Rikkomuksista ilmoittaminen ja valvontaviranomainen - henkilötietojen suoja

Palvelus

Valvontaviranomainen on vähintään yksi viranomainen, joka suojelee yksilöiden oikeuksia henkilötietojen käsittelyssä. Tällä hetkellä henkilötietojen suojaa valvova elin on GIODO. Yhdessä maassa voi olla useampi kuin yksi valvontaviranomainen. Rikkomuksista ilmoittaminen on myös valvontaviranomaisten alaista.

Tämän elimen on toimittava itsenäisesti. Hän ei voi perustaa yritystä. Nimitys tapahtuu läpinäkyvän menettelyn mukaisesti, jotta valittu on puolueeton. Tehtävään voi hakea henkilö, jolla on asianmukaiset taidot, pätevyys henkilötietojen suojan alalla ja kokemus. Valvontaviranomaisen perustamista koskevat säännöt on määritelty nimenomaisesti GDPR-asetuksessa. Niin kutsuttu johtava valvontaviranomainen tukee vakiintuneempia viranomaisia. Niiden perustamisen tarkoituksena on jäsenvaltioiden tehokas yhteistyö, joka edistää suoraan henkilötietojen suojan turvallisuutta EU:ssa.

Jokaisen EU-maan valvontaviranomaisilla on samat tehtävät ja valtuudet.

Huomio!

Puolan on 25.5.2018 mennessä ilmoitettava EU:n viranomaisille hyväksytyistä lakimuutoksista ja - kuten jokaisen jäsenvaltion - perustettava valvontaviranomainen.

Valvontaviranomaisen toimivaltuudet

Esimerkkejä valvontaviranomaisen toimivaltuuksista yrittäjän suorittaman tietojenkäsittelyn suojaamisessa ovat:

  • selvitysmenettelyn suorittaminen
  • korjaavien menettelyjen suorittaminen
  • yhteistyötä jäsenvaltioiden muiden valvontaviranomaisten kanssa
  • määrätä seuraamuksia
  • lupien (mukaan lukien sopimuslausekkeet) ja suositusten myöntäminen
  • ottamalla käyttöön vakiolausekkeet
  • pitää luetteloita rikkomisen vaikutusten arvioinneista
  • käytännesääntöjen kehittämistä
  • sertifiointimekanismien perustamisen kannustaminen
  • käytännesääntöjen akkreditointikriteerien julkaiseminen
  • sitovien yhtiösääntöjen hyväksyminen
  • osallistua Euroopan tietosuojaneuvoston työhön
  • pitää sisäisiä rekistereitä rikkomuksista
  • konsultointi
  • ennakkokonsultoinnin tarjoaminen
  • valvoa toteutettujen käytännesääntöjen noudattamista
  • konsultointi
  • rikkomuksista ilmoittaminen oikeusviranomaisille
  • tietojen käsittelyn väliaikaisen tai pysyvän rajoituksen käyttöön ottaminen
  • EU:n henkilötietojen suojaa koskevan asetuksen säännösten täytäntöönpano
  • tiedon levittäminen yhteiskunnassa
  • valitusten vastaanottaminen
  • tietueiden toimittaminen rekisterinpitäjiltä ja tietojen käsittelijiltä.


Jäsenvaltiot (viranomaiset) voivat määritellä valvontaviranomaisen lisätoimivaltuuksia EU:n lainsäädännön ja sisäisen (kansallisen) lainsäädännön mukaisesti, mikä ei ole ristiriidassa asetuksen kanssa. Niiden ei kuitenkaan pitäisi ylittää tiettyä menettelykehystä. Jäsenvaltioiden on varmistettava tämän asetuksen noudattaminen. Edellä mainittujen toimivaltuuksien jälkeen voit hakea yrityksessään tietojenkäsittelijänä toimivalle yrittäjälle uusia velvoitteita ja vastuita valtiota ja EU:ta kohtaan. Yrittäjien velvollisuuksiin kuuluu hyvien käytäntöjen soveltaminen, henkilötietoihin kohdistuvien tapausten minimointi, henkilötietojen toiminnan dokumentointi, toimeksiantoluetteloiden laatiminen, keräyssarjojen laatiminen, rekisteröidyille tiedottaminen, henkilötietojen käsittelyn uskomista koskevien sopimusten tekeminen. , järkevä markkinointi, tietojen pseudonymisointi ja salaus sekä niiden asianmukainen suojaus, jos ne ovat paperimuodossa.

Valvontaviranomainen valvoo GDPR:n määräyksiä ja soveltaa niitä. Siksi on tärkeää valmistautua hyvin tuleviin muutoksiin.

Henkilötietojen käsittelyyn liittyvät velvollisuudet

Uutena velvoitteena olevaa tietosuojavaikutusten arviointia tehdessään yrittäjät ovat myös velvollisia kuulemaan sen tulosta valvontaviranomaisen kanssa, varsinkin kun heillä ei ole yrityksessään asianmukaisia ​​teknisiä tietoturvavalmiuksia. Lisäksi neuvotteluista valvontaviranomaisen kanssa pitäisi olla apua henkilötietojen rekisterinpitäjille esimerkiksi käytännesääntöjen muodossa olevan lain valmistelussa, jota GDPR-asetuksessa suositellaan jokaiselle henkilötietoja käsittelevälle yritykselle.

