Бухгалтерия в Польше | inPL Group - бухгалтерское обслуживание в Люблине, Катовице, Кракове и Варшаве

Что такое RODO?

C 25 мая 2018 года вступило в силу законодательство об охране личных данных в Польше. Физические лица получают право на удаление своих личных данных из любых источников, а фирмы и государственные институты должны провести ряд изменений. За невыполнение требований законодательства грозит наказание в виде крупного денежного штрафа в виде сотни тысяч злотых или даже миллионов Евро.

Rozporządzenie o Ochronie Danych Osobowych (RODO) – это законодательство о защите персональных данных, которое действует во всех странах ЕС.

Данное законодательство касается абсолютно всех фирм и государственных организаций Польши, которые накапливают и используют персональные данные физических лиц. Все фирмы, у которых есть персональные данные или личная информация физических лиц должны проинформировать о хранении и использовании этой информации ее владельцев. По желанию физического лица вся информация может быть удалена с конкретной организации.

Данное законодательство имеет только плюсы, поскольку не должно быть непонятных звонков из различных организаций. Например, тех, кто хочет прорекламировать свои товары или услуги. Каждое физическое лицо имеет право потребовать информацию о том, откуда его личные данные взяла та или иная фирма.

10 важных изменений связанных с RODO
1. Финансовые наказания
RODO вводит финансовое наказание за отсутствие внедрения и соответствия предприятия новым законам по охране персональных данных.
Фирмы могут получить штрафы от 10 до 20 миллионов евро или от 2% до 4% от общего оборота предприятия.
Для государственных организаций предусмотрен штраф на уровне 100.000 злотых.
Штрафы применяются пропорционально к допущенным нарушениям.

2. Ответственность организации
За нарушения законодательства об охране персональных данных отвечает руководитель фирмы. Ответственность является непосредственной и назначение инспектора охраны персональных данных в фирме или передача этой функции сторонней фирме не освобождает от этой ответственности. Руководитель предприятия является ответственным лицом как перед контролирующим органом, так и перед судами соответствующих инстанций. Нельзя перенести эту ответственность на кого-то из работников предприятия.

3. Инспектор охраны данных (IOD) – новая функция
Инспектор охраны данных (IOD) – это новая функция ответственного лица в организации, которое занимается не только вопросами персональных данных, но и тот на котором лежит обязанность уведомления органов контроля о нарушениях. Понятие администратора персональных данных (ABI), которое существовало ранее перестаёт при этом существовать.
Определение IOD является обязательным для юридических лиц, которые во время ведения своей деятельности обрабатывают такие типы персональных данных, отсутствие безопасности которых может привести к нарушению прав и свобод физических лиц, к примеру дети.

В обязательном порядке IOD должны назначить:

  • публичные государственные организации: школы, гос. администрация гм, организации социальной помощи, коммунальные предприятия и т.п.,
  • фирмы, которые регулярно обрабатывают и хранят персональные данные физических лиц, к примеру телекоммуникационные фирмы, рекламные фирмы, фирмы, которые проводят разного рода опросы, стразовые компании и т.п.,
  • госпитали, поликлиники,
  • другие, о которых говорит законодательство RODO.
  • IOD должен обладать знаниями в области хранения персональных данных, для того чтобы правильным образом руководить политикой хранения персональных данных на предприятии.

4. Уведомление о нарушениях в течении 72 часов
Инспектор Персональных Данных IOD имеет обязательство уведомлять контролирующие органы о нарушении безопасности персональных данных на предприятии в течении 72 часов от момента возникновения нарушения.
В некоторых случаях есть необходимость уведомления непосредственно физических лиц, которых касается инцидент (утечка).

5. Реестр нарушений
Одно из изменений, которое навязывает нам RODO, является новое обязательство для инспектора персональных данных на предприятии – ведение журнала-реестра нарушений. Согласно законодательству IOD должен документировать любые нарушения безопасности персональных данных, суть самих нарушений, а так же описывать действия, которые были предприняты в этой связи.
Ведение документации подобным образом должно дать возможность контролирующим органам возможность проверить, соблюдаются ли фирмой правила RODO в отношении ведения такой документации, а так же возможность проверки уведомления контролирующего органа о такого рода нарушениях.

6. Анализ рисков
Проведение анализа рисков будет обязательным для организаций, которые занимаются хранением персональных данных «высокого риска», к таким данным относятся: данные которые касаются здоровья (физического, психического, использование медицинских услуг), данных о детях, конфиденциальных данных.

7. Новые процедуры и положения
Необходимость проработки и реализации процедур, а так же механизмов которые обеспечат безопасность обработки персональных данных, тестирование и оценка их эффективности – это ответственность инспектора персональных данных RODO.
Новые обязанности – это вопрос повышенной ответственности для инспектора персональных данных, с учетом отсутствия готовых решений в этой сфере. RODO не указывает напрямую о том, какие документы, процедуры и политики необходимо внедрить. В общих формах упоминается о том, что сами фирмы должны проявить осторожность и старательность в обеспечении этих процессов, чтобы во время обработки персональных данных не дошло до нарушения.

8.Обязательство инвентаризации информации содержащей персональные данные
RODO не обязан регистрировать реестры данных, которые содержат персональные данные. Однако вводят обязательство вести внутренний реестр обработки таких данных, который должен включать в себя такую информацию: причина обработки конкретных персональных данных, описание категории персональных данных, реестры нарушений, данные ответственных лиц, которые ответственны за обработку конкретного объекта данных на предприятии.

9.Право на удаление персональных данных и право просмотра истории хранимых персональных данных
RODO признает право физического лица требовать от организаций, которые хранят персональные данные физического лица, удаления персональных данных о себе, такая просьба не имеет возможности отказа.

Чуть деталей:

  • „право быть забытым” или право на удаление персональных данных о себе; это касается информации: в цифровой форме, бумажной, а так же о информации в резервных копиях,
  •  расширенное право физического лица на просмотр его персональной информации, к примеру: право на получение копии хранимых персональных данных.

10.Обработка персональных данных детей
Администратор данных должен обеспечить возможность выражение согласия на хранение персональных данных детей родителями (в первую очередь это касается сервисов в Интернете).

Документы, которые регулируют вопросы RODO

  1. Распоряжение европейского парламента 2016/679 от 27 апреля 2016 года, которое касается охраны персональных данных 
  2. Дополнением к европейским регуляциям RODO является проект акона от 13 сентября 2017 года об охране персональных данных.

Kontakt