kantoorruimte met beveiligingscameras hangend aan

Голландиялық деректерді қорғау органы: рөл, құқықтар және есеп беру

Блог /

Голландиялық деректерді қорғау органы — Autoriteit Persoonsgegevens (AP) — Нидерланды үшін құпиялылықты тәуелсіз реттеуші. Ол Нидерландыда жұмыс істейтін немесе оған бағытталған ұйымдардың GDPR талаптарына сәйкес келетініне көз жеткізеді, күдікті бұзушылықтарды зерттейді, айыппұлдар мен бұйрықтар шығарады және жеке деректерді қалай өңдеу керектігін түсіндіреді. Жеке тұлғалар деректері дұрыс пайдаланылмаса немесе ұйым олардың құпиялылық құқықтарын елемейтін болса, кіру орталығына жүгіне алады. Ұйымдар 72 сағат ішінде талаптарға сай деректердің бұзылуы туралы AP-ке хабарлауы және жеке деректерді өңдеу әдісіне, соның ішінде арнайы санаттарға сүйенетін немесе деректерді шетелге тасымалдайтыны үшін жауапкершілікті көрсетуі керек.

Бұл практикалық нұсқаулық AP не істейтінін және ол қашан енеді, GDPR сізге қатысты ма, сондай-ақ AP-мен қашан және қалай байланысу керектігін түсіндіреді. Сіз AP қорғауға көмектесетін құқықтарды, қадамдық шағым беру процесін, ұйымдар үшін деректердің бұзылуы туралы есеп беруді, GDPR бойынша негізгі міндеттемелерді және DPO және ЕО өкілдерінің іс жүзінде не істейтінін табасыз. Біз сондай-ақ трансшекаралық істерді және «бір терезе» механизмін, соңғы орындау мысалдарын, ресми ресурстар мен байланыс арналарын және AP сұрауына қалай дайындалу керектігін қарастырамыз. Келесі қадамдарға бағдарлануға және сенімді болуға мүмкіндік берейік.

Autoriteit Persoonsgegevens (AP) мандаты мен өкілеттіктері

Голландиялық деректерді қорғау органы бақылайтын тәуелсіз қадағалау органы болып табылады Комплаенс Нидерландыдағы GDPR-мен. Ол Нидерландыдағы адамдардың жеке деректерін өңдейтін мемлекеттік және жеке ұйымдарды қадағалайды, сәйкессіздік туралы шағымдар мен сигналдар бойынша әрекет етеді және қажет болған жағдайда түзету шараларын қолданады.

  • Тергеу өкілеттігі: ақпаратты сұраңыз, тексерулер жүргізіңіз және GDPR күдікті бұзылуларын зерттеңіз.
  • Түзету өкілеттігі: талаптарды орындау туралы ұйғарымдарды (соның ішінде мерзімдік өсімпұл төлеуге жататын өкімдерді) шығару, сөгіс беру және әкімшілік айыппұлдар салу.
  • Бұзушылықты қадағалау: деректердің бұзылуы туралы міндетті хабарламаларды алу және бағалау (қажет болған жағдайда 72 сағат ішінде) және зардап шеккен тұлғалардың хабардар етілгенін тексеру.
  • Құқықтарды қамтамасыз ету: ұйымдарға қол жеткізуді және басқа да деректер субъектілерінің құқықтарын жеңілдетуді қамтамасыз ету; сұраулар еленбеген немесе қате өңделген кезде әрекет ету.
  • Нұсқаулық және қадағалау бағыты: нұсқауларды жариялау және арнайы санаттағы деректер мен халықаралық тасымалдауларды қоса алғанда, жоғары тәуекелді өңдеуді қадағалау.
  • Өкілдіктің орындалуы: Нидерландыдағы адамдарға бағытталған ЕО-ға кірмейтін бақылаушылардан қажет болған жағдайда ЕО өкілін тағайындауды талап етеді.

GDPR сізге Нидерландыда қолданылады ма?

Егер де сен Нидерландыда жұмыс істейді немесе сол жерде адамдарға бағытталған және жеке деректерді өңдейтін болса, GDPR серверлеріңіздің қай жерде орналасқанына қарамастан қолданылуы мүмкін. Голландиялық деректерді қорғау органы (AP) фрилансерлерден бастап көпұлттық компанияларға дейін барлық өлшемдегі ұйымдардың сәйкестігін қадағалайды.

