GDPR. Как не «попасть» на 20 млн евро?

GDPR. Как не «попасть» на 20 млн евро?

aa3c9da6-a89b-42b6-bd71-56f288733810
Последняя пятница мая ознаменовалась окончательным обновлением правил сбора и хранения данных жителей ЕС. Чем же «страшен» GDPR для украинских компаний и что делать, чтобы не попасть под штраф (который может достигать 1/20 годового дохода или же 20 млн евро)?

Для начала разберемся, что же есть персональные данные (ПД) (во всяком случае, что под ними подразумевает регламент).

Личные (персональные) данные – это абсолютно любая информация, позволяющая идентифицировать человека (субъекта данных). ФИО, возраст, политические, религиозные, культурные взгляды, место проживания, работы, а также любые ссылки на аккаунты, профили, и контакты человека. Для примера – если Вы собираете статистику по именам за минувший год – это не ПД. Но если к имени будет добавлен адрес, фамилия или номер телефона – Вы обязаны собирать, хранить и обрабатывать данные согласно требованиям GDPR.

Главное требование – субъект данных (СД) должен четко понимать, когда, зачем и какие данные Вы собираете, сколько будете их хранить. Так же, согласно регламенту СД имеет право:
  • Получить информацию о своих данных в любой момент,
  • Запросить передачу информации в другую организацию (к примеру, при смене медицинского учреждения),
  • Удалить находящиеся у Вас свои данные (так называемое «право на забвение»).
Основной вопрос – что нужно предпринять компании в связи с новыми требованиями?

В первую очередь, изменить вид и содержание Политики Приватности (ПП) компании. Если раньше Privacy Policy выглядела как несколько страниц мелкого юридического текста, под которым пользователи не читая ставили галочку, то теперь регламент требует кардинальных изменений. А именно:
  • Доступность. Описание ПП обязано быть понятным для обывателя, несведущего в юридической терминологии.
  • Краткость. Необходимо четко указать какие данные и для чего Вы собираете.
  • Прозрачность. Если Ваша компания будет передавать информацию субъекта третьим лицам – это необходимо обозначить, как и основание, на котором это делается.
  • Срок годности. Длительность обработки и хранения данных должна быть указана в обязательном порядке.

Касательно срока хранения ПД: GDPR не дает четких временных ограничений, однако требует, чтобы «персональные данные хранились не дольше, чем это необходимо для целей обработки».
  • Обратная связь. Укажите контакты ответственного лица (представителя компании), с которым пользователь может связаться по вопросам хранения и передачи ПД.

Вы можете для этих целей назначить так называемого DPO (data protection officer) из числа своих сотрудников. DPO несет официальную ответственность за соблюдение защиты данных внутри организации. После назначения необходимо опубликовать о нем информацию, которая должна находиться в общем доступе, и уведомить ответственное лицо по защите ПД в Вашей стране. Помните – назначение DPO –опционально. Обязательным оно является для гос. Организаций и для компаний, занимающихся крупномасштабным мониторингом на систематической основе.

2970b7e6-9058-4eef-b9b7-9c7c40a842c4
Что делать, если деятельность Вашей компании предусматривает передачу данных компаниям других стран?
Рассмотрим несколько вариантов:
  1. в случае передачи информации в страны ЕС – проблем не возникает, поскольку на их территории действует регламент,
  2. при трансграничной передаче в страны, расположенные за пределами союза регламент требует, чтобы страна могла гарантировать и документально подтвердить гарантии должной защиты ПД. Подтверждение либо же осуществляется действующим решением комиссии ЕС, либо уполномоченным надзорным органом и одобряется комиссией. Список подтверждающих документов включает в себя: документ между органами гос. власти или правительственными организациями; корпоративные внутренние правила, утвержденные надзорным органом; стандартизированные условия о защите ПД, официально утвержденный кодекс поведения включающий обязательные и подлежащие исполнению обязательства контролера или обработчика в третьей стране применять соответствующие гарантии, в том числе в отношении прав СД; утвержденный алгоритм сертификации вместе с обязательными и подлежащими исполнению обязательствами контролера или обработчика в третьей стране применять соответствующие гарантии, в том числе в отношении прав СД.

Передача осуществляется без дополнительной документации, если:
  1. СД дал прямое согласие на передачу или заключил договор, ее предусматривающий,
  2. передача необходима для выполнения решения суда,
  3. она носит жизненно важный характер и субъект физически или юридически не имеет возможности дать согласие.

И даже если Вы уверены, что постностью подготовились и соответствуете новым правилам в полном объеме, помните — Вы должны быть готовы в любой момент подтвердить и предоставить документы, подтверждающие соответствие всем нормам регламента GDPR. Как это сделать?

В компании должны быть установлены и задокументированы внутренние правила и алгоритмы работы с ПД, политика обработки ПД, учетные записи обработки и реестры ПД. Обязательно необходимо проведение аудита «Оценка воздействия на защиту данных» (DPIA) с составлением отчета по результатам. В данном документе должны описываться все меры по защите ПД, как текущие, так и те, которые будут предприниматься в будущем.

Если Вы обнаружили утечку информации (или же любое другое нарушение, связанное с ПД), то согласно GDPR у Вас есть трое суток (72 ч) чтобы уведомить регулирующие органы о данном факте. При несоблюдении данного срока или утаивании факта компанию ждут штрафные санкции.

И помните — применение GDPR позволяет компании выглядеть выгоднее среди конкурентов и безопаснее для своих клиентов.

Если у Вас остались какие-либо вопросы касательно GDPR или Вам необходима помощь в подготовке документации по соответствию – обращайтесь к нам! Специалисты компании Atilog всегда рады помочь!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *