GDPR: Захист персональних даних у 2018 році - Звіти про обробку зразків та заповнення

З 25 травня 2018 року Закон про захист персональних даних № 18/2018. Цей закон вводить в наше законодавство регламент GDPR. Цього місяця абревіатура GDPR використовується досить часто скрізь, тому ми також регулярно пропонуємо вам нові внески з цієї теми, щоб ви були проінформовані про всі зміни в законодавстві та те, що GDPR застосовує на практиці. У сьогоднішній роботі ми зосередимося головним чином на записах обробної діяльності.

Хто повинен вести облік переробної діяльності?

Кожен оператор або представник оператора (якщо оператор його має) повинен вести облік діяльності з переробки в паперовій або електронній формі. Цей запис не потрібно нікуди надсилати, оператор лише зберігає його при собі. Однак, на прохання Органу, оператор або представник оператора зобов'язані зробити запис доступним для Органу.

Посередник та представник посередника, якщо вони уповноважені, ведуть облік категорій операцій з обробки, що проводяться від імені контролера.

Записи обробної діяльності замінюють повідомлення про інформаційні системи, заявки на спеціальну реєстрацію інформаційних систем та реєстраційні аркуші інформаційних систем. На відміну від правового регулювання, що міститься в Законі № 122/2013 зб. щодо захисту персональних даних це зобов'язання пов'язане не з інформаційною системою, а з метою обробки.

Оператор або представник оператора несе відповідальність за забезпечення того, щоб вся інформація, що міститься в записі, була актуальною. Наприклад, якщо відповідальна особа змінилася, оператор зобов’язаний оновити цю інформацію у записі в день зміни.

У преміум-частині вмісту ви знайдете:

• Що повинен містити запис про діяльність з обробки?
• Хто не повинен вести облік переробної діяльності?
• Типовий запис обробної діяльності
• Інструкція щодо заповнення типового запису переробної діяльності

Що повинен містити запис про діяльність з обробки?

Запис оператора повинен містити:

• ідентифікаційні дані та контактні дані оператора, спільного оператора, представника оператора, якщо він уповноважений, та відповідальної особи,
• мета обробки персональних даних,
• опис категорій суб’єктів даних та категорій персональних даних,
• категорії бенефіціарів, включаючи бенефіціара третьої країни або міжнародної організації,
• призначення третьої країни або міжнародної організації, якщо контролер має намір передати персональні дані третій країні або міжнародній організації та документацію щодо відповідних гарантій, якщо контролер має намір передати відповідно до § 51 пар. 1 і 2,
• передбачувані терміни видалення різних категорій персональних даних,
• загальний опис технічних та організаційних заходів безпеки відповідно до § 39 п. 1.

Запис брокера повинен містити:

• ідентифікаційні дані та контактні дані посередника та оператора, від імені якого діє посередник, представника оператора або посередника, якщо він уповноважений, та відповідальної особи,
• категорії обробки персональних даних, що здійснюється від імені кожного контролера,
• призначення третьої країни або міжнародної організації, якщо контролер має намір передати персональні дані третій країні або міжнародній організації, та документація щодо обґрунтованих гарантій, якщо контролер має намір передати відповідно до § 51 абз. 1 і 2,
• загальний опис технічних та організаційних заходів безпеки відповідно до § 39 п. 1.

Хто не повинен вести облік переробної діяльності?

Якщо на підприємстві чи в організації працює менше 250 чоловік і

• якщо тільки малоймовірно, що обробка персональних даних, яку вона здійснює, призведе до ризику для прав і свобод суб'єкта даних, і
• обробка персональних даних є випадковою та
• обробка не включає спеціальні категорії персональних даних відповідно до § 16 абз. 1 Закону, або Ст. 9 пар. 1 Положення (наприклад, біометричні дані, дані про стан здоров'я тощо) або не включає персональні дані, що стосуються визнання вини у кримінальному правопорушенні або проступку згідно з § 17 Закону, або Ст. 10 Положення, отже

оператор або представник оператора не зобов'язані вести записи про конкретну діяльність з переробки, на яку поширюється це звільнення.

Зверніть увагу Podnikam.sk

Контролеру або представнику оператора не потрібно вести облік лише тих операцій обробки, на які поширюється саме звільнення. Таким чином, якщо він має 10 операцій з обробки та 2 звільняються, інші 8 повинні вести облік діяльності з обробки.

Типовий запис обробної діяльності

Ви можете завантажити зразок запису обробки даних тут: Типовий запис обробної діяльності

Цей шаблон містить усі обов'язкові вимоги, передбачені законодавством, або. Регламент, але не є обов'язковим. Оператор або представник оператора має можливість пристосувати його під себе, але він повинен містити всі законодавчі вимоги.

