14.03.2019

Соответствие требованиям GDPR: что делать украинским компаниям

ЮРИСТ & ЗАКОН
№10, 14 марта 2019
адвокат
Ксения Желизняк

General Data Protection Regulation  вступили в силу 25 мая 2018 г. Правила являются обязательными для тех, кто собирает персональные данные физических лиц – резидентов Европейского Союза.

Проще говоря, Правила распространяются на лиц, работающих в сфере работ или услуг, где принимает участие субъект (физическое лицо), проживающее в ЕС.

 

Основные шаги для подготовки своей компании к GDPR

 

Сперва необходимо внедрить защиту данных в самом начале работы с ними. Основным элементом в указанном процессе всегда будет цель такого сбора.

Важно полностью адаптировать систему защиты обработки персональных данных к требованиям самих Правил. Компании из Украины, работавшие на территориях Европейского Союза, должны полностью изменить подход к работе по обработке персональных данных. Важным шагом в данном направлении станет глубокий анализ уже собранных данных.

Компании должны внедрить доступный и понятный порядок получения согласия от физического лица – резидента ЕС на обработку его данных. В частности, согласно ст. 7 Правил, если персональные дани обрабатываются на основе согласия субъекта данных, контролер должен иметь возможность ее продемонстрировать. То есть система сбора данных должна быть настроена таким образом, чтобы пользователь сначала согласился с политикой конфиденциальности, содержащей перечень данных и цель обработки, а уже после этого мог оставить персональные данные. Согласие пользователя на обработку данных должно проявляться активным действием. Собирать данные по умолчанию запрещается. Текст политики конфиденциальности должен иметь простую форму и информировать о том, кто собирает данные, какие именно данные, на какой срок и т. п.

Учитывая право пользователя на перенос и удаление его данных, обязательным условием Правил является порядок хранения и использования данных с помощью инновационных ключей защиты с применением адаптированных программ.

Компания обязана обеспечить возможность вносить изменения в такие данные по требованию физического лица или даже удалять их при необходимости. Что же касается использования данных, особое внимание следует уделить взаимодействию субъектов данных и государственных органов.

Следующим шагом адаптации является приведение внутренней документации компании в соответствие с GDPR. На данном этапе необходимо пересмотреть Privacy Policy, правила пользования сайтом, приложения, сервисы. Указанные документы должны быть в слаженном взаимодействии между собой и Правилами.

Учитывая указанные положения, компания должна разработать внутренние правила обработки персональных данных. Для лиц, работающих с большим объемом персональных данных, это могут быть инструкции, где четко прописаны правила работы с персональными данными, порядок передачи информации третьим лицам и другие положения. Важным шагом является конструктивное и комплексное обучение тем работников, кто занимается выпуском готового продукта, а также программистов.

Кроме этого, важным является подписание с сотрудниками договоров о неразглашении (другой вариант – внесение разделов о конфиденциальности в контракты). При этом рекомендуется устанавливать ответственность в виде штрафов за разглашение, соразмерных санкциям за нарушение GDPR.

Конечно, не будет лишней и разработка проектов документов (экземпляров, шаблонов и пр.) для соблюдения принципа прозрачности. Согласно Правилам пользователи имеют право обращаться к контролеру с разными вопросами, просьбами и требованиями, а компания в свою очередь обязана отвечать на них. Достаточно простым и быстрым средством реагирования будет использование заранее подготовленных проектов документов. Например, это могут быть образцы ответа физическому лицу на запрос о переводе или сообщения об удалении персональных данных и т. п.

В Privacy Policy компаниям стоит указывать следующее: является ли именно эта компания контролером информации; координаты обращения (обратная связь), контактные данные компании / лица, обрабатывающего персональные данные (в случае, когда компания-контролер не является обработчиком персональных данных); предмет, характер, срок и цель обработки персональных данных. Необходимо упомянуть обязанности и данные Data Protection Officer, если такая должность введена (она не обязательна), права пользователя, согласие на обработку, правила хранения, переноса и удаления данных.

Согласно GDPR Data Protection Officer должен назначаться лишь тогда, когда обработку осуществляет:

1) орган государственной власти;

2) компания, которая проводит регулярный и систематический мониторинг физических лиц, используя значительные массивы персональных данных;

3) компания, осуществляющая обработку «sensitive data» (данные о состоянии здоровья, расовом или этническом происхождении, биометрические данные, сведения о судимости и т. п.).

В любом случае компания может добровольно назначить сотрудника по защите персональных данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания публикует информацию о данном сотруднике и уведомляет национального регулятора по защите персональных данных соответствующего государства – члена ЕС.

Компания, осуществляющая деятельность, связанную с персональными данными, обязательно должна соблюдать основные элементы контроля таких данных, их безопасности (шифрования или псевдонимизации), проверки рисков, организации сообщения об утечке данных. Лишь при таких условиях компания сможет обезопасить свою деятельность, не наткнувшись на штрафные санкции.

Уведомлен – значит вооружен.

Поделиться: