Нормативні акти

Fot. Freepik

•    Регламент Європейського Парламенту та Ради (ЄС ) №2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з обробкою персональних даних та щодо вільного переміщення таких даних, а також скасування Директиви 95/46 /WE (Загальний регламент про захист персональних даних) - надалі Регламент
•    Закон про захист персональних даних від 10 травня 2018 р.

Персональні дані – це інформація, що стосується ідентифікованої або можливої до ідентифікації фізичної особи („суб’єкт даних”);

Можлива до ідентифікації фізична особа – це особа, яку можна безпосередньо чи посередньо встановити на підставі таких ідентифікаторів як:  ім’я та прізвище, ідентифікаційний номер, дані про місцезнаходження,  dane o lokalizacji, інтернет-ID, або один чи кілька конкретних прикмет,  lub jeden bądź декілька конкретних факторів, що визначають фізичну, фізіологічну, генетичну, розумову, економічну, культурну чи суспільну ідентичність фізичної особи (стаття. 4 пункт. 1 Регламенту).

Персональні дані класифікуються на:

  • звичайні: наприклад, . ім'я, прізвище, адреса, номер телефону, адреса електронної пошти (включаючи ім'я, прізвище, назву компанії), дані про місцезнаходження, номер PESEL, IP-адреса, інформація про заробіток та майновий стан;
  • особливої категорії:
    • персональні дані, що відображають расове чи етнічне походження, політичні переконання, релігійні чи філософські переконання, членство в профспілці ,
    • генетичні дані (наприклад, ДНК, біологічні зразки),
    • біометричні дані (наприклад, дактилоскопічні дані, зображення обличчя),
    • дані відносно стану здоров’я (наприклад, медичні дані, група інвалідності),
    • дані щодо сексуальної приналежності чи сексуальної орієнтації.

Загальні засади обробки персональних даних (ст. 5 Регламенту)

Принцип 1: Чесна, згідна з правом та прозора обробка персональних даних («законність, справедливість, прозорість»)

Дані особи повинні оброблятися на підставі згоди суб’єкту даних або в інших конкретних, ясних та обгрунтованих цілях на підставах, визначених в законодавством. Особи мають бути поінформовані про обробку їх персональних даних до початку обробки.

Принцип 2: Обмеження обробки персональних даних до обсягів, визначених першою метою, для якої дані були зібрані («обмеження цілі»)

Персональні дані зібрані з конкретною метою не можуть бути використані з іншою метою без додаткової згоди чи інформування осіб, яких стосуються ці дані , за винятком випадків, коли це дозволяє або вимагає закон.

Принцип 3: Обмеження даних до необхідного мінімуму

Зібрані персональні дані мають бути відповідні та обмежені до необхідного мінімуму для досягнення мету, з якою вони були зібрані.

Принцип 4: Точність даних

Усі отримані та оброблені персональні дані мають бути точними та постійно оновлюватися. Якщо персональні дані є неточними, їх слід якомога швидше видалити або виправити.

Принцип 5: Дані не оброблюються довше, ніж потрібно

Персональні дані слід зберігати лише настільки довго, наскільки це є необхідне для цілей, в яких такі дані оброблюються.

Принцип 6: Безпечне зберігання персональних даних («інтегральність та конфіденційність»)

Необхідно вжити відповідних заходів безпеки для захисту персональних даних, включаючи захист від несанкціонованої або незаконної обробки та від випадкової втрати, знищення або пошкодження.

Принцип 7: Обробка персональних даних з урахуванням прав фізичних осіб.

Персональні дані повинні оброблятися з дотриманням прав суб’єктів даних.

Принцип 8: Передача персональних даних за межі ЄС відповідно до законодавства

Персональні дані можуть передаватися за межі ЄС лише відповідно до чинних норм права.

Обробка персональних даних

операції або набір операцій, що виконуються з персональними даними в автоматизований або неавтоматизований спосіб (стаття 4(2) GDPR), наприклад, збір, перегляд, розкриття, видалення, завантаження, передача, зберігання, надання, опрацювання, запис.