Інструкція щодо заповнення типового запису переробної діяльності

1. Оператор або представник оператора повинен вказати ідентифікаційні дані та контактні дані - ім’я/прізвище компанії, ідентифікаційний номер, адреса зареєстрованого офісу/постійного місця проживання, телефонний контакт, електронна адреса
2. Деталі спільного оператора, представника оператора та відповідальної особи повинні бути надані, якщо делегована або відповідальна особа була призначена.
3. Для відповідальної особи, яка може бути фізичною або юридичною особою, повинні бути перелічені всі ідентифікаційні дані та контактні дані, доступні оператору або представнику оператора. У випадку відповідальної особи, яка одночасно є працівником оператора/представником оператора, заповнювати адресу не потрібно. У випадку зовнішньої відповідальної особи вказується адреса її зареєстрованого офісу або постійного місця проживання.
4. З метою обробки персональних даних означає конкретно визначену або встановлену мету, на основі якої контролер буде обробляти персональні дані, пов’язані з його діяльністю. Ця мета повинна бути визначена оператором заздалегідь, однозначно і повинна бути обґрунтована. Наприклад обробка персональних даних працівника з метою виконання зобов’язань роботодавця, пов’язаних із трудовими відносинами. Кожна мета обробки повинна бути визначена окремо в записі, і всі обов’язкові вимоги повинні бути виконані для кожної. Скільки цілей має оператор, скільки «рядків» повинен містити запис.
5. Опис категорій зацікавлених осіб - коло осіб, чиї персональні дані будуть оброблятися. У випадку з працівниками такою категорією буде працівник, чоловік/дружина працівника, діти працівника тощо.
6. В категорія персональних даних наступними варіантами є: звичайні персональні дані, особлива категорія персональних даних та/або персональні дані, що стосуються визнання вини у кримінальному правопорушенні або проступку. Представник контролера/оператора повинен вказати категорію, але не виключено надання переліку імен усіх персональних даних, які він обробляє.
7. Ще однією обов’язковою вимогою є категорія пільговиків. Одержувач означає будь-кого, кому надаються персональні дані, незалежно від того, чи є вони третьою стороною. Якщо оператор зможе ідентифікувати бенефіціара, він повинен вписати конкретного бенефіціара в запис, наприклад, соціальну страхову компанію, медичну страхову компанію у випадку працівника та сплату внесків за нього. Якщо оператор не може ідентифікувати одержувача, категорія, коло одержувачів, напр. суди, органи державної влади тощо. Бенефіціар також є посередником оператора.
8. Якщо оператор має намір передача персональних даних третім країнам або міжнародні організації зобов'язані внести перелік із зазначеною законодавчою вимогою, до якої передаватимуться дані. Документація належних запобіжних заходів для забезпечення такої передачі повинна бути доступною.
9. Необхідно вказати для кожної категорії персональних даних термін, після чого вони повинні бути особистими дані видалено. Цей період може бути встановлений спеціальним законодавством, напр. Закон про архіви та реєстри, або оператор сам визначає це з урахуванням принципу мінімізації збереження персональних даних.
10. Необхідно зазначити в протоколі переробної діяльності, яка технічні та організаційні заходи безпеки були вжиті оператором, забезпечити безпеку, захист обробки персональних даних та зробити все, що в її силах, щоб запобігти їх неправильному використанню. Необхідно виходити із § 39 Закону, який передбачає, зокрема, такі заходи:
    • псевдонімізація та шифрування персональних даних,
    • забезпечення постійної конфіденційності, цілісності, доступності та стійкості систем обробки персональних даних,
    • процес відновлення доступності персональних даних та доступу до них у разі фізичного чи технічного інциденту,
    • процес регулярного тестування, оцінки та оцінки ефективності технічних та організаційних заходів щодо забезпечення безпеки обробки персональних даних.

Можливо, мова йде про технічні заходи безпеки для захисту комп’ютера антивірусом, захисту паролем, у випадку паперового документа це може бути шафа, що замикається, сейф, архів з кодом. У випадку організаційних заходів саме людський фактор забезпечує безпеку обробки персональних даних зацікавлених осіб, напр. призначена відповідальна особа, інформована уповноважена особа. У разі підготовленої документації щодо захисту персональних даних можна надати посилання на такий документ.

16. У типовому записі переробної діяльності оператора або представника оператора вводиться необов’язкова вимога „правова основа переробної діяльності”, яка регулюється в § 13 Закону. Це не є обов'язковою частиною запису про діяльність з обробки, але через те, що правова основа пов'язана з метою обробки персональних даних, і у разі контролю контролер/представник контролера все ще зобов'язаний заявити основа обробки.

• Фільм Вкрадена принцеса (2018), Вкрадена гордість Руслана та Людмила Телепрограма
• Історія міста - Середньовічне місто (до 1526 р.)
• Докторську дисертацію вона подала у 1938 р., А зараз захистила диплом у віці 102 років; Щоденник N
• F комуністичного режиму Державний переворот 1989 року був організований Службою державної безпеки, щоб вони могли пограбувати державу!
• Гарячі модні тенденції 2018 Яке взуття буде цієї весни та літа В ДАМСКАЯЗДІ