Три місяці до впровадження нових правил щодо захисту персональних даних

  • 2016 - 95 років існування CECCAR
  • Порядок денний CECCAR
  • Аналізи та синтези
  • Статистично короткий
  • Кар'єра. Шлях до продуктивності
  • НДДКР та інновації
  • Коментар до видання
  • Підключення до цифрової ери
  • XXII з'їзд професії бухгалтера
  • Законодавчий кур’єр
  • Безпосередньо від джерела
  • Документ
  • Подія
  • Експертиза та аудит бізнесу
  • Європейські фонди
  • Національний форум малих та середніх практик
  • Залученість та прозорість
  • Під час підготовки до вступного іспиту
  • Малі та середні підприємства, сучасні та майбутні
  • Спочатку це було слово.
  • Світ, в якому ми живемо
  • Ринок капіталу
  • Головування Румунії в Раді ЄС
  • Вирішальний передній план
  • Спеціалізовані видання
  • Журнал економічної преси
  • Піднявся вітер
  • Тиждень підприємництва - CECCAR
  • Редакційний сигнал
  • Послуги
  • Національний день румунського бухгалтера

Вирішальний передній план

правил

Три місяці до впровадження нових правил щодо захисту персональних даних

До 25 травня 2018 року, коли Загальний регламент про захист даних (RGPD) - Регламент (ЄС) 2016/679 буде впроваджений у всіх державах-членах Європейського Союзу, залишилося менше 100 днів. Таким чином, нові правила набудуть чинності через два роки після прийняття та набрання чинності згаданим документом.

  • Регламент (ЄС) 2016/679 про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних та скасування Директиви 95/46/ЄС (Загальний регламент про захист даних), яка буде безпосередньо застосовуватися у всіх державах-членах, включаючи Румунія, починаючи з 25 травня 2018 року;
  • Директива (ЄС) 2016/680 про захист персональних даних під час конкретної діяльності, що здійснюється правоохоронними органами.
Вказівки, що сприяють прямому та однаковому застосуванню правил

З метою підтримки зацікавлених сторін Європейська Комісія (ЄК) нещодавно опублікувала низку вказівок, що сприяють процесу прямого та рівномірного застосування нових правил захисту даних у ЄС з 25 травня. Керівні принципи нагадують основні нововведення та можливості, пропоновані Регламентом, розглядають вже вжиті підготовчі дії та висвітлюють кроки, які Брюссельська виконавча влада, національні органи захисту даних та національні адміністрації повинні робити далі. На сьогодні ЄК виділила 1,7 млн. Євро коштів органам із захисту даних та підготовці фахівців у цій галузі. Додаткові 2 мільйони євро доступні для підтримки національних органів влади у встановленні контактів з бізнесом, особливо з МСП.

Загальний регламент про захист даних дозволяє вільно переміщувати дані в межах єдиного цифрового ринку. Це буде краще захищати приватність європейських громадян та зміцнювати довіру та безпеку споживачів, одночасно забезпечуючи нові можливості для бізнесу, особливо малого.

  • Єдиний набір правил на всьому континенті, що гарантує юридичну впевненість для бізнесу та однаковий рівень захисту даних у ЄС для громадян;
  • Ті самі правила застосовуються до всіх компаній, що надають послуги в ЄС, навіть якщо вони базуються за межами ЄС;
  • Нові та посилені права для громадян: посилюються право на інформацію, доступ та право забути. Нове право на перенесення даних дозволяє громадянам передавати свої дані від однієї компанії до іншої. Це дасть компаніям нові можливості для бізнесу;
  • Кращий захист від порушень даних: компанія, яка стикається з порушенням даних, яка піддає фізичних осіб ризикам, повинна повідомити про це орган захисту даних протягом 72 годин;
  • Суворі правила та стримуючі штрафи: усі органи захисту даних матимуть право накладати штрафи до 20 мільйонів євро або, у випадку компанії, штрафи до 4% річного обороту.
Нові та посилені права для фізичних осіб

Захист, що надається RGPD орієнтована на окремих людей, незалежно від їхньої національності або місця проживання щодо обробки персональних даних. Отже, нові правила надають громадянам більше прав, які вони можуть безкоштовно реалізувати проти суб’єктів, які обробляють їх дані - операторів даних, наступним чином: право на інформацію, право на доступ до персональних даних, право на виправлення та видалення ( право на забуття), право на обмеження обробки, право на перенесення даних, право на заперечення. Ці права детально описані на веб-сайті Національного органу з нагляду за особистими даними.

