Поправки в правила о защите персональных данных

1. 1. Убедитесь, что ваши пункты об утверждении соответствуют требованиям GDPR
2. 2. Адаптировать информационные пункты к положениям РОДО.
3. 3. Обновите свою внутреннюю документацию и процедуры для новых правил
4. 4. Проверьте, нужно ли вам назначить сотрудника по защите данных (IOD)
5. 5. Проверьте, нужно ли вести учет шагов обработки
6. 6. Проведите тренинг для ваших сотрудников - их быстрый ответ позволит выполнить обязательство сообщать...
7. 7. Подготовить приложения к договорам о доверии обработке персональных данных.
8. 8. Уделять еще больше внимания техническим и организационным мерам защиты личных данных.

Мы почти все слышали об очень важных правовых изменениях в области защиты персональных данных. В СМИ появляется все больше информации о так называемых RODO, или Регламент Европейского парламента и Совета, который вступил в силу в 2016 году, но вступит в силу с 25 мая 2018 года. После этой даты вся обработка персональных данных должна будет отвечать всем требованиям GDPR, независимо от отрасли, в которой работает предприятие. Поэтому каждый должен ответить на вопрос: какие изменения необходимо внести в свою организацию, чтобы подготовиться к применению новых правил и избежать финансовых штрафов? Они будут особенно серьезными - ВВП предусматривает возможность наложения штрафа в размере до 4% годового мирового оборота с предыдущего финансового года данного предприятия или до 20 миллионов евро! Спектр штрафов должен надлежащим образом мотивировать каждого контролера данных организовать эту область своей деятельности и адаптировать ее к требованиям GDPR.

Ввиду масштабов изменений и риска ответственности выполнение положений GDPR не следует оставлять на последний момент. Так что же делать, чтобы эффективно подготовиться к использованию RODO? Ниже приведены некоторые практические советы.

1. Убедитесь, что ваши пункты об утверждении соответствуют требованиям GDPR

Если после 25 мая 2018 года вы хотите обработать свои персональные данные на основе их согласия, убедитесь, что текущее содержание пунктов и способ их выражения соответствуют требованиям GDPR. Если нет, внесите соответствующие изменения сейчас и убедитесь, что данные в вашей базе данных собираются на основе пунктов, соответствующих новым правилам.

Помните, что в соответствии с RODO:

- если вы получаете согласие в содержании письменного договора или нормативных актов, запрос о согласии должен быть представлен таким образом, чтобы четко отличать их от других вопросов,

- содержание пункта должно четко указывать, для каких целей будут использоваться данные,

- пункт о согласии должен быть сформулирован в понятной и простой форме,

- профилирование данных (автоматизированная обработка персональных данных, заключающаяся в использовании персональных данных для оценки определенных персональных факторов физического лица) требует получения явного согласия субъекта данных.

2. Адаптировать информационные пункты к положениям РОДО.

Положения GDPR значительно расширяют объем информационных обязательств, которые должны выполняться для каждого человека в базе данных компании. До сих пор обязательные пункты информации, которые мы знаем даже из стандартных политик конфиденциальности, включали довольно узкий объем информации, то есть название и адрес офиса администратора, спецификацию цели обработки данных, идентификацию получателей, которым предоставляются данные, информацию об обязательном или добровольном характере сбора данных и упоминание о некоторых правах (доступ к содержанию данных и их исправление).

RODO накладывает дополнительные информационные обязательства, в частности, касающиеся:

- срок хранения персональных данных или критерии определения их длины,

- информация о праве отзыва согласия на обработку персональных данных,

- информация о праве на возражение против обработки данных и праве на их передачу,

- информация о праве подать жалобу в GIODO,

- информация о возможном профилировании данных,

- контактные данные сотруднику по защите данных, если он назначен.

Следовательно, с 25 мая 2018 года каждый контроллер данных должен применять новые политики конфиденциальности и новые информационные положения в договорах, правилах или формах.

3. Обновите свою внутреннюю документацию и процедуры для новых правил

Все процедуры, касающиеся обработки персональных данных, существующих в вашей организации, должны быть обновлены и адаптированы к положениям нового регламента. Необходимо информировать сотрудников о том, что RODO обеспечивает некоторые изменения процесса, и необходимо начать их реализацию сейчас.

