Загальне положення про захист даних встановлює детальні вимоги до компаній та організацій щодо збору, зберігання та управління персональними даними. Вимоги застосовуються до європейських організацій, які обробляють персональні дані осіб в ЄС, та до організацій, що не входять до ЄС, орієнтованих на людей, які проживають в ЄС.

дані

Коли застосовується загальний регламент про захист даних?

Загальне положення про захист даних застосовується, коли:

  • Ваша компанія обробляє персональні дані та базується на території ЄС, незалежно від того, де відбувається фактична обробка даних,
  • ваша компанія заснована за межами ЄС, але обробляє персональні дані у зв'язку з пропозицією товарів чи послуг фізичним особам в ЄС або відстежує поведінку фізичних осіб у межах ЄС.

Бізнес, що не базується на ЄС та обробляти дані громадян ЄС, які вони повинні призначити представник в ЄС.

Коли загальне положення про захист даних не застосовується?

Загальне положення про захист даних не застосовується, коли:

  • зацікавлена ​​особа померла,
  • зацікавлена ​​особа є юридичною особою,
  • обробка здійснюється особою, яка діє з цілями, не пов’язаними з її професією, бізнесом чи професією.

Що таке особиста інформація?

Персональні дані - це вся інформація про ідентифіковану або ідентифіковану особу, яка також називається зацікавлена ​​особа. Персональні дані включають таку інформацію, як:

  • ім'я,
  • адресу,
  • Номер ОП/паспорта,
  • доходу,
  • культурний профіль,
  • адреса інтернет-протоколу (IP),
  • дані, що зберігаються в лікарні або лікарі (які індивідуально ідентифікують особу в медичних цілях).

Спеціальні категорії даних

Ви не можете обробляти особисту інформацію про:

  • расового чи етнічного походження,
  • сексуальна орієнтація,
  • Політичні погляди,
  • релігійні чи філософські переконання,
  • членство в профспілках,
  • генетична, біометрична або медична інформація, за винятком конкретних випадків (наприклад, якщо ви отримали явну згоду або обробка необхідна з причин вищих суспільних інтересів відповідно до законодавства ЄС або національного законодавства),
  • винні у кримінальних правопорушеннях та проступках, якщо це не дозволено законодавством ЄС або національним законодавством.

Хто обробляє персональні дані?

Під час обробки персональні дані можуть передаватися через різні компанії або організації. У рамках цього циклу існує два основних профілі, які займаються обробкою персональних даних:

  • Оператор - приймає рішення про мету та спосіб обробки персональних даних.
  • Брокер - зберігає та обробляє дані від імені контролера.

Хто стежить за тим, як обробляються персональні дані в компанії?

Він відповідає за моніторинг обробки персональних даних та надання інформації та порад працівникам, які обробляють персональні дані у зв'язку зі своїми обов'язками. відповідальна особа, яка може бути призначена компанією. Відповідальна особа також співпрацює з органом із захисту даних, слугуючи контактним пунктом для органу із захисту даних та окремих осіб.

Коли слід призначити відповідальну особу?

Ваша компанія зобов'язана призначити відповідальну особу, якщо:

  • регулярно або систематично контролює окремих осіб або обробляє конкретні категорії даних,
  • ця обробка є основною діловою діяльністю,
  • обробляє дані у великих масштабах.

Наприклад, якщо ви обробляєте особисту інформацію з метою націлювання реклами на пошуковій основі на основі поведінки людей в Інтернеті, вам потрібно визначити відповідальну особу. Однак якщо ви надсилаєте рекламні матеріали своїм клієнтам лише раз на рік, вам не потрібно мати відповідальної особи. Подібним чином, якщо ви лікар і отримуєте інформацію про стан здоров’я пацієнта, можливо, вам не потрібно мати відповідальну особу. Однак, якщо ви обробляєте особисту генетику або дані про стан здоров’я для лікарні, тоді ви повинні мати відповідальну особу.

Відповідальною особою може бути працівник вашої організації або зовнішня особа за договором про надання послуг. Відповідальною особою може бути фізична особа або частина організації.

Обробка даних для іншої компанії

Оператор може використовувати лише посередника, який пропонує достатні гарантії, які повинні бути частиною письмового договору між залученими сторонами. Договір також повинен містити кілька обов'язкових пунктів, таких як що посередник буде обробляти персональні дані лише за вказівкою контролера.

Передача даних за межі ЄС

При передачі особистих даних за межі ЄС, дані повинні продовжувати захищатись Загальним регламентом про захист даних. Це означає, що якщо ви експортуєте свої дані за кордон, ваша компанія повинна забезпечити дотримання одного з таких заходів:

  • Захист даних, що застосовується у країні за межами ЄС, вважається адекватним з точки зору ЄС.
  • Ваша компанія вживатиме необхідних заходів для забезпечення належних гарантій, таких як спеціальні застереження за узгодженим контрактом із суб'єктом господарювання, що не входить до ЄС, що імпортує персональні дані.
  • Ваша компанія наводить особливі причини передачі (відхилення), наприклад, згоду особи.

Коли обробка даних дозволена?

Згідно з правилами ЄС щодо захисту даних, ви повинні обробляти дані справедливо і законно для визначених і законних цілей і обробляти лише ті дані, які необхідні для досягнення цієї мети. Обробка персональних даних вимагає, щоб ви відповідали одній із таких умов:

  • ти маєш згода зацікавлена ​​особа,
  • вам потрібні персональні дані для заповнення договірні зобов’язання проти відповідної особи,
  • особисті дані, яким потрібно дотримуватися юридичне зобов'язання,
  • вам потрібні персональні дані для захисту життєво важливі інтереси зацікавлена ​​особа,
  • Ви обробляєте персональні дані для цілей ефективності завдання в інтересах суспільства,
  • ви дієте в законні інтереси основні права та свободи особи, якій обробляються дані. Якщо права суб’єкта даних перевищують інтереси вашої компанії, ви не можете обробляти відповідні персональні дані.

Згода на обробку даних

Відповідно до Загального регламенту захисту даних застосовуються суворі правила щодо обробки даних згоди. Метою цих правил є переконайтеся, що зацікавлена ​​особа розуміє його згоду. Це означає, що згода повинна даватися безкоштовно, конкретно, поінформовано та однозначно на основі чіткого та простого запиту. Згода повинна даватися у формі згоди, наприклад, позначивши поле на веб-сайті або підписавши форму.

Якщо хтось дає згоду на обробку своїх персональних даних, ви можете обробляти ці дані лише для цілей, на які була дана згода. Ви також повинні дозволити відкликання даної згоди.

Надання прозорої інформації

Вам потрібно надати особам чітку інформацію про те, хто і чому обробляє їхні персональні дані. Інформація повинна містити щонайменше наступне:

  • хто ти,
  • чому ви обробляєте персональні дані,
  • яка юридична основа,
  • (можливо), хто отримує ці дані.

У деяких випадках надана інформація повинна також містити:

  • контактні дані будь-якої відповідальної особи,
  • який законний інтерес переслідує компанія, якщо це є законною причиною для обробки даних,
  • заходи, що застосовуються до передачі даних до країни за межами ЄС,
  • як довго зберігатимуться дані,
  • індивідуальні права на захист даних (тобто право доступу, виправлення, стирання, обмеження, заперечення, переносимість тощо)
  • як згоду можна відкликати (якщо згода є законною причиною для обробки),
  • чи є юридичне або договірне зобов'язання надавати дані,
  • у випадку автоматизованого рішення - інформація про застосовану процедуру, значення та наслідки для цього рішення.

Надана інформація повинна бути чіткою та простою.