Інтернет-інструмент для підтримки застосування Регламенту на практичному рівні

Знання про переваги та можливості, що пропонуються новими правилами, ділиться не однаково. У цьому контексті Брюссельська влада вважає необхідним, зокрема, пришвидшити підвищення рівня обізнаності та підтримку зусиль МСП щодо дотримання вимог. Ось чому ЄК запустила Інтернет-інструмент запитань та відповідей для громадян, бізнесу, особливо МСП та інших організацій. Він підтримує зацікавлені сторони в підготовці їх до впровадження RGPD та у відповідності до нових європейських правил у цій галузі. Інтернет-путівник доступний на веб-сайті Європейської комісії.

Керівництво щодо застосування Загального регламенту захисту даних для операторів

З метою задоволення зусиль операторів щодо дотримання нових правил обробки персональних даних, на веб-сайті Національного органу з нагляду за обробкою персональних даних (ANSPDCP), в спеціальному розділі, присвяченому RGPD, Керівництво із застосування Загальне положення про захист даних для операторів. Сподіваємось, що цей документ буде корисним інструментом у роботі всіх операторів у їхніх зусиллях з підготовки до застосування Регламенту (ЄС) 2016/679.

Відповідає за захист персональних даних

Елементом новизни, який цей європейський нормативний акт вносить у правовий ландшафт Румунії, є встановлення обов'язку призначати на рівні оператора або особи, уповноваженої оператором., В деяких випадках, з відповідальний за захист даних. Для того, щоб забезпечити унітарне застосування RGPO, Робоча група за статтею 29 при Європейській комісії видала Керівництво з питань захисту даних (DPO), доступні у спеціальному розділі, присвяченому Загальному положенню про захист даних, на веб-сайті ANSPDCP.

  • Коли обробка здійснюється державним органом чи державним органом, за винятком судів, що діють у процесі здійснення своїх юрисдикційних функцій;
  • Якщо основна діяльність контролера або особи, уповноваженої контролером, полягає в операціях з обробки, які вимагають регулярного та систематичного моніторингу зацікавлених осіб у великих масштабах;
  • Якщо основна діяльність контролера або уповноваженої ним особи полягає у широкомасштабній обробці спеціальних категорій даних або категорій персональних даних, що стосуються кримінальних засуджень та правопорушень.
  • Коли особисті дані не обробляються у великих масштабах. Наприклад: обробка даних пацієнта окремим медичним кабінетом; обробка персональних даних стосовно кримінальних засуджень та правопорушень окремою юридичною фірмою.
  • інформувати та консультувати контролера або особу, уповноважену контролером, а також працівників, відповідальних за обробку даних;
  • контролювати дотримання Регламенту, інших положень законодавства Союзу чи національного законодавства, що стосуються захисту даних;
  • консультувати оператора щодо проведення оцінки впливу на захист даних та контролювати його виконання;
  • співпрацювати з наглядовим органом та представляти контактну особу з ним;
  • належним чином враховувати ризик, пов'язаний з операціями з обробки, при виконанні своїх завдань.
Професійний стандарт, пов'язаний з роллю посадової особи з питань захисту персональних даних (DPO), запроваджений в Румунській класифікації професій, затверджений

З наближенням моменту, коли нові правила набудуть чинності, вони були введені в Класифікацію професій в Румунії, а професійний стандарт, пов'язаний з роллю посадової особи з питань захисту персональних даних, був затверджений у Міністерстві національної освіти (МОЗ).

