GDPR контрол в компанията - всичко, което трябва да знаете!

Обслужване

Принципите на GDPR вече са установени в полския правен ред завинаги. Повечето компании са приели сериозно влизането в сила на новите разпоредби за защита на данните и са приложили необходимите процедури. Самото изготвяне на необходимите документи или наемане на лице, отговорно за обработката на данните за клиенти, изпълнители и служители, обаче не е достатъчно. Гореспоменатият регламент на ЕС изисква администраторът да следи пулса. Редовното наблюдение и проверка на процесите на обработка на данни е необходимо, за да се предпази компанията от тежки административни и финансови санкции. Контролът по GDPR в една компания може да се случи по всяко време - не само в резултат на докладване на нередности от субекта на данните.

Контролът по GDPR се извършва от инспектори, делегирани от името на председателя на Службата за защита на личните данни (т.е. председателя на Службата за защита на личните данни). Разбира се, администраторите на данни, които са допуснали нередности по този въпрос, трябва да се подготвят за проверки на UODO. Освен това председателят на Службата за защита на личните данни редовно обявява контролни действия. Това се отнася по-специално за публичния сектор, в т.ч медицински и образователни институции, но частният сектор също трябва да бъде внимателен – UODO е насочен основно към предприятия, в които обработката на лични данни играе много важна роля, т.е. телемаркетинг, банкиране и застраховане.

GDPR контрол - процедури

Защитата на личните данни в Полша се основава на гореспоменатия регламент GDPR и Закона за защита на личните данни. Съгласно горните актове започването на проверка може да има различни основания. Контролът по GDPR може да бъде:

  • планирано - извършва се в съответствие с утвърдения от председателя на Службата за защита на личните данни план за контрол;

  • ad hoc - инициира се въз основа на информация, получена от председателя на Службата за защита на личните данни, например жалба от лице, чиито данни са били обработени в противоречие с разпоредбите на GDPR.

Законът за защита на личните данни разграничава два вида контрол. Първото се отнася до производствата за нарушаване на разпоредбите за защита на личните данни, а второто - за контролните производства относно спазването на разпоредбите за защита на личните данни. Има корелация между посочените процедури – само когато в резултат на проверката за съответствие се разкрият съществени нередности, надзорният орган може да започне процедура за нарушение на защитата на данните.

Председател на Службата за защита на личните данни – какви са неговите компетенции?

В съответствие с горния параграф вече е известно кой орган отговаря за извършването на проверки – това е председателят на Службата за защита на личните данни (ПУОДО). За да можем да се подготвим добре за проверката на този орган, е необходимо да се отговори на въпроса – какви правомощия има ПУОДО и как може да се използва срещу предприемача?

Задачите, компетенциите и правомощията на надзорния орган за защита на личните данни са регламентирани в чл. 57 и чл. 58 GDPR. Съгласно гореспоменатите разпоредби, PUODO има право да:

  • наблюдение и изпълнение на прилагането на разпоредбите на наредбата, в т.ч разглежда жалби, подадени до надзорния орган по реда на чл. 77 от GDPR, откриване на производство за проверка, извършване на проверки;

  • да получи от администратора и обработващия достъп до всякакви лични данни и всякаква информация, необходима за изпълнение на задачите на надзорния орган;

  • да получи достъп до всички помещения на администратора и обработващия, включително оборудване и средства за обработка на данни, в съответствие с процедурите, определени в правото на ЕС или в правото на държава-членка;

  • провеждане на производства под формата на одити по защита на данните;

  • уведомяване на администратора или обработващия лични данни за предполагаемо нарушение на разпоредбите на GDPR;

  • издаване на предупреждения до администратора или процесора относно възможността за нарушаване на разпоредбите на GDPR чрез планирани операции по обработване;

  • издаване на напомняния до администратора или обработващия в случай на нарушаване на разпоредбите на GDPR чрез операции по обработване;

  • да разпореди на администратора или обработващия да изпълни искането на субекта на данните, произтичащо от правата, предоставени му от разпоредбите на GDPR;

  • разпореждане на администратора или обработващия да адаптира операциите по обработване към разпоредбите на GDPR, включително посочване на метода и срока;

  • да разпореди на администратора да уведоми субекта на данните за нарушение на данните.

Каква е процедурата за контрол?

Контролът по GDPR се осъществява от администратори, делегирани от името на PUODO. Често инспекторите са и служители на Главна инспекция за защита на личните данни, служители на Националната инспекция по труда и Държавната търговска инспекция. Както беше подчертано по-рано, процедурата по инспекция се извършва въз основа на одобрения от председателя на офиса план за проверка или анализ на информацията, събрана от PUODO, получена от трета страна.

Проверките ad hoc, т.е. извършваните въз основа на информация, получена от председателя на Службата за защита на личните данни от трети страни, могат да бъдат внезапни.

