Вплив RODO на діяльність підприємств

Вплив RODO на діяльність підприємств

Розпорядження про захист персональних даних RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych, або GDPR від англ. General Data Protection Regulation) зачіпає діяльність кожного підприємства, якому будуть доступні персональні дані. Метою цієї реформи є вдосконалення процедури контролю за своїми персональними даними громадянами країн Євросоюзу, у тому числі Польщі. Громадяни ЄС повинні мати впевненість у тому, що їх дані будуть захищені. Досягається це, зокрема, шляхом накладення великих штрафів на порушників. Розпорядження про охорону персональних даних вступило в силу в усіх країнах ЄС з 25 травня 2018 року.

Серед власників малих і середніх підприємств виникають численні питання, що стосуються того, чи зачіпають їх дії нові правила. Положення RODO вносять безліч змін в підхід до захисту персональних даних, в тому числі: обов’язок вести реєстр обробки персональних даних, обов’язок аналізувати наслідки діяльності підприємства з точки зору захисту персональних даних, обов’язок повідомляти наглядовий орган про порушення правил захисту персональних даних протягом 72 годин, необхідність враховувати захист персональних даних вже на етапі проектування ІТ-рішень.

Персональні дані – це інформація про особу, яка дозволяє її ідентифікувати, наприклад, ім’я і прізвище, дата і місце народження, дані про місцезнаходження, номер NIP і PESEL, адреса електронної пошти, онлайн-ідентифікатори (IP-адреси, cookies).

Положення RODO будуть застосовуватися до всіх підприємств, які в рамках своєї діяльності якимось чином обробляють (тобто записують) персональні дані фізичних осіб (наприклад, клієнтів) незалежно від того, наймають вони співробітників чи ні. Це може бути господарська діяльність у будь-якій формі: товариство з обмеженою відповідальністю (sp. z o.o.), одноосібна господарська діяльність або навіть філія підприємства, зареєстрованого за межами ЄС. При цьому не має значення національність осіб, чиї персональні дані обробляються і той факт, де знаходяться сервери.

Захист персональних даних

Дії, що підпадають під RODO

Дії, що підпадають під RODO – це обробка персональних даних, що полягає у зборі, зберіганні, видаленні, переробці і спільному використанню даних. Адміністратором даних є особа, що веде самостійну господарську діяльність, або товариство з обмеженою відповідальністю, а не його голова правління. Реєстр діяльності не зобов’язані вести підприємства, в яких працевлаштовано менше 250 осіб, за винятком випадків, коли обробка може порушувати права чи свободи суб’єктів даних або охоплює певні категорії даних.

RODO не дає ніяких конкретних рекомендацій щодо процедур, які має використовувати компанія для захисту даних. Захист може бути забезпечено за допомогою різних засобів, підібраних відповідно до профілю здійснюваної діяльності. Завданнями підприємства будуть: розробка всеосяжної моделі захисту даних, відповідно до ринкової ситуації і профілю діяльності підприємства, перевірка дотримання належних процедур та інтересів фізичних осіб. У відповідності з вимогами RODO компанії будуть зобов’язані повідомляти клієнтам докладну інформацію про обробку їх персональних даних, просити дозволу на її використання в контексті конкретного бізнес-процесу. Будь-яка згода на обробку даних повинна відповідати наступним критеріям:

  1. добровільність;
  2. конкретність;
  3. усвідомленість;
  4. однозначність.

Дозвіл може мати форму не тільки заяви, але і чіткого підтвердження. Форми вираження згоди – це письмова, електронна або усна заява. Людині, яка дає згоду, необхідно надати наступні дані:

  1. особистість адміністратора;
  2. його контактні дані;
  3. мету обробки персональних даних;
  4. планований термін їх зберігання.

Слід також повідомити про право запитувати у адміністратора доступ до своїх персональних даних, їх виправлення, видалення, обмеження обробки, внесення застережень стосовно обробки. Якщо обробка здійснюється на підставі дозволу – необхідно проінформувати про право відкликати свою згоду в будь-який час і право на скаргу наглядові органи (ці інформаційні обов’язки не стосуються підприємств з кількістю працівників менше 250 осіб, які обробляють персональні дані, необхідні для ведення підприємницької діяльності, зокрема, з метою укладання договорів і ведення бухгалтерського обліку). Можна отримати одну згоду на обробку персональних даних для декількох цілей.

Згода не вимагається, наприклад:

  1. коли обробка персональних даних необхідна для виконання договору (наприклад, продаж товару через інтернет – обробка даних у відповідності з RODO є необхідною для виконання договору купівлі-продажу);
  2. коли обробка необхідна для виконання юридичного зобов’язання, покладеного на адміністратора (наприклад, ведення бухгалтерського обліку не вимагає згоди на обробку даних);
  3. коли обробка необхідна для здійснення юридично обґрунтованого інтересу адміністратора даних або третьої особи (наприклад, направлення до суду позовної заяви).

Згода вимагається у разі надсилання комерційної інформації за допомогою електронних засобів комунікації (реклами), або використання телекомунікаційного обладнання для маркетингових цілей (наприклад, SMS з рекламним контентом).

Також розпорядження про охорону персональних даних вводить нове право – “право бути забутим”, яке означає, що дані людей, які того побажають, при виконанні однієї з передумов (у тому числі, якщо персональні дані не є необхідними для цілі, з якої вони були зібрані), повинні бути повністю вилучені з системи адміністратора. Це стосується також копій, сканів та іншої паперової документації. Якщо раніше ці дані потрапили в інтернет, адміністратор повинен переконатися, що всі вони були видалені, навіть якщо вони вже перебувають у володінні інших суб’єктів.

У діяльності більшості фірм справа доходить тільки до доручення обробки персональних даних (наприклад, при використанні бухгалтерських послуг). Юридична особа, обробляє персональні дані за дорученням, має укласти з адміністратором даних відповідний договір (в письмовій або електронній формі), в якому буде визначено принципи обробки даних.

Відповідальність за невиконання положень RODO

Незважаючи на те, що адміністратор персональних даних може доручити виконання обов’язків по адмініструванню даних, саме на ньому лежить відповідальність за належний захист персональних даних.

За порушення законодавства RODO можуть бути застосовані штрафні санкції в розмірі до 20 000 000 євро, або в розмірі до 4% від загального обороту підприємства за попередній фінансовий рік. Слід визнати, що такий розмір покарання аномально високий, і GIODO (Generalny Inspektor Ochrony Danych Osobowych) буде застосовувати національні правила Польщі, що стосуються санкцій за неналежне виконання інформаційних зобов’язань.

Можна з упевненістю сказати, що на даний момент ніхто точно не знає, як буде реалізовуватися RODO, які проблеми можуть виникнути і як буде контролюватися виконання розпорядження. Але необхідно чітко розуміти: до нових вимог повинні бути готові всі підприємства, що ведуть свій бізнес на території країн Європейського Союзу.

Виникло питання?

Хочете дізнатися більше або отримати консультацію?

Також читайте
Напишіть нам!

2 votes, average: 5,00 out of 52 votes, average: 5,00 out of 52 votes, average: 5,00 out of 52 votes, average: 5,00 out of 52 votes, average: 5,00 out of 5 (2 оценок, среднее: 5,00 из 5)
Для того чтобы оценить запись, вы должны быть зарегистрированным пользователем сайта.
Loading...
+48 727 861 821 (Viber)
amadej.eu
amadej.eu@gmail.com