Згідно із загальною постановою захисту даних, 25 травня в Європейському Союзі, а отже і в Польщі, набудуть чинності нові правила про охорону особистих даних, відомі як RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), англійською мовою General Data Protection Regulation (GDPR). Про це пише Business Insider Polska.
Над проектом RODO працювали і обговорювали його чотири роки, остаточне рішення було ухвалено Європейським парламентом та Радою Європейського Союзу у квітні 2016 року.
З травня цього року закони щодо охорони особистих даних для усіх 28 країн-членів ЄС мають бути уніфіковані. Європейські урядовці поставили за мету оновити регуляцію охорони персональних даних, що була чинною з 1995 року і в період зростаючої цифризації мала щораз менше практичне застосування. У вівторок президент Польщі підписав закон про охорону особистих даних, який покликаний забезпечити застосування RODO в Польщі.
Відтак, нові вимоги щодо охорони персональних даних змусять змінити частину процедур, які фірми використовували роками.
Кого стосується RODO?
Стосується усіх фірм, які накопичували та використовували персональні дані фізичних осіб. Йдеться як про великі корпорації, наприклад, фінансові інституції чи страхові фірми, так і про невеличкі підприємства, як інтернет-магазини чи косметичні салони.
Як зазначає Європейська правда, RODO cтосуватиметься до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від їх місця розташування. Тобто, не тільки філії українських компаній на території ЄС також повинні відповідати новим вимогам, а навіть якщо компанія перебуває на території України, але продає товари і послуги користувачам з країн ЄС онлайн, надаючи їх локальними мовами, у місцевих валютах або використовуючи національні домени верхнього рівня країн ЄС, вона все одно підпадає під дію RODO. Більше того, зазначає видання, під дію нового регламенту підпадають усі організації, які обробляють персональні дані європейців.
Водночас нове законодавство було створене так, аби бути “технічно нейтральним”, тобто незалежним від розвитку технологій. Тому нове розпорядження не містить жодних конкретних рекомендацій, як забезпечити особисті дані. Відтак, методи забезпечення і обробки персональних даних кожен підприємець буде змушений достосовувати індивідуально з огляду на характер своєї діяльності.
“Кожен підприємець діє по-різному. По-одному забезпечується безпека даних у страховому секторі, по-іншому у банковій сфері, зовсім інакше у інтернет торгівлі. У зв’язку з цим немає єдиного шаблону дій, кожен повинен створити його собі сам. Переходимо від закритої до відкритої моделі охорони даних,” – говорить Мацєй Кавецкі, радник міністра Міністерства Цифризації.
Обробка персональних даних
Повідомляється, що обробка даних повинна здійснюватися згідно наступних правил: дані повинні оброблятися законно, справедливо і прозоро; користувач зобов’язаний отримати інформацію про цілі, методи та обсяги обробки його персональних даних в максимально доступній формі; дані повинні збиратися і використовуватися лише в тих цілях, які заявлені компанією або онлайн-сервісом; не можна збирати більше даних, ніж необхідно для цілей обробки; неточні особисті дані повинні бути видалені або виправлені на вимогу користувача; особисті дані повинні зберігатися не довше, ніж це необхідно для цілей обробки, а при обробці даних компанії зобов’язані забезпечити захист персональних даних від несанкціонованої або незаконної обробки, знищення та пошкодження.
Управління персональними даними
Чергове нове правило буде стосуватись перенесення даних. Кожен громадянин може звернутись до адміністратора, тобто підприємця, який має його дані, з запитом переказати особисті дані у форматі файлу pdf. Тобто підприємець буде зобов’язаний за запитом надати інформацію, які конкретно дані він використовує у своїй діяльності. Але це лише елемент перенесення даних.
В загальному це правило покликане допомогти реалізувати інформаційну автономію, коли ми маємо право приймати рішення щодо особистих даних і з огляду на це забезпечити собі більшу безпеку та користь, наприклад, під час трансферу даних між одним підприємством і іншим.
“Можна буде вимагати передати файл з персональною інформацією про наші персональні дані безпосередньо у іншу фірму чи інституцію. Це дозволить, наприклад, полегшити процедуру отримання кредиту: замість того, або бігати по декількох різних інстанціях і збирати папери, можна буде попросити, аби фірми здійснили між собою обмін необхідною інформацією,” – пояснює Кавецкі.
Право бути забутим
Цікавим. з точки зору споживача, є той факт, що він зможе вимагати не тільки надати йому інформацію про персональні дані, але і попросити про те, аби інформацію про нього усунули з бази даних інституції. Це називається правом бути забутим. Умовою є те, що ці дані не будуть більше використовуватись. І з цим можуть виникнути певні проблеми, адже часом, навіть коли умова між споживачем та фірмою закінчується, інформація про персональні дані використовується.
Фірма, яка просить громадянина про надання персональних даних, буде змушена проінформувати про мету, період та час їх обробки. Підхід “особистих даних” буде також поширюватись на адреси ІР та збір інтернет-браузерами файлів cookies. Це означає, що положення про використання особистих даних, які клієнти повинні підписати, будуть ще більш масштабними. І незалежно від того, чи хтось їх читатиме, підприємці повинні підготувати нові правові документи до 25 травня 2018 року з урахуванням розширеного інформаційного зобов’язання.
У випадку, якщо охорона персональних даних буде порушеною, наприклад, в результаті хакерської атаки, компанія повинна негайно повідомити про це генерального інспектора захисту персональних даних. На це вона матиме лише 72 години. Це ситуація, з якою польські підприємства не зустрічалися раніше. “Підприємці, поза телекомунікаційною індустрією, не звикли повідомляти про порушення захисту персональних даних контролюючим органам. Це нове зобов’язання вимагає не лише ідентифікувати порушення, а й підготувати процедуру для реагування у випадках щодо захисту даних”, – розповідає адвокат компанії PwC Legal Анна Кобилянська.
Штрафи
З набуттям новими правилами чинності посилюється і відповідальність за їх порушення. Штрафи сягають 20 млн. євро або 4% річного глобального доходу компанії залежно від того, що більше. Згідно з польським законом про охорону даних, який набуде чинності в п’ятницю, також передбачено штрафи за порушення законодавства про охорону персональних даних: максимально 100 тисяч злотих за публічне адміністрування, та 10 тисяч злотих для культурних інституцій.
ЄП/Business insider