  • ЕО негізінде: Сіз ЕО-да құрылғансыз және жеке деректерді өңдейсіз.
  • ЕО негізінде емес: Сіз ЕО-дағы адамдарға тауарлар/қызметтерді ұсынасыз немесе олардың ЕО-дағы мінез-құлқын бақылайсыз.

Қолданыстағы ЕО емес ұйымдар ЕО өкілін тағайындауы керек.

AP-ке қашан және не үшін хабарласу керек

Құпиялылыққа қауіп төніп тұрғанда немесе ұйыммен мәселені шешу әрекеттеріңіз ешқайда шықпаса, Голландиялық деректерді қорғау органына (AP) хабарласыңыз. Жеке тұлғалар жеке деректерді дұрыс пайдаланбау туралы шағым бере алады. Ұйымдар 72 сағат ішінде сәйкес деректердің бұзылуы туралы хабарлауы керек және белгілі бір жоғары тәуекелді әрекеттер үшін AP мақұлдауы қажет болуы мүмкін.

  • Заңсыз өңдеу немесе арнайы санатты теріс пайдалану: мысалы, заңды негізсіз биометриялық деректер.
  • Еленбеген құқықтар туралы сұраулар: қол жеткізу, өшіру, қарсылық немесе мөлдірлік қателері.
  • Деректерді бұзу (ұйымдар): 72 сағат ішінде міндетті AP хабарламасы.
  • Жеке тұлғаларға бұзушылық туралы хабарлама жоқ: адамдарға қашан хабарлау керек еді.
  • ЕО өкілі жоқ (ЕО емес бақылаушылар): Нидерландыдағы адамдарға бағытталған.
  • Ортақ қара тізімдер: AP лицензиясы қажет болғанда.

Сіздің GDPR құқығыңыз AP кепілдіктері

Autoriteit Persoonsgegevens (AP) ұйымдардың сізге нақты хабарлауын, дер кезінде жауап беруін және деректерді заңды түрде өңдеуін қамтамасыз ету арқылы сіздің негізгі GDPR құқықтарыңызды қорғайды. Егер компания сұрауды елемесе немесе қате өңдесе, Голландиялық деректерді қорғау органы сәйкестікті тексеріп, тапсырыс бере алады. Бұл AP іс жүзінде қолданатын негізгі құқықтар.

  • Ақпарат алу құқығы: анық, мөлдір хабарламалар, соның ішінде деректер басқалардан алынған кезде.
  • Қол жеткізу құқығы: деректердің және өңдеу мәліметтерінің көшірмесі; кідіріссіз жауап беру (әдетте бір ай ішінде).
  • Құқықтарды жеңілдету: ұйымдар сұрауларды оңай және уақтылы жасауы керек — негізсіз бас тартулар немесе кешіктірулер болмауы керек.
  • Арнайы санаттағы деректерді қорғау: биометриялық немесе денсаулық деректері үшін қосымша кепілдіктер; заңсыз пайдалану AP әрекетін тудырады.
  • Бұзушылық туралы ақпарат: ағып кету жоғары қауіп төндіретін кезде адамдарға хабарлау қажет; AP бұл орын алғанын тексереді.

Құпиялылық туралы шағымды қалай беруге болады (қадамдық)

Егер ұйым сіздің жеке деректеріңізді дұрыс пайдаланбайтын болса немесе құқықтар туралы сұрауыңызды елемейтін болса, сіз Голландиялық деректерді қорғау органына (Autoriteit Persoonsgegevens, AP) шағым жасай аласыз. Көп жағдайда мәселені алдымен ұйыммен шешуге тырысыңыз және нақты қағаз ізін сақтаңыз. Бағдарланған, жақсы құжатталған шағым AP-ға жағдайды тезірек бағалауға көмектеседі, әсіресе арнайы санаттағы деректер немесе трансшекаралық өңдеуге қатысты болса.

