Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO) ujednolica przepisy dotyczące przetwarzania danych osobowych państw członkowskich Unii Europejskiej. Ma ono na celu zapewnienie wszystkim mieszkańcom Unii Europejskiej większej kontroli nad swoimi danymi osobowymi, aby zwiększyć odpowiedzialność osób odpowiedzialnych za przetwarzanie przy jednoczesnym ograniczeniu formalności wstępnych z organami regulacyjnymi oraz wzmocnieniu roli organów nadzorczych.
Kogo dotyczy RODO w Monako?
- Zakres przedmiotowy
Zgodnie z art. 2 RODO zakres dotyczy wszystkich danych osobowych zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, niezależnie od tego, czy przetwarzanie jest realizowane przez osobę fizyczną lub osobę prawną, prawa publicznego lub prywatnego.
Nie dotyczy to jednak:
a. zakresu działalności, która nie jest objęta zakresem prawa Unii;
b. Państw Członkowskich w kontekście działań wchodzących w zakres stosowania rozdziału 2 tytułu V Traktatu o Unii Europejskiej, a mianowicie szczegółowych postanowień dotyczących wspólnej polityki zagranicznej i bezpieczeństwa;
c. osoby fizycznej w kontekście czynności ściśle prywatnej lub domowej;
d. właściwych organów w celu zapobiegania i wykrywania przestępstw, prowadzenia dochodzeń i ścigania lub wykonywania sankcji karnych, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
- Zakres terytorialny
RODO ma również zastosowanie, na podstawie kryteriów ustalania, do przetwarzania danych dokonywanych w kontekście działalności administratora danych lub podmiotu przetwarzającego dane zlokalizowanego na terytorium Unii Europejskiej, niezależnie od tego, czy przetwarzanie odbywa się na terenie Unii, czy nie. .
Ponadto RODO ma zastosowanie, na podstawie kryteriów docelowych, do przetwarzania danych dotyczących osób, których dane dotyczą, przebywających na terytorium Unii przez administratora danych lub podmiot przetwarzający dane niemający siedziby w Unii, gdy czynności przetwarzania dotyczą:
- dostarczania towarów lub świadczenia usług osobom, których dane dotyczą, w Unii, niezależnie od tego, czy płatność jest wymagana, czy nie, lub
- monitorowania zachowania tych osób, o ile ma ono miejsce w Unii.
Na przykład : jesteś firmą mającą siedzibę tylko w Monako i nie kierujesz reklam do osób z Unii Europejskiej: nie obchodzi Cię RODO.
Uwaga : Zawarcie umowy z pracownikami zamieszkałymi na terytorium Unii Europejskiej na potrzeby firmy z siedzibą w Monako nie jest równoznaczne ze złożeniem oferty towarów lub usług osobom przebywającym na terytorium Unii Europejskiej.
Czy ustawa nr 1.165 z 23 grudnia 1993 r. nadal obowiązuje w Księstwie?
W Monako ochrona danych jest regulowana ustawą o ochronie danych nr 1.165 z dnia 23 grudnia 1993 r., zmieniona ustawą nr 1.353 z 4 grudnia 2008 r. oraz ustawą nr 1.462 z dnia 28 czerwca 2018 r.
Ponadto Monako jest częścią Rady Europy i przystąpiło do Konwencji Nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonej w Strasburgu dnia 28 stycznia 1981 r. Jednak Monako nie jest częścią UE i nie implementowało dyrektywy 95/46/WE ani RODO.
Niemniej jednak wkrótce w Monako spodziewane jest wprowadzenie projektu ustawy mającej na celu zreformowanie ustawy 1.165 poprzez włączenie niektórych norm europejskich. Prace nad nowelizacją przepisów dotyczących ochrony danych osobowych trwają intensywnie od momentu utworzenia dedykowanej Grupy Roboczej.
Czy RODO ma wpływ na Księstwo Monako?
TAK – Administrator danych lub podmiot przetwarzający dane z siedzibą w Monako może podlegać, oprócz obowiązków wynikających z ustawy nr 1.165 z dnia 23 grudnia 1993 r., również obowiązkom przewidzianym w RODO na podstawie dwóch kryteriów przewidzianych w art. 3 RODO dotyczącym zakresu terytorialnego.
