Tietovelvollisuus GDPR:ssä – mitä muutoksia uudet määräykset tuovat mukanaan?

Palvelus

25.5.2018 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27.4.2016, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen kumoamisesta Direktiivi 95/46 / EY (yleinen tietosuoja-asetus) (jäljempänä "GDPR"). GDPR:n tiedonantovelvollisuus muuttaa lähestymistapaa henkilötietojen käsittelyyn vallankumouksellisella tavalla. Määräämällä mm henkilötietojen ylläpitäjiin (jäljempänä "ADO") useita uusia velvoitteita, joista ei säädetä toistaiseksi voimassa olevassa 29. elokuuta 1997 annetussa henkilötietojen suojalaissa (eli vuoden 2016 lain 922 kohta, sellaisena kuin se on muutettuna) (jäljempänä : "UODO"), mukaan lukien tiedonantovelvollisuus.

Rekisteröidyille tiedottaminen heidän käsittelystään on yksi PDC:n perusvelvollisuuksista. Mutta mikä tämä velvoite on ja miksi uudet säännökset ottavat käyttöön aiemmin tuntemattoman lähestymistavan henkilötietokysymyksiin? Vastaukset tällaisiin kysymyksiin annetaan alla.

Mitä henkilötiedot ovat?

Ennen kuin tarkastelemme lähemmin GDPR:n mukaista tiedonantovelvollisuutta, meidän tulee ensin vastata kysymykseen, mitä ovat henkilötiedot ja mitä henkilön tunnistavia tietoja GDPR luokitellaan henkilötiedoiksi?

GDPR:n johdanto-osassa luemme, että taloudellinen kehitys sekä uusien teknologioiden – erityisesti IT:n – kehittyminen lisäsi uhkia henkilön, hänen henkilötietojensa, yksityisyyden vyöhykkeelle, mikä johti siihen, että henkilötietojen käsitteen laajuutta.

GDPR:n mukaan henkilötietoja ovat: etu- ja sukunimi, tunnistenumero (eli NIP, PESEL tai henkilökortin numero), sijaintitiedot, Internet-tunniste (esim. IP-numero, sähköpostiosoite) tai yksi tai useampi tietty tekijä, joka määrää fyysisen, fysiologisen , luonnollisen henkilön geneettinen, henkinen, taloudellinen, kulttuurinen tai sosiaalinen identiteetti, mukaan lukien DNA ja RNA, eli tiedot luonnollisen henkilön perinnöllisistä tai hankituista geneettisistä ominaisuuksista.

Keitä GDPR:n mukainen tiedonantovelvollisuus koskee?

Yrittäjä toimii GDPR:n mukaisella liiketoiminta-alueella henkilötietojen ylläpitäjänä. Pelkästään se, että yrittäjä kerää asiakkaidensa, työntekijöidensä tai työtovereidensa henkilötietoja, velvoittaa hänen varmistamaan tällaisten tietojen hallinnan turvallisuuden ja siten soveltamaan GDPR:n säännöksiä.

GDPR:n voimaantulo vaikuttaa mm. verkkokauppoja ylläpitäville yrittäjille, mukaan lukien niille, jotka myyvät tavaroita ostosalustojen kautta, tarjoavat sähköisiä palveluita, jakavat uutiskirjeitä tai myyvät lippuja erilaisiin tapahtumiin. Näin ollen ensi silmäyksellä voidaan nähdä, että uusien määräysten subjektiivinen soveltamisala on erittäin laaja.

