Защита персональных данных: насколько вы подготовлены

25 мая в Европе вступает в силу Общий регламент по защите персональных данных (GDPR). Как не подставить компанию под удар и проверить, готовы ли вы к нему?
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

В полном непредвиденных ситуаций мире для достижения долгосрочного успеха компаниям необходимо выстраивать инфраструктуру, обеспечивающую чувствительность и устойчивость к рискам. Соблюдение требований законодательства по защите персональных данных является неотъемлемой частью комплаенса, поскольку способствует своевременному выявлению регуляторных рисков и принятию соответствующих решений по их минимизации.

25 мая 2018 года вступает в силу Общий регламент по защите персональных данных (Регламент, GDPR). Действие Регламента направлено на защиту персональных данных физических лиц и требует принятия дополнительных мер для обеспечения их безопасности.

Многие концепции GDPR основываются на положениях действующей Директивы (Data Protection Directive), поэтому если вы придерживаетесь действующего законодательства, то большинство из подходов останутся неизменными и станут основой для внедрения соответствующих изменений. Но все же Регламент содержит и нововведения, среди которых крупные штрафы за нарушение законодательства.

Итак, с чего начать? В первую очередь необходимо определить, применяется ли Регламент к вашей компании. Затем проанализируйте, какие данные вы обрабатываете, какие системы сбора, хранения и обработки персональных данных вы используете. Исходя из этого, оцените риски и обозначьте для себя ваши проблемные точки (red flags).  Следующий шаг — это разработка и внедрение внутренних политик по защите персональных данных, что включает в себя: разработку внутренних документов, назначение уполномоченного лица и информирование сотрудников о порядке обращения с персональными данными (ознакомление с внутренними процедурами, проведение плановых тренингов, пр.).

Регламент уже вызвал много противоречий и поднял ряд вопросов, и один из самых важных — это, безусловно, какие документы необходимы для соблюдения требований GDPR .

Если вы используете социальные сети и мессенджеры, то уже наверняка видели всплывающие окна с уведомлениями о смене правил компании и запросами на ваше согласие. Но достаточно ли таких уведомлений для выполнения требований нового законодательства?

В соответствии с Регламентом в компании должен быть утвержден ряд документов, регулирующий внутренние процессы в части защиты персональных данных. Политика по защите персональных данных является основным внутренним документом компании. Её наличие является огромным преимуществом, поскольку позволяет сотрудникам вашей компании быть осведомлёнными и надлежащим образом выполнять требования Регламента. Политика регулирует процесс обработки персональных данных и содержит основные элементы такие, как:

  • цель (т.е. для чего предназначена настоящая политика в компании);
  • основные термины (например, персональные данные и их категории);
  • принципы и цель обработки (часть политики, отвечающая на вопрос, в рамках какой деятельности компании осуществляется сбор и обработка персональных данных);
  • ответственные и их обязанности (например, назначение ответственного сотрудника или же передача функционала на аутсорсинг);
  • контроль по соблюдению политики (устанавливает необходимые меры, принимающиеся компанией для соблюдения законодательства).

Не менее значимым является согласие на обработку персональных данных. В соответствии с пунктом 11 статьи 4 Регламента согласие субъекта персональных данных означает любое предоставленное по своему усмотрению, конкретное и однозначное указание желания субъекта персональных данных, посредством которого он или она заявляет или четким утвердительным действием дает согласие на обработку своих персональных данных.

Еще один документ — это уведомление о конфиденциальности, например, сообщение, публикуемое на вашем сайте, которое простыми словами объясняет, каким образом вы обрабатываете персональные данные ваших клиентов и третьих лиц.

Среди остальных обязательных документов Регламент предусматривает: уведомление о конфиденциальности для сотрудников, политика о хранении персональных данных (описывает процесс хранения данных, сроки и каким образом данные будут удалены); реестр персональных данных, уведомление о нарушении и пр.

Законодатель также устанавливает перечень документов, необходимых при определенных обстоятельствах, например, стандартные договорные положения для передачи персональных данных контролеру/процессору (обязательно при условии передачи данных контролеру/процессору за пределы Европейской Экономической Зоны).

Следует обратить внимание и на инструменты, не предусмотренные GDPR, но полезные для эффективного внедрения системы по защите персональных данных в вашей компании. К таким можно отнести: политику по защите персональных данных для сотрудников (аналогично общей политике по защите персональных данных, но основное внимание уделяется сотрудникам), реестр уведомлений о конфиденциальности (целесообразно в случае, если вы публикуете такие уведомления во многих местах и хотите контролировать процесс их размещения/внесения изменений), проектный план по соблюдению требований GDPR (в случае, если вы являетесь крупной компанией и делегируете обязанности аффилированным лицам, подразделениям); чек-листы с целью проведения внутренних проверок на предмет соответствия законодательству, форму отзыва согласия на обработку (в случае если субъект персональных данных отзывает свое согласие) и другие.

На сегодня Регламент является удобным механизмом, который существенно повышает уровень защиты персональных данных физических лиц. Важной особенностью GDPR является то, что он имеет экстерриториальное действие, и не ограничивается Европейским Союзом. Среди украинских компаний, которые могут попасть под действие GDPR, речь идет о компаниях, которые экспортируют свои товары или услуги физическим лицам на территории ЕС, в том числе онлайн-магазины, туроператоры, транспортные компании, а также компании, которые в ходе осуществления своей деятельности получают доступ к персональным данным субъектов в ЕС (IT, финансовые, фармацевтические и медиакомпании). Украинскому бизнесу также стоит принять во внимание новые требования GDPR и его инновационные положения.