W dniu 23 listopada 2018 r. opublikowano „Wytyczne” Europejskiej Rady Ochrony Danych w sprawie terytorialnego zakresu obowiązywania RODO (art. 3 RODO):
Kryteria założenia:
Administrator danych lub podmiot przetwarzający dane znajduje się w Monako, ale ma siedzibę w Unii Europejskiej. RODO ma wówczas zastosowanie w trakcie tych czynności w przedsiębiorstwie, niezależnie od tego, czy przetwarzanie odbywa się w Unii, czy nie.
Na przykład : firma z Monako ma oddział we Francji, RODO ma zastosowanie do działalności tego oddziału, nawet jeśli przetwarzanie odbywa się przez siedzibę firmy w Monako.
Motyw 22 RODO stanowi, że „Przetwarzanie danych osobowych w kontekście działalności prowadzonej przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii powinno odbywać się zgodnie z niniejszym rozporządzeniem, niezależnie od tego, czy samo przetwarzanie ma miejsce w Unii. Pojęcie „jednostka organizacyjna” zakłada skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym.„
Zatem w przypadku, monegaskiego przetwarzającego dane pracującego dla administratora danych z siedzibą w Unii Europejskiej, RODO ma zastosowanie, a wspomniany podmiot przetwarzający dane z Monako musi w związku z tym przestrzegać obowiązki podmiotów przetwarzających dane na mocy RODO.
Na przykład : firma z Monako przechowująca dane osobowe w Monako w imieniu francuskiej firmy na podstawie umowy o podwykonawstwo. RODO dotyczy firmy w Monako, ponieważ wykonuje ona podwykonawstwo dla firmy z siedzibą w Unii Europejskiej.Z drugiej strony, aby firma z siedzibą w Monako korzystała z usługodawcy znajdującego się na terytorium Unii Europejskiej, sama w sobie nie wystarczy, aby ta spółka podlegała RODO. Podmiot przetwarzający dane zostanie jednak poddany RODO zgodnie z kryteriami ustalania.
Z drugiej strony, aby firma z siedzibą w Monako korzystała z usługodawcy znajdującego się na terytorium Unii Europejskiej, nie wystarczy, aby ta spółka podlegała RODO. Podmiot przetwarzający dane zostanie jednak poddany RODO zgodnie z kryteriami ustalania.
Kryteria docelowe:
Od momentu, gdy administrator danych (a nawet podmiot przetwarzający dane) z siedzibą w Monako oferuje towary i usługi osobom w Unii Europejskiej, musi przestrzegać nowych obowiązków wynikających z RODO.
Na przykład : firma z Monako sprzedaje produkty osobom zamieszkałym we Francji i Włoszech za pośrednictwem internetowej witryny sprzedaży dostępnej w języku francuskim i włoskim. RODO ma wówczas zastosowanie, ponieważ wspomniana firma oferuje towary i usługi mieszkańcom Unii Europejskiej.
RODO nie zawiera definicji pojęcia dostawy towarów i usług. Z drugiej strony, w motywie 23, zaleca uwzględnienie szeregu czynników, w tym na przykład: „ użycie języka lub waluty powszechnie używanej w jednym lub kilku państwach członkowskich z możliwością zamawiania towarów i usług w tym innym język lub wzmianka o klientach lub użytkownikach znajdujących się w Unii”.
Ponadto administrator danych (lub nawet podmiot przetwarzający dane) z siedzibą w Monako musi również przestrzegać obowiązków wynikających z RODO w zakresie, w jakim przetwarza dane osobowe w celu monitorowania zachowania osób, których dane dotyczą, w Unii Europejskiej.
Na przykład : firma z Monako opracowała aplikację mobilną dostępną w kilku językach (francuskim, angielskim, hiszpańskim i włoskim), która zbiera nawyki, preferencje i hobby swoich użytkowników, aby zaoferować im spersonalizowane doświadczenia. RODO ma zatem zastosowanie, ponieważ firma wdrożyła przetwarzanie w celu monitorowania zachowania osób, z których część mieszka w Unii Europejskiej.
RODO nie zawiera definicji pojęcia monitorowania zachowania . Jednak w motywie 24 stwierdza, że „należy ustalić, czy osoby fizyczne są obserwowane w internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.„
Jakie nowe obowiązki administratora danych wynikają z RODO?
RODO nakłada następujące obowiązki:
- Wyznaczenie przedstawiciela w Unii Europejskiej, jeżeli administrator danych nie ma tam siedziby;
- Powołanie inspektora (Inspektor Ochrony Danych Osobowych) lub DPD (Délégué à la Protection des Données), które jest obowiązkowe w trzech przypadkach: sektor publiczny, regularnego i systematycznego monitorowania na dużą skalę i przetwarzania dużych danych poufnych;
- Prowadzenie rejestru czynności, które jest obowiązkowe dla firm zatrudniających powyżej 250 pracowników lub gdy przetwarzanie przez nie może powodować zagrożenie praw i wolności osób, których dane dotyczą, jeżeli nie jest to sporadyczne lub dotyczy w szczególności do określonych kategorii danych;
- Wzmocnienie wyraźnej zgody osób, których dane dotyczą, dobrowolnej, konkretnej, świadomej i jednoznacznej zgody, udzielonej na określony użytek w drodze pozytywnego działania;
- Wzmocnienie informacji o osobach, których dane dotyczą ;
- Utworzenie nowych praw (prawo do przenoszenia danych, prawo do ograniczenia itp.) ;
- Ocena skutków, która jest obowiązkowa w przypadku danych wrażliwych i systematycznej oceny osób, których dane dotyczą;
- Ogólny obowiązek bezpieczeństwa;
- Powiadomienie o naruszeniu danych osobowych;
- Zasady prywatności w fazie projektowania;
- Zasada rozliczalności.
Jakie są nowe obowiązki podmiotu przetwarzającego dane wynikające z RODO?
Umowa między administratorem danych a przetwarzającym musi określać obowiązki nałożone na podmiot przetwarzający, a mianowicie:
- Wyznaczenie przedstawiciela w Unii Europejskiej, gdy podmiot przetwarzający dane nie ma tam siedziby;
- Definicja przetwarzania (jego cele, czas trwania, charakter, ostateczny cel, rodzaj danych, kategorie osób, których dane dotyczą, prawa i obowiązki administratora danych);
- Zgodność podmiotu przetwarzającego z wymogami bezpieczeństwa i poufności danych nałożonymi przez rozporządzenie oraz obowiązek pomocy administratorowi danych w zapewnieniu przestrzegania przez administratora danych jego obowiązków w tym zakresie (w szczególności oceny bezpieczeństwa i skutków) );
- Obowiązek osoby przetwarzającej dane do pomocy administratorowi danych w przypadku naruszenia danych osobowych;
- Obowiązek informowania administratora danych o wszelkich naruszeniach danych osobowych;
- Obowiązek podmiotu przetwarzającego dane do pomocy administratorowi danych w odpowiedzi na żądania osób, których dane dotyczą, w wykonywaniu ich praw;
- Przetwarzanie danych przez podmiot przetwarzający dane na podstawie udokumentowanej dyspozycji wyłącznie od administratora danych;
- Konieczność uzyskania uprzedniej pisemnej zgody administratora danych, określonej lub ogólnej, na zatrudnienie przez podmiot przetwarzający innego podwykonawcy (w przypadku zezwolenia ogólnego istnieje wówczas obowiązek poinformowania administratora danych o każdej zmianie);
- Usunięcie przez podmiot przetwarzający lub zwrot danych administratorowi danych po zakończeniu misji;
- Obowiązek zachowania poufności osób upoważnionych do przetwarzania danych na rzecz przetwarzającego;
- Zobowiązanie podmiotu przetwarzającego dane do powierzenia kolejnym podwykonawcom takich samych obowiązków, z których będzie on odpowiedzialny, jak te przewidziane w umowie;
- Warunek określony przez administratora danych podmiotowi przetwarzającemu w celu przedstawienia dowodu wywiązania się ze swoich obowiązków i umożliwienia przeprowadzenia audytów.
Co obejmuje ogólny wymóg bezpieczeństwa RODO?
Zgodnie z art. 32 RODO, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego
lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Aby spełnić ten obowiązek, można skorzystać z kilku środków:
- Przyjęcie i stosowanie kodeksu postępowania lub mechanizmu certyfikacji w celu wykazania zgodności z tymi wymogami;
- Odpowiednie sporządzanie umów przy korzystaniu z usługodawców;
- Analiza ryzyka i audyty bezpieczeństwa.
Co to jest naruszenie danych osobowych?
Przez naruszenie danych osobowych należy rozumieć każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do tych danych.
Co zrobić w przypadku naruszenia danych osobowych?
- Powiadom organ nadzorczy
Zgodnie z art. 33 RODO wszystkie naruszenia ochrony danych osobowych należy zgłaszać organowi nadzorczemu bez zbędnej zwłoki i, jeśli to możliwe, najpóźniej w ciągu 72 godzin od ich wykrycia (chyba że naruszenie jest mało prawdopodobne, powodują wysokie ryzyko naruszenia praw i wolności jednostki) i muszą wskazywać:
- Charakter naruszenia, liczba osób i danych, których dotyczy;
- Konsekwencje;
- Podjęte środki.
- Powiadom osobę, której dane dotyczą
Zgodnie z art. 34 RODO wszystkie naruszenia ochrony danych osobowych muszą być bez zbędnej zwłoki zgłaszane zainteresowanym osobom, których dane dotyczą, chyba że:
-Podjęto techniczne i organizacyjne środki ochrony, aby dane osobowe były nieczytelne (szyfrowanie …);
– Podjęto dalsze środki, aby zapobiec ponownemu wystąpieniu zagrożeń dla praw i wolności osób, których dane dotyczą;
– Komunikacja indywidualna wymaga nieproporcjonalnych wysiłków.
Administrator danych i podmiot przetwarzający muszą zatem ustanowić mechanizm identyfikowalności naruszeń bezpieczeństwa.
Co to jest rejestr czynności przetwarzania danych osobowych?
Rejestr czynności przetwarzania danych osobowych to narzędzie, o którym mowa w art. 30 RODO, które zawiera dowód tożsamości każdej czynności przetwarzania i umożliwia sprawdzenie, czy ochrona danych została rzeczywiście uwzględniona i przetworzona.
W rejestrze należy wprowadzić następujące wpisy:
– nazwa i dane kontaktowe administratora danych;
– cele przetwarzania;
– kategorie osób, których dane dotyczą, oraz kategorie przetwarzanych danych osobowych;- kategorie odbiorców;
– W stosownych przypadkach przekazywanie danych osobowych do kraju niebędącego członkiem Unii Europejskiej.
Ponadto w miarę możliwości w rejestrze należy również odnotować przewidywane terminy usunięcia danych i wprowadzone środki bezpieczeństwa.
Obowiązek prowadzenia rejestru dotyczy zarówno administratora danych, jak i podmiotu przetwarzającego dane.
Obowiązek prowadzenia rejestru nie dotyczy firmy lub organizacji zatrudniającej mniej niż 250 pracowników, z wyjątkiem sytuacji, gdy przetwarzanie może powodować zagrożenie dla praw i wolności osób, których dane dotyczą.
Kiedy należy przeprowadzić ocenę skutków?
Administrator danych musi dokonać oceny wpływu czynności przetwarzania na dane osobowe przed przystąpieniem do przetwarzania, w szczególności przy zastosowaniu nowych technologii, oraz uwzględnić charakter, zakres, kontekst i cele przetwarzania, które mogą wyniknąć. w grupie wysokiego ryzyka naruszenia praw i wolności osób fizycznych.
Zgodnie z art. 35 RODO ocena skutków jest obowiązkowa:
- W przypadku profilowania (charakterystyka behawioralna w celu udoskonalenia i spersonalizowania oferty produktów i usług);
- Do przetwarzania na dużą skalę danych wrażliwych (pochodzenie rasowe, opinie etniczne, polityczne lub związkowe, genetyka, dane biometryczne, zdrowie, seksualność) lub danych dotyczących wyroków skazujących i przestępstw;
- Podczas rutynowego nadzoru na dużą skalę ogólnodostępnego obszaru;
- W przypadku każdego przetwarzania, w przypadku którego uprzednia ocena skutków jest obowiązkowa przez organ nadzorczy.
Ocena ta musi obejmować:
– opis przetwarzania;
– ocenę konieczności i proporcjonalności przetwarzania w stosunku do celów;
– ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą;
– środki przewidziane w celu przeciwdziałania zagrożeniom i środki bezpieczeństwa w celu zagwarantowania ochrony danych osobowych.
