Что такое GDPR? Самая важная информация

Что такое GDPR? Самая важная информация

GDPR, то есть Регламент ЕС о защите персональных данных, произвел настоящую революцию в сфере обработки персональных данных. Хотя положения директивы успешно действуют с 25 мая 2018 года, они до сих пор являются предметом оживленного обсуждения многих предпринимателей. Что такое GDPR и на кого он распространяется?

На кого распространяется GDPR?

Положения Общего регламента по защите данных (GDPR) применяются к компаниям, зарегистрированным в Европейском Союзе , которые собирают и используют данные физических лиц, а также к компаниям из-за пределов ЕС , которые предлагают продукты и услуги клиентам из Сообщества. Регламент расширяет права физических лиц в отношении обработки их данных, а также требует изменения подхода предприятий к организации и обеспечению защиты этих данных. Здесь следует отметить, что GDPR не распространяется строго на все предприятия. Компании, в которых занято более 250 сотрудников, должны соблюдать правила . А что насчет более мелких организаций? На них распространяется регулирование, когда они обрабатывают конфиденциальные данные .и когда обработка персональных данных может нарушать права и/или свободы субъектов данных . Каждая компания должна продемонстрировать, что у нее есть законные основания для обработки данных. Требуется прямое согласие лица, данные которого подлежат обработке (например, по трудовому договору).

На кого не распространяется GDPR?

Частый вопрос, возникающий в контексте Общего регламента по защите данных, касается связи между положениями Регламента и обработкой данных физическими лицами . В этом случае ответ однозначен. Физические лица, которые обрабатывают персональные данные, не связанные с профессиональной деятельностью (т.е. ведут неформальную переписку с друзьями) , не подпадают под действие положений GDPR . Сфера действия директивы не распространяется на органы, отвечающие за национальную безопасность, ЕС и дипломатические учреждения, а также органы, борющиеся с преступностью.

Сотрудник по защите персональных данных

Введение GDPR связано с назначением института уполномоченного  по защите данных . Это конкретный эквивалент администратора информационной безопасности, ранее действовавшего в соответствии с положениями Управления по защите персональных данных, и он поддерживает администраторов данных и другие организации, обрабатывающие персональные данные. Таким образом, главная задача инспектора состоит в том, чтобы обеспечить надлежащую защиту персональных данных . Назначение инспектора во многих случаях является обязанностью, а не правом контроллера данных, как раньше. Это обязательство необходимо для трех категорий субъектов: публичных (кроме судов; в эту категорию также входят частные субъекты, выполняющие публичные задачи),обработка данных таким образом, который требует мониторинга субъектов данных и обработки конфиденциальных данных . К основным задачам инспектора относятся: информирование администраторов и сотрудников об их обязательствах в соответствии с GDPR и другими правилами ЕС, контроль за соблюдением положений регламента, организация тренингов, предоставление рекомендаций и проведение аудитов компаний. Важно отметить, что функцию инспектора может выполнять как физическое лицо, так и организационное подразделение, назначенное администратором и обработчиком. Эта функция может быть передана на аутсорсинг . Все больше и больше компаний предлагают такие услуги. Примером может служить компания Audytel и сайт rodoradar.pl .

Обязанности администратора персональных данных

В соответствии с GDPR контролер персональных данных обязан адаптировать ИТ-системы таким образом, чтобы данные можно было полностью удалить или передать другой компании . Все операции с персональными данными должны планироваться тщательно и обдуманно, чтобы свести к минимуму риск утечки данных и возможные последствия этого события. Важно отметить, что контролер должен иметь возможность предоставлять информацию о персональных данных субъекту данных. Согласно регламенту, координатор должен ответить на поступивший запрос в течение одного месяца .

Последствия несоблюдения GDPR

Администратор несет прямую ответственность за халатность в отношении обработки персональных данных — даже если заказ на обработку данных был поручен субподрядчику (в этом случае применяется солидарная ответственность). О любых нарушениях положений GDPR следует сообщать в течение 72 часов с момента их обнаружения в компетентный надзорный орган, то есть в Управление по защите персональных данных. Особое значение имеют нарушения, которые могут нарушать права и свободы субъектов данных. Предусмотрены жесткие санкции за нарушение закона — 10 млн евро/2% от годового мирового оборота компании или 20 млн евро/4% от годового глобального оборота компании.(в зависимости от того, какие правила были нарушены). В случае государственного управления верхний порог штрафа составляет 100 000 злотых. злотый . Следует помнить, что не все правонарушения наказуемы. Многое зависит от тяжести совершенного правонарушения, умышленности и других смягчающих/отягчающих обстоятельств. Образовательный аспект также является важным элементом GDPR. Некоторые правонарушения заканчиваются предупреждением и осознанием допущенных ошибок вместе с указанием, как не допускать этих ошибок в будущем. Понятно, что положения GDPR не претендуют на то, чтобы быть жупелом , и что они основаны, прежде всего, на введении нового качества в администрировании персональных данных .

https://konkurent.ru/article/46361

Интересное