4. Проверьте, нужно ли вам назначить сотрудника по защите данных (IOD)

Сотрудник по защите данных рассчитывается на основе ВВП, эквивалентного действующему администратору информационной безопасности (ABI), и, следовательно, конкретному физическому лицу, задача которого заключается в контроле обработки персональных данных в организации. В настоящее время назначение такого человека не является обязательным. Согласно RODO, назначение руководителя по защите данных обязывает:

- органы государственной власти и образования (за исключением судов в сфере отправления правосудия),

- объекты, основная деятельность которых состоит из крупномасштабных операций обработки, в силу их характера, масштабов или целей, которые требуют регулярного и систематического мониторинга субъектов данных (например, объекты, обрабатывающие данные в целях поведенческой рекламы поисковыми системами),

- организации, основной деятельностью которых является обработка конфиденциальных личных данных в больших масштабах (включая данные о состоянии здоровья, сексуальной ориентации, религиозных или философских убеждениях). Такими субъектами являются, например, больницы и другие медицинские учреждения.

5. Проверьте, нужно ли вести учет шагов обработки

С 25 мая 2018 года контролеры данных будут обязаны вести в письменном виде (бумажном или электронном) так называемые реестр процессов обработки. Это новинка по сравнению с действующим законом о защите персональных данных. Этот регистр должен будет включать информацию, в частности, о цель обработки данных, категории персональных данных, категории получателей данных и технические и организационные меры безопасности данных.

Вышеуказанное обязательство не распространяется только на те организации, которые:

• на них занято менее 250 человек и одновременно
• обработка ими персональных данных носит случайный характер, не связана с риском нарушения прав и свобод субъектов данных и не распространяется на вышеупомянутые конфиденциальные данные.

6. Проведите тренинг для ваших сотрудников - их быстрый ответ позволит выполнить обязательство сообщать GIODO об инцидентах безопасности в течение требуемого периода

С 25 мая 2018 года каждый контроллер данных будет обязан сообщать GIODO (Генеральному инспектору по защите личных данных) обо всех случаях нарушения личных данных. Уведомление должно быть сделано без лишних задержек, не позднее, чем в течение 72 часов после обнаружения нарушения. Это обязательство не будет применяться только к инцидентам, которые вряд ли приведут к риску нарушения прав или свобод физических лиц.

Трудно представить возможность надлежащего выполнения этого обязательства в организации, где сотрудники не были должным образом обучены защите персональных данных. Только должным образом осведомленные сотрудники смогут идентифицировать инцидент безопасности и достаточно быстро проинформировать руководство, чтобы разрешить GIODO сообщать информацию в течение требуемого 72-часового периода.

7. Подготовить приложения к договорам о доверии обработке персональных данных.

Положения GDPR - по сравнению с положениями, содержащимися в действующем Законе о защите персональных данных - содержат более обширное положение о договорах, регулирующих обработку персональных данных. Они, в частности, требуют, чтобы в соглашении о доверительном управлении указывались не только цель и объем обработки, которая была поручена, но и тип данных, категории субъектов данных, а также обязанности и права администратора. На практике это означает необходимость присоединения всех действующих в настоящее время соглашений о передаче данных (например, с бухгалтерией, ИТ-компанией, организацией, предоставляющей услуги хостинга), чтобы их содержание соответствовало новым требованиям GDPR.

Если у нас нет доверенных контрактов с организациями, которым мы поручаем обработку персональных данных от нашего имени, переходный период до фактического периода GDPR является последним моментом для устранения этих недостатков. Новые правила придают большое значение этим вопросам.

8. Уделять еще больше внимания техническим и организационным мерам защиты личных данных.

После 25 мая 2018 года последствия утечки данных будут очень серьезными. В дополнение к введению высоких финансовых штрафов, RODO также предусматривает обязательство сообщать GIODO об инцидентах в области безопасности, а в некоторых случаях даже обязательство напрямую информировать людей, чьи данные были просочены. Если мы примем во внимание еще более простой способ предъявления претензий людьми, чьи личные данные не были должным образом защищены, то напрашивается только один вывод - реализация соответствующих мер защиты данных (таких как видеонаблюдение, антивирусное программное обеспечение, брандмауэр) в В течение следующих нескольких месяцев должен быть приоритет для каждого контроллера данных.

Автор: Радослав Ружга , Prawnik и член правления Jamano Sp. z o. o