Основні обовязки Адмініністратора персональних даних:

  • інформаційні:

широкий перелік необхідної інформації;

  • реалізація права доступу:

між іншим інформування про цілі обробки, отримувача даних, строку зберігання;

передача копій даних;

  • реалізація права до виправлення чи видалення даних ( право «бути забутим»):

зміна, доповнення, видалення даних;

висловлення бажання усунення прив’язки до опублікованих даних;

  • реалізація права до обмеженної обробки:

обмеження обробки сумнівних даних, потрібних адміністратору, але також потрібних особі, якої стосуються;

  • реалізація права до передачі даних:

передача персональних даних в структурованій широко використовуваній формі, придатній до машинного зчитування;

  • реалізація права на незгоду:

припинення обробки даних;

  • забезпечення безпеки даних:

впровадження відповідних технічних та організаційних заходів, що враховують обсяг, контекст, цілі обробки та ризик порушення прав;

  • співпраця з наглядовим органом та повідомлення про порушення:

оцінка наслідків запланованих операцій з обробки даних;

повідомлення про порушення персональних даних Голові Управління захисту персональних даних, документальне підтвердження.

Виконання зобов’язання з інформування щодо осіб, персональні дані яких обробляються

Про що інформувати?

У разі збирання даних від особи, якої вони стосуються, їй подається інформація у формі Інформаційного застереження

Якщо персональні дані особи, якої вони стосуються, збираються від такої особи, то адміністратор під час отримання персональних даних подає їй наступну інформацію: 

a) дані про себе та контактні дані, а також, якщо це можливо, особу та контактні дані свого представника;
b) у разі потреби – контактні дані інспектора охрони персональних даних;
c) цілі обробки персональних даних, а також правову підставу обробки;
d) інформацію про отримувачів персональних даних чи про категорії отримувачів, якщо такі існують;
e) у разі потреби – інформацію про намір передачі персональних даних до третьої країни чи міжнародної організації (...)
f) строк зберігання персональних даних, а у випадку неможливості зберігання – критерії встановлення такого строку;
g) інформацію про право особи вимагати від адміністратора доступу до персональних даних особи, якої вони стосуються, їх зміни, видалення або обмеження обробки чи про право внесення незгоди на обробку, а також про право до передачу даних;
h) якщо обробка даних відбувається на підставі ст. 6 п. 1 літ. a) або ст. 9 п. 2 літ. a) – інформація про право до відкликання згоди в будь-який час без впливу на відповідність праву обробку, яка здійснювалась на підставі згоди до її відкликання;
i) інформація про право подати скаргу до наглядового органу;
j) інформація про те чи подання персональних даних становить законну вимогу або умовну або умовою укладення угоди та чи особа, якої вони стосуються зобов’язана до їх подання та які можливі наслідки неподання даних;
k) інформацію про автоматизоване прийняття рішень, у тому числі профілювання, та, щонаймні в таких випадках, істотна інформація про підстави їх прийняття, а також про значення та передбачувані наслідки такої обробки для особи, якої ці дані стосуються.

Якщо адміністратор планує подальшу обробку персональних даних з метою, відмінною від тієї, для якої персональні дані були зібрані, адміністратор повинен повідомити суб’єкта даних перед такою подальшою обробкою.

Підсумування про обробку персональних даних

  1. Особисті дані є частиною чиєїсь конфіденційності, тому поводьтеся з ними обережно.
  2. Регламент призначений для того, щоб використовувати персональні дані інших осіб і не створювати проблем для осіб, яких ці дані стосуються.
  3. Що б ви не робили з персональними даними, аналізуйте, що може піти не так і чому, і робіть усе можливе, щоб цього не сталося.
  4. Бережіть персональні дані інших людей, не гірше ніж свої власні.
  5. Перш ніж збирати або ділитися персональними даними з кимось, перевірте, чи буде це законно.
  6. Не зберігайте персональні дані довше, ніж потрібно.
  7. Належним чином задокументуйте делегування своїх завдань іншим особам, виконання яких потребує використання персональних даних, за які ви несете відповідальність.
  8. Чим краще ви фахово підготовлені до своєї роботи, тим менше у вас шансів суперечити Регламенту.
  9. Використовуючи ІТ-інструменти, не імпровізуйте і завжди будьте пильними.
  10. Зверніться до інспектора із захисту даних щодо детальної інформації про вищезазначене.

 

Ochrona danych osobowych

Zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. informuję, iż Administratorem Pani/Pana danych osobowych jest Gmina Miasta Sopotu z siedzibą przy ul. Tadeusza Kościuszki 25/27, 81-704 Sopot, reprezentowana przez: Prezydenta Miasta Sopotu.
Czytaj dalej...