Згідно з прес-релізом, “PwC Румунія та D&B Девід і Баяс отримали підтвердження професійного стандарту, пов’язаного з роллю співробітника з питань захисту персональних даних (або ОДП), від Адміністративного управління сектору та державних служб Національного органу з питань кваліфікації, структури Міністерства освіти національний. Цей стандарт, розроблений командою PwC разом із D&B Девідом та Баясом, буде основою курсів професійної підготовки на цій посаді, організованих у майбутньому в Румунії ». Цей успіх також зумовлений кроками, здійсненими цією ж командою перед Міністерством праці щодо запровадження окупації в КР вперше в Румунії.

Роль посадової особи з питань захисту персональних даних (DPO) передбачена новим Загальним положенням про захист даних.

Інформаційні кампанії для МСП

Хоча, як правило, зобов'язання щодо ведення діловодства не поширюються на МСП, компанії чи організації, що мають менше 250 працівників, зобов'язані вести діловодство, якщо обробка може становити ризик для прав і свобод суб'єктів даних., якщо обробка не є випадковою або обробка включає спеціальні категорії даних, багато компаній потрапляють у такі ситуації.

  • надання безкоштовних консультативних послуг для МСП, що працюють принаймні за два місяці до дати застосування Регламенту;
  • розробка конкретного та повного посібника для заявок для МСП з кроками, яких слід дотримуватися, операційних процедур, установ, термінів, форм тощо. доступний в Інтернеті;
  • проведення широкої інформаційної кампанії, адаптованої до особливостей МСП; здійснення ст. 3 абз. (1) Закону про попередження 270/2017, згідно з якою «Усі державні органи/установи, яким приписується контроль, встановлення та санкціонування порушень, зобов’язані, що відповідає сферам їх відповідальності, що протягом 3 місяців з дня набрання чинності цим законом: розробляти та поширювати документальні матеріали та довідники та розміщувати на веб-сайті розділи, спеціально присвячені публічній інформації ”;
  • здійснення ст. 3 абз. (3) Закону про попередження 270/2017, згідно з яким державні органи/установи, що мають призначення контролю, зобов'язані розробляти настанови та процедури контролю, відображати на власних сайтах випадки високої частоти та видані настанови, активно виконувати керівну роль, пропонуючи, відповідно до процедур, вказівок та вказівок, необхідних для уникнення в майбутньому порушення законодавчих положень;
  • здійснення ст. 3 абз. (4) Закону про попередження 270/2017, згідно з якою «Центральний орган державного управління з національними координаційними обов'язками у сфері ділового середовища (відповідно, Міністерство ділового середовища, торгівлі та підприємництва) зобов'язаний протягом 6 місяців з дати вступу до чинності цього закону, розробити та експлуатувати портал, присвячений централізованому наданню онлайнових послуг та ресурсів, з метою інформування щодо аспектів, передбачених у пар. (1) ".
ANSPDCP: Застосування максимального штрафу НЕ є основною метою Регламенту

У тій мірі, в якій права суб'єктів даних не дотримуються, Регламент надає відповідним фізичним особам право подавати скаргу до Національного органу з нагляду за обробкою персональних даних (ANSPDCP). Скарга безкоштовна.

Якщо скарга є прийнятною, за нею може розслідуватися запитуваний контролер даних.

Виправні заходи, які ANSPDCP може вжити згідно з RGPD, стосуються: винесення попередження оператору, винесення догани, зобов'язання оператора інформувати суб'єкта даних про порушення захисту даних, накладення тимчасового або постійного обмеження, включаючи заборону на обробку, виправлення або видалення даних або обмеження обробки тощо.

Згідно з інформацією, наданою АНСПДКП, щодо встановлення санкцій із штрафом, вона буде базуватися на «ретельному аналізі, залежно від обставин кожної справи. При вирішенні питання про накладення адміністративного штрафу, а також його розміру в кожному конкретному випадку, належне врахування приділяється критеріям, встановленим Загальним регламентом про захист даних, щоб забезпечити принцип пропорційності ".