімнати для зберігання інформації у фізичній формі.
Важливо пам'ятати, що створення даних пов'язане з ризиком порушення свобод і прав. Він не є спорадичним і включає в себе конфіденційні дані або дані, що стосуються правових порушень і засуджень.
Хто такий Уповноважений із захисту даних і коли його призначають?
Підтримує компанії у дотриманні правил. Надає інформацію про зобов'язання, пов'язані з RODO для процесора або контролера. Крім того, співпрацює з PUODO. Зобов'язання призначити інспектора виникає в певних ситуаціях, передбачених статтею 37 RODO, коли:
"обробка здійснюється органом державної влади або органом, за винятком судів при здійсненні ними своїх судових функцій; основна діяльність контролера або оператора полягає в операціях з обробки, які в силу свого характеру, обсягу або цілей вимагають регулярного і систематичного моніторингу суб'єктів даних у великих масштабах; або основна діяльність контролера або оператора полягає в обробці у великих масштабах спеціальних категорій персональних даних, зазначених у статті 9(1), а також персональних даних, що стосуються кримінальних вироків і правопорушень, зазначених у статті 10.".