Art. 4 GDPR:n 7 kohdan mukaan PDC tarkoittaa sekä luonnollista henkilöä, oikeushenkilöä että muuta tahoa, joka itsenäisesti tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja menetelmät. Siksi GDPR:n tiedonantovelvollisuus on sekä yksityistä elinkeinonharjoittajaa harjoittavilla yrittäjillä että kauppalakiyhtiöillä – sekä oikeushenkilöllisillä että osakeyhtiöillä. tai S.A., samoin kuin henkilökohtaiset, eli avoin yhtiö, kommandiittiyhtiö, kommandiittiyhtiö ja kommandiittiyhtiö. On huomattava, että johtotehtäviä suorittavat henkilöt eli johtokunnan jäsenet tai muu johtohenkilöstö eivät saa ADO-statusta. Vain yritys sellaisenaan saa ADO-statuksen.

Tietovelvollisuus - tiedon laajuus

GDPR:n mukainen tiedonantovelvollisuus on velvollisuus antaa rekisteröidylle kattavat tiedot henkilötietojen käsittelystä.

Tämä velvollisuus päivitetään jo henkilötietojen hankintavaiheessa sekä niiden jatkokäsittelyä koskevan päätöksen tekovaiheessa. Lisäksi PDC on velvollinen antamaan tietoja henkilötietojen käsittelystä myös kaikissa käsittelyn vaiheissa, jos rekisteröity pyytää tietoja (GDPR 15 artikla).

PDC:n perustietovelvollisuus on määritelty 1999/2004. 13 ja 14 GDPR. Näiden säännösten perusteella voidaan luoda seuraava luettelo tiedoista, jotka PDC:n on annettava henkilölle, jonka henkilötietoja käsitellään:

GDPR:n artiklat 13, 14

Art. 24-25 ja art. 32 UODO

1. hänen henkilöllisyytensä ja yhteystietonsa sekä tarvittaessa hänen edustajansa henkilöllisyys- ja yhteystiedot;

toisto henkilötietosuojaviraston kanssa

 

2.soveltuvin osin tietosuojavastaavan yhteystiedot;

uusi (ei henkilötietotoimistossa)

3. henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperusta;

mitä tulee oikeusperustan antamiseen - uusi (ei sisälly henkilötietosuojavirastoon)

4.jos käsittely on tarpeen ylläpitäjän tai kolmannen osapuolen oikeutettuja etuja varten - ylläpitäjän tai kolmannen osapuolen oikeutetut edut;

uusi (ei henkilötietotoimistossa)

5. tiedot henkilötietojen vastaanottajista tai vastaanottajaryhmistä, jos sellaisia ​​on;

toisto henkilötietosuojaviraston kanssa

6. soveltuvin osin tiedot aikomuksesta siirtää henkilötietoja kolmanteen maahan tai kansainväliseen järjestöön ja siitä, onko komissio päättänyt riittävän suojan tason tai ei ole pystynyt varmistamaan sitä, tai jos kyseessä on siirto;

uusi (ei henkilötietotoimistossa)

7. henkilötietojen säilytysaika, ja jos tämä ei ole mahdollista, perusteet tämän ajanjakson määrittämiselle;

uusi (ei henkilötietotoimistossa)

8.tiedot oikeudesta pyytää rekisterinpitäjältä pääsy rekisteröityä koskeviin henkilötietoihin, oikaista ne, poistaa tai rajoittaa käsittelyä tai oikeudesta vastustaa käsittelyä sekä oikeudesta siirtää tietoja;

Käsittelyn rajoitus, oikeus tietojen siirrettävyyteen - uusi (ei sisälly henkilötietosuojavirastoon)

9.jos käsittely perustuu taiteeseen. 6 sek. 1 lit. a) tai Art. 9 sek. 2 lit. a) - tiedot oikeudesta peruuttaa suostumus milloin tahansa vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen peruuttamista;

uusi (ei henkilötietotoimistossa)

10. tiedot oikeudesta tehdä valitus valvontaviranomaiselle;

uusi (ei henkilötietotoimistossa)

11. tiedot siitä, onko henkilötietojen toimittaminen lakisääteinen tai sopimukseen perustuva vaatimus tai ehto sopimuksen tekemiselle ja onko rekisteröidyllä velvollisuus toimittaa ne ja mitkä ovat mahdolliset seuraukset tietojen toimittamatta jättämisestä;

uusi (ei henkilötietotoimistossa)

