Содержание
RODO: 13 вещей, которые повлияют на вас, на Польшу и мир в целом
Что такое RODO?
Это новый закон ЕС, который совершенно иным образом, чем раньше, определяет принципы обработки, использования и хранения персональных данных в компаниях и офисах.
Когда было принято RODO?
25 мая 2018 года вступило в силу RODO, новое регулирование ЕС в отношении защиты персональных данных. Сам документ был создан в апреле 2016 году, и у государств членов Европейского союза было 2 года подготовиться к вступлению их в силу в 2018 году. Предыдущий документ подобного характера был принят и действовал с 1998 года
RODO на других языках?
На польском: Rozporządzenie Ogólne o Ochronie Danych Osobowych
На английском: General Data Protection Regulation, GDPR
На русском: Общее положение о защите персональных данных
Государственный сайт по вопросам RODO в Польше?
На кого повлияет RODO?
На любую компанию с личными данными о клиентах, которые живут в Европейском Союзе, включая Великобританию. И под данными я имею в виду имя человека, адрес электронной почты, телефон, адрес, который идентифицирует их.
Влияет ли RODO на страны, не входящие в Евросоюз?
Да, если у них есть клиенты с ЕС
Кто выигрывает от RODO?
Все, в значительной степени. Это дает потребителям уверенность в том, что их личные данные находятся под замком и ключом. Он также позволяет им запрашивать удаление данных из базы данных компании.
RODO это возможность или угроза
На самом деле это фантастическая возможность. Как все хорошие политики говорят: «Не будем тратить хороший кризис!». GDPR — это именно то, что нам нужно, чтобы начать общенациональное изменение культуры вокруг данных. Я считаю, что управление данными в организации немного похоже на мои волосы: я знаю, что мне нужно стричься, но я просто слишком занят. GDPR это просто! Это наша мотивация вокруг очевидного.
Что вводит RODO?
Ниже Я представляю полный список новых правил и существенных изменений, которые введены Общим регламентом по защите персональных данных (РОДО) в мае 2018 года.
1. Финансовые штрафы
В новых правилах вводится система административных штрафов за несоблюдение RODO на сумму до 20 000 000 евро, а в случае предприятий — до 4% от общего годового оборота предыдущего года.
2. Обязательство контролировать и сообщать об утечках данных
Необходимо будет сообщать надзорным органам об утечке данных в течение 72 часов после обнаружения нарушения. В некоторых случаях также необходимо будет информировать людей, у которых есть утечка данных (например, потребителей, подрядчиков и т. Д.) такого инцидента.
3. Требование регулярного тестировать безопасность
Недостаточно выполнить соответствующие меры безопасности — вам также необходимо будет регулярно проверять их эффективность. Администратор данных должен решить, как часто это делать и какие методы использовать. Он должен учитывать, в частности, количество операций с персональными данными, включая конфиденциальные данные. Кроме того, необходимо будет отслеживать инциденты. Это может быть одной из главных проблем для контроллеров данных, особенно для их IТ-отделов.
4. Разработка и внедрение адекватных процедур и мер безопасности
Согласно RODO, ответственность за выбор процедур и мер безопасности, адекватных риску обработки обрабатываемых персональных данных, лежит на контроллере данных. С одной стороны, это означает отсутствие навязанных решений, но, с другой стороны, это серьезная проблема.
5. Необходимость анализа риска
Проведение анализа рисков является обязательным только в нескольких случаях. Тем не менее анализ риска и конфиденциальности обрабатываемых персональных данных с учетом значительных административных штрафов, безусловно, должен выполнять каждый хранитель данных. Это лучшая практика, которая гарантирует, что надзорный орган должным образом обеспокоен безопасностью данных.
6. Повышение осведомленности сотрудников о защите персональных данных
Никакой механизм не будет полностью функционален, если все его отдельные элементы не будут работать должным образом. То же самое относится к безопасности персональных данных — администратор не может заметить инцидент, если один из его сотрудников не замечает его. В соответствии с принципом «один за всех и все за одного», только надлежащее повышение уровня осведомленности об угрозах и навыках реакции между всеми сотрудниками гарантирует окончательную безопасность всей организации.
7. Профилирование
Автоматическая обработка персональных данных, в частности для анализа или прогнозирования аспектов, связанных с личными предпочтениями пользователя, интересами, поведением, расположением или движением, регулируется в РОДО. В случае профилирования необходимо внести соответствующие изменения во внутренние политики компании.
8. Обработка данных ребенка с согласия опекунов
Администраторы данных должны будут обеспечить надлежащий сбор разрешений от детей, показывая, что они дали согласие своему опекуну (например, родителю) на предоставление конкретных продуктов или услуг, в частности через социальные сети.
9. Увеличение прав — введение права быть забытым
RODO вводит право быть забытым, то есть оно позволяет людям, чьи данные обрабатываются в целях маркетинга, постоянно удалять эти данные из систем администратора. Кроме того, будет также право передавать данные (например, между операторами электросвязи).
10. Исчезновение обязательства использовать 8-символьные пароли и менять их каждые 30 дней
С началом валидности RODO исчезнет необходимость в использовании 8-символьных паролей и менять их каждые 30 дней. Администраторы сами будут оценивать эффективность своей безопасности и смогут решить, что в некоторых системах сложность или частота изменений пароля не должны иметь решающего значения для безопасности персональных данных.