  1. Тікелей ажыратымдылықты қолданып көріңіз: Ұйымға (немесе оның DPO) мәселені және сіз сұрап отырған құқықты түсіндіре отырып жазыңыз; жауап беру үшін оларға бір ай мерзім беріңіз.
  2. Дәлелдерді жинау: Сұрауыңыздың көшірмелерін, кез келген жауаптарды, күндерді, скриншоттарды, құпиялылық туралы ескертулерді және кез келген зияныңызды сақтаңыз.
  3. Шағымыңызды АП-ке жіберіңіз: AP шағым арнасын пайдаланыңыз және кім, не, қашан, GDPR құқығы қатысты және әсерін сипаттаңыз.
  4. Бақылаумен ынтымақтасу: AP қосымша ақпаратты сұрай алады немесе трансшекаралық істер бойынша басқа ЕО органымен келісе алады.
  5. Параллельді емдеу әдістерін қарастырыңыз: AP ұйымға сәйкестік пен санкцияға тапсырыс бере алады; өтемақы бөлек азаматтық іс талап етеді.

Деректердің бұзылуы туралы AP-ге қалай хабарлауға болады (ұйымдар үшін)

Жеке деректердің бұзылуы орын алған кезде ұйымдар Нидерландыда жұмыс істейді немесе нысанаға алады жылдам әрекет ету керек: қажет болған жағдайда 72 сағат ішінде Голландиялық деректерді қорғау органына (Autoriteit Persoonsgegevens, AP) хабарлаңыз, зардап шеккен тұлғаларды хабардар етіңіз және оқиғаны тіркеңіз. Трансшекаралық бұзушылықтар туралы әдетте ЕО штаб-пәтеріңіздегі елдегі DPA-ға хабарланады. Кешіктірілген хабарлама айыппұл салынуы мүмкін.

  1. Бағалау және қамту: Оқиғаның хабарланатын жеке деректерді бұзу екенін шешіңіз.
  2. AP-ке хабарлау (72 сағат): Хабарламаны жіберу үшін кіру нүктесінің деректердің бұзылуы туралы хабарлау арнасын пайдаланыңыз.
  3. Қажет болған жағдайда жеке тұлғаларды хабардар ету: Әсер еткен адамдарға хабарлаңыз және практикалық нұсқаулар беріңіз.
  4. Ішкі құжат: Бұзушылықтар тізіліміне фактілерді, әсерлерді және түзету әрекеттерін жазыңыз.
  5. Трансшекаралық үйлестіру: Жетекші органға (ЕО штабының DPA) хабарлаңыз және бақылауды үйлестіріңіз.

Шешімдер мен мерзімдер туралы дәлелдемелерді сақтаңыз; AP қосымша ақпаратты сұрай алады.

AP ұйымдардан не күтеді: GDPR негізгі міндеттемелері

Autoriteit Persoonsgegevens ұйымдардан нақты GDPR жауапкершілігін көрсетуді күтеді: жарамды заңды негізді таңдаңыз, өңдеуіңізді нақты түсіндіріңіз, деректерді минимумға дейін сақтаңыз, оларды тиісті түрде қорғаңыз, құқықтар туралы сұрауларды уақтылы орындаңыз, жоғары тәуекелді әрекеттерді бағалаңыз, қажет болған жағдайда бұзушылықтар туралы хабарлаңыз және деректерді тек тиісті қауіпсіздік шараларымен шетелге тасымалдаңыз.

  • Заңды негіз және ашықтық: нақты мақсаттарды, заңды негіздерді және деректерді кіммен бөлісетініңізді көрсетіңіз; қол жетімді құпиялылық ақпаратты қамтамасыз ету.
  • Деректерді азайту және сақтау: қажет нәрсені ғана жинап, сақтау мерзімдерін орнатыңыз/қадағалаңыз.
  • Қауіпсіздік шаралары: пропорционалды техникалық және ұйымдастырушылық бақылауды жүзеге асыру және ішкі қолжетімділікті шектеу.
  • Жоғары тәуекелді өңдеу: қажет болған жағдайда DPIA іске қосыңыз; арнайы санат деректері үшін қорғау шараларын қосыңыз.
  • Құқықтарды жеңілдету: құқықтарын жүзеге асыруды жеңілдету; кідіріссіз жауап беріңіз (әдетте бір ай ішінде).
  • Бұзушылықты басқару: қажет болған жағдайда 72 сағат ішінде АП-қа хабарлау; тәуекелдер жоғары болғанда жеке тұлғаларды хабардар ету; бұзушылықтарды тіркеу журналын жүргізу.
  • Халықаралық аударымдар: сәйкестік туралы шешімдерді немесе тиісті қауіпсіздік шараларын (мысалы, үлгі ережелерін) пайдаланыңыз.
  • Нормативтік талаптар: белгілі бір ортақ қара тізімдер үшін AP лицензияларын алу; Міндетті жағдайда ДПО тағайындау; ЕО емес контроллерлерде Нидерландыны нысанаға алған кезде ЕО өкілі болуы керек.

