Влияние RODO на деятельность предприятий

Влияние RODO на деятельность предприятий

Распоряжение об охране персональных данных RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych, или GDPR от англ. General Data Protection Regulation) затрагивает деятельность каждого предприятия, которому будут доступны персональные данные. Целью данной реформы является совершенствование процедуры контроля над своими персональными данными гражданами стран Евросоюза, в том числе Польши. Граждане ЕС должны иметь уверенность в том, что их данные будут защищены. Достигается это, в частности, путем наложения больших штрафов на нарушителей. Распоряжение об охране персональных данных вступило в силу во всех странах ЕС с 25 мая 2018 года.

Среди владельцев малого и среднего бизнеса в Польше возникают многочисленные вопросы, касающиеся того, затрагивают ли их действия новые правила. Положения RODO вносят множество изменений в подход к защите персональных данных, в том числе: обязанность вести реестр обработки персональных данных, обязанность анализировать последствия деятельности предприятия с точки зрения защиты персональных данных, обязанность уведомлять надзорный орган о нарушении правил защиты персональных данных в течении 72 часов, необходимость учитывать защиту персональных данных уже на этапе проектирования ИТ-решений.

Персональные данные – это информация о человеке, которая позволяет его идентифицировать, например, имя и фамилия, дата и место рождения, данные о местонахождении, номер NIP и PESEL, адрес электронной почты, онлайн-идентификаторы (IP-адреса, cookies).

Положения RODO будут применяться ко всем предприятиям, которые в рамках своей деятельности каким-либо образом обрабатывают (то есть записывают) персональные данные физических лиц (например, клиентов) независимо от того, нанимают ли они сотрудников или нет. Это может быть хозяйственная деятельность в любой форме: общество с ограниченной ответственностью (sp. z o.o.), единоличная хозяйственная деятельность или даже филиал предприятия, зарегистрированного за пределами ЕС. При этом не имеет значения национальность лиц, чьи персональные данные обрабатываются и тот факт, где находятся серверы.

Распоряжение об охране персональных данных

Действия, подпадающие под RODO

Действия, подпадающие под RODO – это обработка персональных данных, заключающаяся в сборе, хранении, удалении, переработке и совместном использовании данных. Администратором данных является лицо, ведущее единоличную хозяйственную деятельность, или общество с ограниченной ответственностью, а не его председатель правления. Реестр деятельности не обязаны вести предприятия, в которых трудоустроено менее 250 человек, за исключением случаев, когда обработка может нарушать права или свободы субъектов данных, или охватывает определенные категории данных.

RODO не дает никаких конкретных рекомендаций по процедурам, которые должна использовать компания для защиты данных. Защита может быть обеспечена с помощью различных средств, подобранных соответственно к профилю осуществляемой деятельности. Задачами предприятия будут: разработка всеобъемлющей модели защиты данных, соответствующей рыночной ситуации и профилю деятельности предприятия, проверка соблюдения надлежащих процедур и интересов физических лиц. В соответствии с требованиями RODO компании будут обязаны сообщать клиентам подробную информацию об обработке их персональных данных, просить разрешения на ее использование в контексте конкретного бизнес-процесса. Любое согласие на обработку данных должно обладать следующими качествами:

  1. добровольность;
  2. конкретность;
  3. осознанность;
  4. однозначность.

Cогласие на обработку данных может иметь форму не только заявления, но и четкого подтверждения. Формы выражения согласия – это письменное, электронное или устное заявление. Человеку, дающему согласие, необходимо предоставить следующие данные:

  1. личность администратора;
  2. его контактные данные;
  3. цели обработки персональных данных;
  4. планируемый срок их хранения.

Следует также сообщить о праве запрашивать у администратора доступ к своим персональным данным, их исправлению, удалению, ограничению обработки, внесения возражений против обработки. Если обработка осуществляется на основании разрешения – необходимо проинформировать о праве отозвать свое согласие в любое время и праве на жалобу в надзорные органы (эти информационные обязанности не касаются предприятий с количеством сотрудников менее 250 человек, обрабатывающих персональные данные, необходимые для ведения предпринимательской деятельности, в частности, в целях заключения договоров и ведения бухгалтерского учета). Можно получить одно согласие на обработку персональных данных для нескольких целей.

Согласие не требуется, например:

  1. когда обработка персональных данных необходима для выполнения договора (например, продажа товара через интернет – обработка данных в соответствии с RODO является необходимой для исполнения договора купли-продажи);
  2. когда обработка необходима для выполнения юридического обязательства, возложенного на администратора (например, ведение бухгалтерского учета не требует согласия на обработку данных);
  3. когда обработка необходима для осуществления юридически обоснованного интереса администратора данных или третьего лица (например, направление в суд искового заявления).

Согласие требуется в случае отправки коммерческой информации с помощью электронных средств коммуникации (рекламы), или использования телекоммуникационного оборудования для маркетинговых целей (например, SMS с рекламным контентом) и т.д.

Также распоряжение об охране персональных данных вводит новое право – «право быть забытым», которое означает, что данные людей, которые того пожелают, при выполнении одной из предпосылок (в том числе, если персональные данные не являются необходимыми для целей, в которых они были собраны), должны быть полностью удалены из системы администратора. Это касается также копий, сканов и другой бумажной документации. Если ранее эти данные попали в интернет, администратор должен убедиться, что все они были удалены, даже если они уже находятся во владении других субъектов.

В деятельности большинства фирм дело доходит только до поручения обработки персональных данных (например, при использовании услуг бухгалтера). Юридическое лицо, обрабатывающее персональные данные по поручению, должно заключить с администратором данных соответствующий договор (в письменной или электронной форме), в которой будут определены принципы обработки данных.

Ответственность за неисполнение положений RODO

Несмотря на то, что администратор персональных данных может поручить выполнение обязанностей по администрированию данных, именно на нем лежит ответственность за надлежащую защиту персональных данных.

За нарушение законодательства RODO могут быть применены штрафные санкции в размере до 20 000 000 евро, или в размере до 4% от общего оборота предприятия за предыдущий финансовый год. Следует признать, что такой размер наказания аномально высок, и GIODO (Generalny Inspektor Ochrony Danych Osobowych) будет применять национальные правила Польши, касающиеся санкций за ненадлежащее выполнение информационных обязательств.

Можно с уверенностью сказать, что на данный момент никто точно не знает, как будет реализовываться RODO, какие проблемы могут возникнуть и как будет контролироваться выполнение распоряжения. Но необходимо четко понимать: к новым требованиям должны быть готовы все предприятия, ведущие свой бизнес на территории стран Европейского Союза.

Возник вопрос?

Хотите узнать больше или получить консультацию?

Читайте также
Напишите нам!

2 оценки, среднее: 5,00 из 52 оценки, среднее: 5,00 из 52 оценки, среднее: 5,00 из 52 оценки, среднее: 5,00 из 52 оценки, среднее: 5,00 из 5 (2 оценок, среднее: 5,00 из 5)
Для того чтобы оценить запись, вы должны быть зарегистрированным пользователем сайта.
Загрузка...
+48 727 861 821 (Viber)
amadej.eu
amadej.eu@gmail.com