Особливі правила для дітей

Якщо ви отримуєте особисті дані від дитини за вашою згодою, наприклад, у зв'язку з використанням облікового запису в соціальних мережах або облікового запису для завантаження, спочатку потрібно отримати згоду батьків, напр. надіславши повідомлення батькові чи опікуну. Вік, в якому людина вважається дитиною, залежить від місця проживання, але коливається від 13 до 16 років.

Право доступу та право перенесення даних

Ви повинні переконатися, що вони є у всіх людей право на безкоштовний доступ до ваших персональних даних. Якщо ви отримуєте такий запит, ви повинні:

  • скажіть, чи обробляєте ви її персональні дані,
  • надати деталі обробки (мета обробки, категорії відповідних персональних даних, одержувачі даних тощо),
  • надати копію персональних даних, що обробляються (у доступному форматі).

Якщо обробка ґрунтується на згоді чи контракті, суб’єкт даних може вимагати повернення своїх персональних даних або їх передачі іншій компанії. Це називається правом на перенесення даних. Ви повинні надавати дані в загальновживаному та машиночитаному форматі.

Право на виправлення та право на заперечення

Якщо хтось переконаний, що їхні персональні дані є неправильними, неповними або неточними, вони це мають право забезпечити ремонт без зайвої затримки.

У цьому випадку ви повинні повідомити всіх одержувачів даних, яким були надані такі персональні дані, про будь-які зміни або видалення. Якщо будь-яка з персональних даних, яку ви надаєте нижче, була неправильною, вам може знадобитися повідомити кожного, хто з нею зв’язався (якщо це не стосується надмірних зусиль).

Індивідуальний він також може в будь-який час заперечити проти обробки своїх персональних даних з конкретною метою, коли ваша компанія обробляє їх на основі ваших законних інтересів або в контексті завдання, що стосується суспільних інтересів. Якщо у вас немає законних інтересів, що перевищують інтереси окремої людини, ви повинні припинити обробку персональних даних.

Подібним чином особа може попросити вас обмежити обробку ваших персональних даних, доки не буде встановлено, чи перевищує ваш законний інтерес його інтереси. Однак у випадку прямого маркетингу ви завжди зобов’язані припинити обробку персональних даних, якщо особа цього вимагає.

Право на стирання (право на забуття)

За деяких обставин особа може вимагати від контролера видалення його персональних даних, наприклад, якщо ці дані більше не потрібні для виконання мети обробки. Однак ваша компанія не зобов'язана це робити, якщо:

  • обробка необхідна для дотримання свободи вираження поглядів та права на інформацію,
  • ви повинні зберігати ці персональні дані для дотримання законних зобов’язань,
  • існують інші причини, що становлять суспільний інтерес для збереження таких персональних даних, таких як охорона здоров’я або для наукових чи історичних досліджень,
  • вам потрібно зберігати ці персональні дані з метою доведення юридичної вимоги.

Автоматизоване прийняття рішень та профілювання

Фізичні особи мають право не бути предметом рішення, заснованого виключно на автоматичній обробці. Однак є і такі винятки з цього правила, наприклад, якщо вони дали свою явну згоду на автоматизоване рішення. За винятком випадків, коли автоматизоване рішення базується на будь-якому законодавстві, ваша компанія повинна:

  • надати особі інформацію про автоматичне прийняття рішень,
  • надати особі право на перегляд цього автоматизованого рішення особою,
  • дати особі можливість оскаржити автоматизоване рішення.

Наприклад, якщо банк автоматизує своє рішення щодо надання кредиту фізичній особі чи ні, цій особі слід повідомити про автоматизацію рішення та мати можливість оскаржити це рішення та вимагати втручання людини.

Порушення даних - надання належного повідомлення

Порушення даних відбувається, коли особисті дані, за які ви відповідаєте, випадково або незаконно, передаються несанкціонованим одержувачам., доступ до них буде тимчасово заблокований або змінений.

