• Регламент Європейського Парламенту та Ради (ЄС ) №2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з обробкою персональних даних та щодо вільного переміщення таких даних, а також скасування Директиви 95/46 /WE (Загальний регламент про захист персональних даних) - надалі Регламент
• Закон про захист персональних даних від 10 травня 2018 р.
Персональні дані – це інформація, що стосується ідентифікованої або можливої до ідентифікації фізичної особи („суб’єкт даних”);
Можлива до ідентифікації фізична особа – це особа, яку можна безпосередньо чи посередньо встановити на підставі таких ідентифікаторів як: ім’я та прізвище, ідентифікаційний номер, дані про місцезнаходження, dane o lokalizacji, інтернет-ID, або один чи кілька конкретних прикмет, lub jeden bądź декілька конкретних факторів, що визначають фізичну, фізіологічну, генетичну, розумову, економічну, культурну чи суспільну ідентичність фізичної особи (стаття. 4 пункт. 1 Регламенту).
Персональні дані класифікуються на:
Принцип 1: Чесна, згідна з правом та прозора обробка персональних даних («законність, справедливість, прозорість»)
Дані особи повинні оброблятися на підставі згоди суб’єкту даних або в інших конкретних, ясних та обгрунтованих цілях на підставах, визначених в законодавством. Особи мають бути поінформовані про обробку їх персональних даних до початку обробки.
Принцип 2: Обмеження обробки персональних даних до обсягів, визначених першою метою, для якої дані були зібрані («обмеження цілі»)
Персональні дані зібрані з конкретною метою не можуть бути використані з іншою метою без додаткової згоди чи інформування осіб, яких стосуються ці дані , за винятком випадків, коли це дозволяє або вимагає закон.
Принцип 3: Обмеження даних до необхідного мінімуму
Зібрані персональні дані мають бути відповідні та обмежені до необхідного мінімуму для досягнення мету, з якою вони були зібрані.
Принцип 4: Точність даних
Усі отримані та оброблені персональні дані мають бути точними та постійно оновлюватися. Якщо персональні дані є неточними, їх слід якомога швидше видалити або виправити.
Принцип 5: Дані не оброблюються довше, ніж потрібно
Персональні дані слід зберігати лише настільки довго, наскільки це є необхідне для цілей, в яких такі дані оброблюються.
Принцип 6: Безпечне зберігання персональних даних («інтегральність та конфіденційність»)
Необхідно вжити відповідних заходів безпеки для захисту персональних даних, включаючи захист від несанкціонованої або незаконної обробки та від випадкової втрати, знищення або пошкодження.
Принцип 7: Обробка персональних даних з урахуванням прав фізичних осіб.
Персональні дані повинні оброблятися з дотриманням прав суб’єктів даних.
Принцип 8: Передача персональних даних за межі ЄС відповідно до законодавства
Персональні дані можуть передаватися за межі ЄС лише відповідно до чинних норм права.
операції або набір операцій, що виконуються з персональними даними в автоматизований або неавтоматизований спосіб (стаття 4(2) GDPR), наприклад, збір, перегляд, розкриття, видалення, завантаження, передача, зберігання, надання, опрацювання, запис.
широкий перелік необхідної інформації;
між іншим інформування про цілі обробки, отримувача даних, строку зберігання;
передача копій даних;
зміна, доповнення, видалення даних;
висловлення бажання усунення прив’язки до опублікованих даних;
обмеження обробки сумнівних даних, потрібних адміністратору, але також потрібних особі, якої стосуються;
передача персональних даних в структурованій широко використовуваній формі, придатній до машинного зчитування;
припинення обробки даних;
впровадження відповідних технічних та організаційних заходів, що враховують обсяг, контекст, цілі обробки та ризик порушення прав;
оцінка наслідків запланованих операцій з обробки даних;
повідомлення про порушення персональних даних Голові Управління захисту персональних даних, документальне підтвердження.
Про що інформувати?
У разі збирання даних від особи, якої вони стосуються, їй подається інформація у формі Інформаційного застереження
Якщо персональні дані особи, якої вони стосуються, збираються від такої особи, то адміністратор під час отримання персональних даних подає їй наступну інформацію:
a) дані про себе та контактні дані, а також, якщо це можливо, особу та контактні дані свого представника;
b) у разі потреби – контактні дані інспектора охрони персональних даних;
c) цілі обробки персональних даних, а також правову підставу обробки;
d) інформацію про отримувачів персональних даних чи про категорії отримувачів, якщо такі існують;
e) у разі потреби – інформацію про намір передачі персональних даних до третьої країни чи міжнародної організації (...)
f) строк зберігання персональних даних, а у випадку неможливості зберігання – критерії встановлення такого строку;
g) інформацію про право особи вимагати від адміністратора доступу до персональних даних особи, якої вони стосуються, їх зміни, видалення або обмеження обробки чи про право внесення незгоди на обробку, а також про право до передачу даних;
h) якщо обробка даних відбувається на підставі ст. 6 п. 1 літ. a) або ст. 9 п. 2 літ. a) – інформація про право до відкликання згоди в будь-який час без впливу на відповідність праву обробку, яка здійснювалась на підставі згоди до її відкликання;
i) інформація про право подати скаргу до наглядового органу;
j) інформація про те чи подання персональних даних становить законну вимогу або умовну або умовою укладення угоди та чи особа, якої вони стосуються зобов’язана до їх подання та які можливі наслідки неподання даних;
k) інформацію про автоматизоване прийняття рішень, у тому числі профілювання, та, щонаймні в таких випадках, істотна інформація про підстави їх прийняття, а також про значення та передбачувані наслідки такої обробки для особи, якої ці дані стосуються.
Якщо адміністратор планує подальшу обробку персональних даних з метою, відмінною від тієї, для якої персональні дані були зібрані, адміністратор повинен повідомити суб’єкта даних перед такою подальшою обробкою.
Підсумування про обробку персональних даних