12. tiedot automatisoidusta päätöksenteosta, mukaan lukien 12 artiklassa tarkoitettu profilointi. 22 sek. 1 ja 4 ja - ainakin näissä tapauksissa - olennaiset tiedot niiden ottamista koskevista säännöistä sekä käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.

uusi (ei henkilötietotoimistossa)

Täyttääkseen yllä kuvatun GDPR:ssä määritellyn tiedonantovelvollisuuden yrittäjän tulee tarkistaa huolellisesti henkilötietojen käsittelyä koskevat asiakirjat ja määräykset.

Avoimuusperiaate – missä muodossa tiedonantovelvollisuus on täytettävä ja mihin määräaikaan mennessä?

Art. 12 sek. 1 GDPR täsmentää, että henkilötietojen käsittelyyn liittyvissä tiedoissa on noudatettava avoimuusperiaatetta, joka edellyttää, että rekisteröidylle osoitetun viestinnän tulee olla helposti saatavilla ja ymmärrettävää sekä laadittu selkeällä ja yksinkertaisella kielellä. Lisäksi EU:n lainsäätäjä olettaa, että graafisten symbolien avulla annetut tiedot voivat osoittautua vastaanottajalle ymmärrettävämmiksi ja läpinäkyvämmiksi. Tästä syystä Art. 12 sek. 7 GDPR:n mukaan: Tiedot, jotka toimitetaan rekisteröidyille Art. 13 ja 14, voidaan varustaa vakiomuotoisilla graafisilla merkeillä, jotka edustavat selkeästi, kattavasti ja luettavasti aiotun käsittelyn tarkoitusta.

GDPR:ssä tarkoitetut tiedot toimitetaan kirjallisesti ja soveltuvin osin sähköisessä muodossa. Rekisteröidyn pyynnöstä tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys varmistetaan muulla tavoin.

Tiedonantovelvollisuus voidaan epäilemättä täyttää jo henkilötietojen käsittelyyn suostumuksella. Helpoin lomake on antaa kaikki tarvittavat GDPR-tiedot palvelujen tarjoamisen tai verkkokaupan säännöissä. GDPR-asetuksessa kuitenkin säädetään yhden kuukauden ajanjaksosta tiedonantovelvollisuuden täyttämiselle siitä hetkestä, kun henkilötiedot on saatu tai kun rekisteröidyltä on saatu asiaankuuluvia tietoja koskeva pyyntö.

Vastuu tiedonantovelvollisuuden rikkomisesta

Vaikka PDC voi tilata henkilötietojen hallintaan liittyvien velvoitteiden täyttämisen, hän on vastuussa henkilötietojen asianmukaisesta suojasta lain säännösten mukaisesti. Sillä välin määrättiin ankaria seuraamuksia tiedonantovelvollisuuden laiminlyönnistä.

Erityisen huomionarvoinen tässä suhteessa on Art. GDPR:n 83 §:n mukaan tiedonantovelvollisuutta koskevien määräysten rikkomisesta määrätään hallinnollinen sakko, joka on enintään 20 000 000 euroa ja yrityksen osalta enintään 4 % sen edellisen tilikauden maailmanlaajuisesta kokonaisliikevaihdosta. . On tunnustettava, että tämä on erittäin korkea rangaistus. Lisäksi tästä tosiasiasta huolimatta GIODO soveltaa kansallisia säännöksiä seuraamuksista tiedonantovelvoitteiden virheellisestä suorittamisesta.

Ottaen huomioon, että tiedonantovelvollisuuden rikkomisen seuraamuksena on erittäin korkean sakon riski, on uusiin velvollisuuksiin perehdyttävä huolellisesti ja henkilötietojen suojaamiseen liittyvä dokumentaatio valmisteltava äärimmäisen huolellisesti.