Якщо сталося порушення даних, і порушення становить ризик для прав і свобод фізичних осіб, вам слід повідомити про це орган захисту даних протягом 72 годин після того, як стало відомо про порушення.

Залежно від того, чи представляє це порушення даних високий ризик для постраждалих осіб, ваша компанія може бути зобов’язана повідомити всіх постраждалих осіб.

Відповідь на запити

Якщо ваша компанія отримує запит від особи, яка хоче скористатися своїми правами, ви повинні відповісти на запит без зайвої затримки, і в будь-якому випадку протягом одного місяця з моменту отримання запиту. Строк для відповіді може бути продовжений на два місяці у разі складних або багаторазових запитів, за умови, що особа буде проінформована про це продовження. Заявки повинні розглядатися безкоштовно.

Якщо заявку відхилено, ви повинні повідомити особу про причини відхилення та про її право подати скаргу до органу захисту даних.

Оцінка впливу

Проведення оцінки впливу на захист даних є обов’язковим, коли планується обробка даних представляв високий ризик за права та свободи людей, напр. коли використовуються нові технології.

Такий високий ризик існує, якщо:

  • автоматизовані механізми обробки даних та профілювання використовуються для оцінки осіб,
  • загальнодоступне місце значною мірою контролюється (наприклад, за допомогою системи камер),
  • спеціальні категорії даних або особисті дані, що стосуються винних кримінальних правопорушень та правопорушень (наприклад, дані про здоров'я), обробляються у великих масштабах.

Примітка: Органи захисту персональних даних можуть включати інші категорії обробки даних як групи високого ризику.

Якщо заходи, визначені на основі оцінки впливу на захист даних, не дозволяють усунути всі виявлені високі ризики, до запланованої обробки даних слід проконсультуватися з органом захисту персональних даних.

Облік

Ви повинні бути в змозі продемонструвати, що ваша компанія виконує загальний регламент про захист даних та виконує всі відповідні зобов’язання - зокрема, на запит або в рамках перевірки органом, що займається захистом даних.

Один із способів зробити це - вести детальний облік таких питань, як:

  • ім'я та контактні дані вашої компанії з обробки даних,
  • причина (и) обробки персональних даних,
  • опис категорій осіб, які надають персональні дані,
  • категорії організацій, які отримують персональні дані,
  • передача персональних даних в іншу країну або організацію,
  • період зберігання персональних даних,
  • опис заходів безпеки, що використовуються при обробці персональних даних.

Ваша компанія повинна мати письмові процедури та вказівки, регулярно їх оновлювати та ознайомлювати з працівниками.

Увага

Якщо ваша компанія є МСП чи мікропідприємством, вам не потрібно вести облік діяльності з переробки, якщо:

  • не виконуються регулярно,
  • не впливають на права або свободи зацікавлених осіб,
  • вони не стосуються конфіденційних даних або записів, що зберігаються в судимості.

Спеціально розроблений та стандартний захист даних

Спеціально розроблений захист даних Це означає, що ваша компанія повинна розглянути питання захисту даних на ранніх етапах планування нового способу обробки персональних даних. Відповідно до цього принципу контролер повинен вжити всіх необхідних технічних та організаційних заходів для реалізації принципів захисту даних та захисту прав фізичних осіб. Такі кроки можуть включати, наприклад, використання псевдонімізації.

Стандартний захист даних Це означає, що ваша компанія повинна завжди надавати налаштування за замовчуванням, які максимально враховують конфіденційність. Наприклад, якщо можливі два типи налаштувань конфіденційності, один з яких не дозволяє доступ до персональних даних інших, це слід використовувати як налаштування за замовчуванням.

Порушення правил та санкцій

Невиконання загального регламенту захисту даних може спричинити високий штраф до 20 млн. Євро або 4% від загального обороту вашої компанії за деякі порушення. Орган захисту даних може ввести додаткові коригувальні заходи, такі як наказ припинити обробку персональних даних.