DPO, ЕО өкілдері және іс жүзінде есеп беру

GDPR бойынша жауапкершілік - бұл белгі емес, тұрақты міндет. Қажет болған жағдайда, жеке деректердің қалай өңделетінін бақылау, қызметкерлерге кеңес беру және Голландиялық деректерді қорғау органының (AP) байланысы ретінде қызмет ету үшін Деректерді қорғау қызметкерін (DPO) тағайындаңыз. Егер сіз ЕО-дағы адамдарға тауарлар/қызметтерді ұсынатын немесе бақылайтын ЕО емес контроллер болсаңыз, ЕО өкілін тағайындауыңыз керек. AP бұл рөлдердің іс жүзінде жұмыс істейтіні туралы дәлелдерді күтеді - өкілді тағайындамау Clearview ісінде көрсетілгендей, мәжбүрлеуге алып келді.

  • Қажет болған жағдайда DPO: DPO өңдеуді бақылайды, қызметкерлерге ақпарат береді және кеңес береді және AP байланыс нүктесі болып табылады.
  • ЕО өкілі (ЕО емес бақылаушылар): ЕО/Нидерландыдағы адамдарға бағытталған кезде өкілді тағайындаңыз.
  • Жоғары тәуекелді өңдеу: қажет болған жағдайда DPIA орындаңыз және арнайы санат деректері үшін қорғау шараларын қосыңыз.
  • Құқықтарды өңдеу: сұрауларды орындауды жеңілдету және артық кідіріссіз жауап беру (әдетте бір ай ішінде).
  • Бұзушылыққа дайындық: бұзу тізілімін жүргізіңіз және қажет болған жағдайда 72 сағат ішінде АП-ке хабарлаңыз.
  • Халықаралық аударымдар: барабарлық шешімдеріне немесе тиісті кепілдіктерге сүйенеді (мысалы, үлгі келісімшарттар).

Трансшекаралық істер және бір терезе механизмі

Өңдеу немесе бұзушылықтар ЕО-ның бірнеше елдеріндегі адамдарға әсер еткенде, GDPR бір терезе қолданылады. Жетекші қадағалау органы ЕО-ның «негізгі мекемесінің» (әдетте штаб-пәтері) DPA болып табылады. Егер бұл Нидерландыда болса, Голландиялық деректерді қорғау органы (AP) басқарады; әйтпесе, АП мүдделі орган ретінде әрекет етеді. Трансшекаралық бұзушылықтар үшін ұйымдар әдетте жетекші DPA-ға хабарлайды.

  • Жетекші DPA-ны анықтаңыз: Негізгі мекемені анықтаңыз және кім жетекшілік ететінін растаңыз.
  • Жетекші DPA арқылы есеп беру: Оның бұзу/байланыс арнасын пайдаланыңыз және жазбаларды сақтаңыз.
  • Координат: Ақпараттық сұрауларды және басқа ЕО DPA-мен бірлесіп өңдеуді күтіңіз.

Тәжірибеде орындау: айыппұлдар, бұйрықтар және маңызды істер

Голландиялық деректерді қорғау органы мінез-құлықты тез өзгерту үшін тергеу және түзету құралдарын пайдаланады. Әкімшілік айыппұлдарды, сөгістерді және талаптарды орындау туралы бұйрықтарды күтіңіз - көбінесе тұрақты бұзушылықтарды тоқтату үшін мерзімді айыппұл төлемдерімен. Типтік триггерлерге заңсыз өңдеу, арнайы санаттағы деректерді теріс пайдалану, құқықтар туралы сұрауларды елемеу, ЕО емес контроллерлер үшін ЕО өкілдігінің болмауы және бұзу туралы кешіктірілген немесе жеткіліксіз хабарламалар (айыппұл салынуы мүмкін) жатады.

  • Әкімшілік айыппұлдар мен бұйрықтар: AP қалпына келтіруге тапсырыс бере алады және сәйкестікті қамтамасыз ету үшін мерзімді айыппұл төлемдерін қоса алады.
  • Жалпы бұзушылықтар: Заңды негіз жоқ, заңсыз биометриялық өңдеу, нашар ашықтық, қолжетімділікті жеңілдету және бұзушылықтарды өңдеудің әлсіздігі.
  • Көрнекті жағдай — Clearview AI (2024): Деректерді заңсыз жинау және биометриялық өңдеу, ашықтық және қол жеткізу ақаулары үшін €30 500 000 айыппұл және ЕО өкілі жоқ; жалғасып келе жатқан бұзушылықтарды тоқтату үшін төрт сәйкестік бұйрығы.

Ресми ресурстар және байланыс арналары

Беделді нұсқаулар мен пішіндерді алу үшін Голландиялық деректерді қорғау органын (Autoriteit Persoonsgegevens, AP) пайдаланыңыз. Бұл ақпарат, шағымдар және бұзушылықтар туралы хабарлауға арналған ресми арналар.

  • AP веб-сайты (EN/NL): нұсқаулар, жаңартулар және жаңалықтар.
  • Шағым нысаны (жеке тұлғалар): құпиялылық туралы шағым беру; дәлелдер қосу.
  • Деректерді бұзу порталы (ұйымдар, NL): қажет болған жағдайда 72 сағат ішінде хабардар ету; ішке кіріңіз.
  • Байланыс беті: жалпы сұраулар немесе жағдайды бақылау.
  • Нұсқаулық: қауіпсіздік шаралары, DPIA және халықаралық аударымдар.

AP сұрауына немесе тексеруіне дайындық

Autoriteit Persoonsgegevens сұрауы өртке қарсы жаттығуға айналмауы керек. Тәуекелді азайтудың ең тиімді жолы - үй тапсырмасын көрсету және олқылықтарды ерте түзету. Ақпарат сұрауларына, қашықтан тексерулерге немесе орнында тергеуге дайын болу үшін осы мақсатты дайындықты пайдаланыңыз.

  • Жауап беру жетекшісін тағайындаңыз: DPO/EU өкілі бір контакт ретінде; барлық мерзімдерді қадағалаңыз.
  • Есеп беру файлыңызды жинаңыз: мақсаттар, құқықтық негіздер, ескертулер, сақтау, қол жеткізуді басқару.
  • Дәлелдеу құқықтарын өңдеу: сұрау журналы, жауап үлгілері және бір айлық айналым жазбалары.
  • Көрсету қауіпсіздік және DPIA: жоғары тәуекелді/арнайы санатты өңдеуді және құжатталған азайту шараларын қамтиды.
  • Бұзушылық туралы құжаттаманы жасаңыз: оқиғалар тіркелімі, 72 сағаттық хабарландырулар және кез келген пайдаланушы байланыстары.
  • Халықаралық аударымдар мен өкілдіктерді тексеру: сәйкестік немесе үлгі ережелері, сонымен қатар ЕО өкілінің дәлелі (қажет болса).

Негізгі қорытындылар және келесі қадамдар

Төменгі жол: AP - голландиялық GDPR бақылаушысы. Жеке тұлғалар шағымдарды күшейте алады; ұйымдар 72 сағат ішінде заңды өңдеуді, құқықтарды жеңілдетуді, деректерді қорғауды және бұзушылықтар туралы хабарлауы керек, бұл ретте арнайы санаттағы деректер мен трансшекаралық орнатуларға аса мұқият болу керек. Арнайы көмек немесе шұғыл әрекетті жоспарлау керек пе? Бізбен сөйлесіңіз құпиялылық заңгерлері Law & More.

Қатысты Хабарламалар

Law & More