11. Расширенная формула согласия
На этапе получения персональных данных контроллер данных будет обязан, в частности предоставлять информацию о праве на их перенос, периода хранения, намерений передать их в третьи страны и т. д. Необходимо будет разработать новые положения.
12. Инспектор защиты данных (новый ABI)
Текущий ABI будет заменен Инспектором защиты данных. В настоящее время назначение ABI является добровольным. С 25/05/2018 назначение ABI будет обязательным в определенных ситуациях. Более того, лица, чьи данные будут обработаны, будут иметь право связаться с ABI в данной организации по вопросам обработки персональных данных.
13. Реестр обрабатывающей деятельности
В отличие от действующих правил, нет необходимости регистрировать сбора данных в GIODO на основе RODO. В определенных ситуациях контроллеры данных (IOD) должны будут хранить внутренний регистр операций обработки данных.
Оригинал документа RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) можно скачать здесь English/Polish RODO
Какой эффект RODO на компании и страны не входящие в Евросоюз на данный момент?
Facebook создал новый центр конфиденциальности, который будет содержать все основные настройки конфиденциальности в одном месте. Благодаря европейскому законодательству, ирландский филиал Facebook в Дублине (Facebook Ireland Limited, вторая следующий Facebook Inc. Компания Facebook)пришлось нанять заместителя главного сотрудника по конфиденциальности. Человек, который будет в этом положении, должен иметь полный доступ ко всем ресурсам компании, и его деятельность должна контролироваться непосредственно Мареком Цукербергом. В то же время он должен находиться в постоянном контакте с местным надзорным органом. Чтобы внедрить GDPR, Facebook использовал сотни людей (инженеров, аналитиков, юристов и специалистов в области политики конфиденциальности и безопасности данных), которые оценивают каждую отдельную функцию портала с точки зрения соответствия его требованиям. Реализация фокусируется на двух ключевых проблемах: прозрачности процесса и пользовательском контроле над их данными.
Amazon начала улучшать шифрование данных в своей службе облачного хранения и упростила контракт с клиентами в отношении обработки их информации.
Google пришлось пересмотреть многие соглашения о согласии, а также изменить базовую технологию для облегчения удаления данных.
Япония в 2017 году создала независимое агентство, занимающееся жалобами на неприкосновенность частной жизни, чтобы соответствовать европейским стандартам (в ходе переговоров по новому торговому соглашению между Японией и ЕС).
Израиль и Новая Зеландия принадлежат нескольким международным партнерам, которые заключили соглашения с ЕС, подтверждая, что их положения о защите данных равны положениям, применяемым в Европе.
Другие страны также будут адаптировать национальное законодательство. В некоторых случаях это нужно делать буквально.
С ЧЕМ ВЫ СТОЛКНЕТЕСЬ НА РАБОТЕ В БЛИЖАЙШЕЕ ВРЕМЯ
ТЕЛЕФОННОЕ УВИДОМЛЕНИЕ О БОЛЕЗНИ
Информация о здоровье — это данные, которые особенно защищены RODO. Эта информация не должна распространяться другим коллегам, если больной сотрудник не согласился на ее доступность.
ПРАЗДНОВАНИЕ ДНЯ РОЖДЕНИЯ КОЛЛЕГ
Дата рождения сотрудника является частью личных данных. Согласно РОДО, празднование дня рождения сотрудника может состояться только с его согласия. Убедитесь, что у вас есть разрешение на то, чтобы все сотрудники делили общий календарь рождения в офисе.
ОТПРАВКА РОЖДЕСТВЕНСКИХ ОТКРЫТОК ИЛИ ДРУГИХ
Если компания планирует отправлять рождественские открытки своим клиентам — будьте особенно осторожны. Если отправка связана с использованием частного домашнего адреса, это обработка персональных данных. Если вы хотите отправить рождественские пожелания, вы должны получить согласие людей, которым адресованы открытки.
ИСПОЛЬЗОВАНИЕ ФОТОГРАФИЙ ДЕТЕЙ ВАШИХ КОЛЛЕГ
Об этом нужно подумать дважды, прежде чем делиться фотографией ребенка сотрудника. RODO позволяет использовать персональные данные лиц старше 16 лет. Проект польской поправки к Закону о защите данных снизил этот возраст до 13 лет.
СПЕЦИАЛЬНЫЕ БЛЮДА ВО ВРЕМЯ КОРПОРАТИВНЫХ МЕРОПРИЯТИЙ
В компаниях все чаще люди с аллергией на продукты питания могут использовать различные диеты, обусловленные потребностями в области здравоохранения или религии. Информация о таких диетах также может рассматриваться как персональные данные. При заказе специальных блюд в компании общественного питания или в ресторане убедитесь, что у вас есть соответствующие согласия соответствующих лиц.
ПОДАЧА РЕЗЮМЕ КАНДИДАТА НА ОБСУЖДЕНИЕ СОТРУДНИКОВ
Рекрутеры, которые пытаются консультироваться со своими коллегами по поводу кандидата, должны помнить, что данные в CV также являются персональными данными. Чтобы говорить о конкретной кандидатуре с кем-то другим, лучше просто анонимизировать: удалите имя, адрес, номер телефона и любую другую идентифицирующую информацию.
ГОВОРЯ О ПОЛИТИКЕ В ОФИСЕ
Политические взгляды являются частью специальной категории персональных данных — так называемых чувствительных персональных данных. Организации, в том числе предприятия, не могут регистрировать или обрабатывать такую информацию.
Comments