Преди започване на процедурата инспекторът е длъжен да представи подходящо пълномощно и сервизна карта. Разрешението трябва да бъде отбелязано с началната дата и очакваната дата на завършване на проверката. По правило инспекторите имат право да влизат в помещенията на проверяваното дружество от 6:00 до 22:00 часа. Проверката може да отнеме не повече от 30 дни.

Започнете безплатен 30-дневен пробен период без прикачени условия!

Въз основа на чл. 84 от Закона за защита на личните данни, предприемачът е длъжен да предостави на инспектора достъп до цялата документация, необходима за правилното провеждане на проверката. В допълнение към документацията в буквалния смисъл, това задължение се отнася и за предоставянето на цялата информация, устройства, обекти, носители и ИТ системи, използвани за обработка на лични данни. Освен това инспекторът има право да получава писмени или устни изявления или обяснения от предприемача и неговите служители.

По време на контролната процедура администраторът може да прави копия (фотокопия) и фотокопия на отделни файлове, да извършва проверка на съоръженията, помещенията, ИТ устройствата и софтуера, използвани от контролираното лице за обработка на лични данни. В случай на разкриване на нередности, предприемачът или неговите служители могат да бъдат интервюирани. Освен това инспекторите имат право да осигуряват доказателства, като например изземват оборудване или цели помещения.

Доклад от инспекция на GDPR

Процедурата по проверка завършва с изготвяне на протокол от проверка, в който се разкриват констатациите от извършените дейности. Включва документи, становища, обяснения, разпечатки на фирмени документи и други важни за процедурата елементи. Инспекторът е длъжен да запознае контролираните със съдържанието на доклада. Предприемачът може да подпише протокола в 7-дневен срок, което е равносилно на потвърждение на съдържанието му, или може да направи писмени резерви. При възражения инспекторът може да предприеме допълнителни контролни дейности. Той може също така, след като разгледа възраженията, да заяви тяхната легитимност и да измени или допълни протокола. Въпреки това, ако възраженията не са напълно или частично допуснати, инспекторът предава своето решение на проверяваната страна заедно с обосновката. Неразглеждането на възраженията не може да бъде оспорено. Важно е, че неподписването на протокола или непредставянето на каквито и да било резерви в рамките на 7 дни означава отказ за подписване на протокола.

Какви са санкциите за нарушаване на разпоредбите на GDPR?

Нарушаването на разпоредбите за защита на личните данни води до риск от налагане на два вида наказания на администратора на лични данни – административни и финансови.

Основното наказание за нарушаване на GDPR е финансова глоба. Количеството му зависи от много фактори, вкл относно това дали администраторът е нарушил правилата умишлено или неволно. Важни са и категориите лични данни, засегнати от нарушението, и действията, предприети от администратора за минимизиране на щетите. Изтичането на имейл адреси от онлайн магазин ще се третира много по-нежно от загубата на информация за здравето на пациентите на инфекциозна болница (тези данни са т.нар. чувствителни данни). Сътрудничеството на предприемача с контролните органи при отстраняване на нарушенията също може да допринесе за намаляване на наказанието.

За нарушаване на разпоредбите на GDPR председателят на Службата може да наложи глоба до 10 милиона евро на администратора или обработващия лични данни, а в случай на много сериозни нарушения, това наказание може да се увеличи до 20 милиона евро. При фирма санкцията се налага като процент - до 2% (4% при много сериозни нарушения) от общия й годишен световен оборот от предходната година.

Освен финансови санкции, контролните органи могат да прилагат и административни наказания, които оказват значително влияние върху функционирането на предприятието. В някои случаи такива санкции могат да бъдат по-тежки от финансовите санкции. Председателят на Службата за защита на личните данни може да подаде молба до контролираното лице, inter alia:

  • внимание;

  • напомняне;

  • да разпореди субектът на информацията да бъде информиран за нарушаването на разпоредбите и да се съобрази с исканията, произтичащи от правата, предоставени му от действащата наредба за личните данни;

  • разпореждане за временно или пълно ограничаване на обработката на лични данни, включително забрана на обработката на определени данни, коригиране или изтриване;

  • отнемане на сертификата или разпореждане на сертифициращия орган да оттегли или откаже да предостави сертификат.

Финансовите и административните санкции могат да се използват взаимозаменяемо и съвместно.

GDPR контрол в компанията - обобщение

Внедряването на процеси за обработка на лични данни в съответствие с GDPR е само първата стъпка. Регламентът изисква от субектите, обработващи лични данни, постоянно и редовно да адаптират своите процедури към текущите пазарни и правни реалности. Контролът по GDPR може да се случи на всяка компания и в същото време не винаги трябва да бъде сигнализиран от PUODO - в случай на ad hoc контрол, нотификацията не е изискване. По-добре е предварително да съобразим фирмената политика със законовите изисквания, отколкото да разчитаме на благоволението на контрольорите и да се надяваме, че ще свърши само с порицание. Санкциите за нарушаване на регламентите на GDPR са много високи – могат да достигнат до 20 милиона евро.