W jakich przypadkach należy wyznaczyć inspektora ochrony danych (IOD)?
Ten podmiot, o którym mowa w art. 37 RODO i następnych, jest obowiązkowy zarówno dla administratora danych, jak i podmiotu przetwarzającego, w każdym przypadku, gdy:
– przetwarzanie jest wykonywane przez sektor publiczny;
– podstawowe przetwarzanie wymaga regularnego i rutynowego monitorowania osób, których dane dotyczą, na dużą skalę;
– podstawowe przetwarzanie wymaga od nich przetwarzania (wciąż na dużą skalę) danych określanych jako „specjalne” (to znaczy wrażliwe) lub dotyczących wyroków skazujących i naruszeń prawa.
Jego obowiązkiem jest:
- Informowanie i doradzanie członkom podmiotu w zakresie obowiązków prawnych związanych z przetwarzaniem danych;
- Monitorowanie zgodności z RODO;
- Doradztwo na żądanie w zakresie oceny wpływu na prywatność i monitorowania jej wykonania;
- Współpraca z odpowiednim organem nadzorczym;
- Pełnienie funkcji punktu kontaktowego dla tego organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym konsultacji w sprawie oceny skutków dla prywatności;
- Pośredniczenie w kontaktach z osobami, których dane dotyczą, w kwestiach związanych z przetwarzaniem ich danych oraz wykonywaniem przysługujących im praw.
Jakie są główne obowiązki wprowadzone przez RODO w zakresie danych osób, których dane dotyczą?
Zgodnie z art. 12 RODO i następnymi informowanie osób, których dane dotyczą, jest wzmocnione dwoma rodzajami obowiązków:
- obowiązkiem przejrzystości: informacje prawne towarzyszące gromadzeniu danych osobowych są wyraźnie widoczne i łatwo zrozumiałe;
- zwiększenia ilości informacji, które mają być przekazywane osobom fizycznym podczas gromadzenia ich danych, niezależnie od tego, czy gromadzenie to odbywa się bezpośrednio dla osoby, której dane dotyczą, czy też pośrednio za pośrednictwem strony trzeciej (na przykład w przypadku wypożyczania plików).
W jaki sposób wyrażana jest zgoda osób, których dane dotyczą?
Zgodnie z art. 7 RODO administrator danych musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
Dowód zgody należy przechowywać i archiwizować.
Wycofanie treści osoby, której dane dotyczą, musi być w każdej chwili możliwe bez uzasadnienia. Ponadto, podobnie jak w przypadku uzyskania zgody, wycofanie to musi być identyfikowalne.
Wreszcie, w przypadku dzieci poniżej 16 roku życia administrator danych musi uzyskać zgodę podmiotu sprawującego władzę rodzicielską na przetwarzanie danych osobowych dzieci poniżej 16 roku życia.
Jakie jest znaczenie rozliczalności w rozumieniu RODO?
Zgodnie z art. 24 RODO nakłada na administratora danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu wykazania, że przetwarzanie odbywa się zgodnie z rozporządzeniem. W związku z tym administrator danych może rozważyć poddanie się „zatwierdzonemu” kodeksowi postępowania lub certyfikacji, który jest „zatwierdzony” przez odpowiedni organ nadzorczy.
Środki te muszą być przeglądane i aktualizowane w regularnych odstępach czasu.
Ponadto, zgodnie z art. 25 RODO, przetwarzanie danych osobowych musi gwarantować, od samego początku i przy każdym użyciu (prywatność w fazie projektowania i domyślnie), nawet jeśli nie było pierwotnie planowane, wysoki poziom ochrony prywatności i danych osób, których dane dotyczą.
W tym celu administratorzy danych muszą wdrożyć środki techniczne i organizacyjne, aby:
- Zminimalizować gromadzone dane;
- Ograniczyć okres przechowywania danych do tego, co jest absolutnie konieczne, i podać zasady automatycznego usuwania danych;
- Kontroluj dostęp do danych i gwarantuj ich poufność;
- Zapewnij techniczne i organizacyjne rozwiązania, aby odpowiadać na wszystkie żądania osób, których dane dotyczą.
Jakie są główne prawa osób, których dane dotyczą, wprowadzone przez RODO?
- Prawo do usunięcia lub „prawo do bycia zapomnianym” : zgodnie z art. 17 RODO administratorzy danych muszą usunąć dane „ bez zbędnej zwłoki ”, gdy:
- Nie są już przydatne;
- Osoby, których dane dotyczą, wycofują swoją zgodę i nic nie uzasadnia ich dalszego przechowywania;
- Osoby, których dane dotyczą, sprzeciwiają się (sprzeciwiają się) ich przetwarzaniu;
- Przetwarzanie jest niezgodne z prawem;
- Konieczne jest wypełnienie zobowiązania prawnego;
- Te zostały odebrane od nieletniego.
- Prawo do ograniczenia przetwarzania : zgodnie z art. 18 RODO nowe prawo pozwala osobom, których dane dotyczą, zażądać, aby ich dane nie podlegały dalszemu przetwarzaniu.
- Prawo do przenoszenia danych : to nowe prawo wynikające z art.20 RODO pozwala, w niektórych przypadkach, każdej osobie, której dane dotyczą, otrzymać dane osobowe, które dostarczyła, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz zażądać że wspomniane dane zostaną przesłane innemu administratorowi danych.
- Prawo do odszkodowania : osoba, której dane dotyczą, może podjąć kroki prawne na podstawie niezgodności z rozporządzeniem na podstawie art. 79 RODO. Ta czynność prawna może być wniesiona równolegle ze złożeniem skargi do organu nadzorczego właściwego do spraw ochrony danych.
Jakie kary przewiduje RODO?
RODO przewiduje dwa poziomy kar administracyjnych:
- 1 poziom (art. 83 ust. 4 RODO): 10 milionów euro lub 2% całkowitego światowego rocznego obrotu, w zależności od tego, która z tych wartości jest wyższa. Ma to zastosowanie między innymi w przypadku nieprzestrzegania przepisów dotyczących prywatności w fazie projektowania, domyślnej prywatności lub analizy skutków.
- 2. poziom (art. 83 ust. 6 RODO): 20 milionów euro lub 4% całkowitego światowego rocznego obrotu, w zależności od tego, która z tych wartości jest wyższa. Dotyczy to nieprzestrzegania praw jednostki (dostęp, zmiana, prawo do bycia zapomnianym itp.) Oraz nieprzestrzegania nakazu wydanego przez organ nadzorczy.
Jaki jest wpływ RODO na przekazywanie danych do i z Monako?
- W przypadku przedsiębiorstw z Unii Europejskiej, które chcą przesłać dane do Księstwa: przedsiębiorstwa te nie powinny dopełniać żadnych szczególnych formalności z organem nadzorczym, o ile istnieją narzędzia ochrony danych między europejskim administratorem danych a jego osobą. podwykonawca lub spółka zależna, w szczególności:
- Standardowe klauzule ochrony danych zatwierdzone przez Komisję Europejską (art. 46 RODO);
- Wiążące reguły korporacyjne (art. 47 RODO);
- Zatwierdzony kodeks postępowania zgodnie z art. 40 RODO;
- Zatwierdzony mechanizm certyfikacji zgodnie z art. 42 RODO.
- Dla firm, które chcą przesłać dane z Księstwa : Firmy te podlegają formalnościom CCIN w zakresie przekazywania danych od momentu, gdy chcą wysłać dane do kraju, który nie ma odpowiedniego poziomu ochrony.
Jakie są pierwsze działania, które należy podjąć, aby zachować zgodność z RODO?
Pierwsze działania, jakie należy podjąć, aby zachować zgodność z RODO, obejmują:
- Zrób mapowanie przetwarzania danych;
- Załatw formalności z CCIN;
- Zdecydować, czy konieczne jest powołanie przedstawiciela w Unii Europejskiej;
- Sprawdź, czy spełnione są warunki wyznaczenia inspektora ochrony danych;
- Sprawdź, czy spełnione są warunki założenia rejestru działalności;
- W razie potrzeby przeprowadzić ocenę wpływu;
- Weryfikować warunki realizacji praw osób, których dane dotyczą, w szczególności w zakresie informacji i przejrzystości;
- Skontaktować się z organem (-ami) nadzorczym (-ymi) kraju lub krajów Unii Europejskiej, na które ma wpływ przetwarzanie.
Powyższe informacje stanowią odzwierciedlenie informacji znajdujących się na stronie Commission de Contrôle des Informations Nominatives.