Henkilötietojen käsittelyn riskiarviointi

Tietojenkäsittelyn turvallisuudessa tulee ottaa huomioon nykyinen tekninen tietämys. Turvallisuuden tason olisi vastattava henkilötietojen käsittelyn riskin suuruutta.

Henkilötietojen käsittelyn turvallisuus voidaan taata:

  • pseudonymisointi - eli henkilötietojen salaus

  • tietojenkäsittelyjärjestelmien luottamuksellisuuden, eheyden ja kestävyyden jatkuva varmistaminen

  • kyky palauttaa nopeasti pääsy tietoihin tapahtumien sattuessa

  • teknisten turvatoimenpiteiden säännöllinen testaus ja arviointi.

Siksi on erittäin tärkeää tarjota yrityksellesi asianmukaiset tekniset tilat ja asianmukaisen pätevyyden omaavat ihmiset. Näyttää tarpeelliselta kouluttaa kaikki työntekijät, myös ne, jotka käsittelevät henkilötietoja yrityksessä epäsuorasti.

Esimerkki 1.

Jos tilitoimiston työntekijät tulostavat asiakirjoja, jotka sisältävät yrityksen asiakkaiden henkilötietoja, heidän ei pidä jättää niitä tulostimeen pitkäksi aikaa, koska se voi johtaa siihen, että asiattomat henkilöt pääsevät käsiksi henkilötietoihin.

On erittäin tärkeää arvioida henkilötietojen käsittelyyn liittyvät riskit. Sitä voidaan kuulla edellä kuvatun täytäntöönpanoviranomaisen kanssa, joten kannattaa valmistautua yhteistyöhön ja välttää:

  • henkilötietojen tahaton ja laiton tuhoaminen

  • henkilötietojen menetys

  • tietojen muuttaminen oma-aloitteisesti

  • henkilötietojen luvaton luovuttaminen toiselle henkilölle

  • muiden ihmisten luvaton pääsy tietoihin

  • henkilötietojen väärästä tallentamisesta.

Voi olla hyödyllistä kehittää lähestymistapa henkilötietoihin. Asetuksessa ehdotetaan asianmukaisten käytännesääntöjen ja toimintamekanismien luomista, mikä velvoittaa valvontaviranomaiset valvomaan niitä.

Ilmoitus henkilötietojen loukkauksista

Asianmukaisen tietojenkäsittelyn avain on kuitenkin velvollisuus ilmoittaa rikkomuksista. Sitä sovelletaan sekä rekisterinpitäjiin että tietojen käsittelijöihin, vaikka niistä ei olisi aiheutunut kielteisiä seurauksia rekisteröidylle.

Jos henkilötietosuojaa on rikottu, siitä ilmoitetaan valvontaviranomaiselle. Se ei kuitenkaan vaadi ilmoitusta, jos oikeuksien ja vapauksien loukkaamisen riski on epätodennäköinen.

Jos riski on kuitenkin merkittävä, siitä on ilmoitettava valvontaviranomaiselle 72 tunnin kuluessa, jonka jälkeen sen on myös annettava asiaankuuluvat selvitykset ja syyt ilmoittamisen viivästymiseen. Se on luonteeltaan todistelu, dokumentaatio antaa valvontaviranomaiselle mahdollisuuden päättää, onko henkilötietojen turvallisuutta koskevia sääntöjä noudatettu ja onko aiheellista määrätä rangaistus - ja seuraamukset ovat merkittäviä!

Valvontaviranomaiselle tehtävässä rikkomuksesta on ilmoitettava:

  • kuvaus tietoturvaloukkauksesta, rekisteröityjen luokat ja lukumäärä

  • tietosuojavastaavan tiedot.

Seuraava vaihe on ilmoittaa rekisteröidyille tällaisesta loukkauksesta. Heille ilmoitetaan, kun riski luonnollisten henkilöiden oikeuksien ja vapauksien loukkaamisesta on suuri. Tämän tekee henkilötietojen ylläpitäjä. Ilmoituksen rekisteröidyn tapauksesta tulee sisältää samat elementit kuin silloin, kun se ilmoitetaan valvontaviranomaiselle, mutta siinä ei saa kuvata tietoturvaloukkauksen luonnetta ja mainita muut muut henkilöt, joihin tietoturvaloukkaus vaikuttaa.

Henkilölle ei tarvitse ilmoittaa, kun:

  • ylläpitäjä on aiemmin käyttänyt tietojen salausmenetelmiä (pseudonymisointi),

  • eliminoi suuren loukkausriskin todennäköisyyden (teki arvioinnin),

  • tekisi suhteettoman ponnistelun ilmoittaakseen erikseen jokaiselle henkilölle, johon rikkominen vaikuttaa (sen jälkeen hän antaa julkisen ilmoituksen).