Про бизнес.


Сегодня, 25 мая 2018, в Европейском Союзе вступает в силу General Data Protection Regulation (GDPR; рус. — Общий регламент защиты персональных данных).

GDPR регламентирует процесс обработки персональных данных и распространяет свое действие не только на компании из ЕС, но и на компании из других стран, в том числе из Беларуси.

Партнер международной юридической компании PETERKA & PARTNERS Наталия Аношка разобралась, что изменилось для белорусских компаний в сфере защиты персональных данных и на что следует обратить внимание, чтобы не нарушать GDPR.

КТО ОБЯЗАН СОБЛЮДАТЬ РЕГЛАМЕНТ?

Все компании, обрабатывающие персональные данные физических лиц находящихся на территории ЕС, и:

  • предлагающие товары или услуги субъектам данных ЕС как на возмездной, так и на безвозмездной основе, или
  • осуществляющие мониторинг субъектов данных ЕС.

Под действие GDPR могут попадать компании из различных индустрий, обрабатывающие персональные данные, в частности, такие как:

  • разработчики онлайн-игр, мобильных приложений и интернет-магазины;
  • финансовые, транспортные и фармацевтические компании;
  • туристические, медиа и телеком-организации;
  • и многие другие.

Справочно: обработка персональных данных включает в себя сбор, запись, организацию, структурирование, хранение, переработку или изменение, восстановление, использование, раскрытие посредством передачи, рассылку или иной способ предоставления для доступа, совмещение или комбинирование, ограничение, стирание или уничтожение информации.

КАКИЕ ШТРАФЫ ГРОЗЯТ ЗА НАРУШЕНИЕ РЕГЛАМЕНТА?

С сегодняшнего дня, каждая компания, обрабатывающая персональные данные и попадающая под действие GDPR, вне зависимости от ее размеров и направления бизнеса, обязана соблюдать требования о защите персональных данных. Несоблюдение GDPR может повлечь не только репутационные риски, но и серьезные административные штрафы за отдельные нарушения предусмотрен штраф в размере до 20 млн евро или 4% от годового оборота (процент может быть посчитан от оборота международной группы компаний, а не одного субъекта-нарушителя).

ЧТО ОТНОСИТСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ?

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»), например, имя, адрес электронной почты, местоположение человека, профессия, пол, здоровье, любые связанные с этим элементы данных.

GDPR подразделяет субъекта данных на:

  • идентифицированное физическое лицо (фотография в паспорте человека);
  • идентифицируемое физическое лицо (у вас есть фотография, загрузив которую в поисковик Google, вы может идентифицировать изображенного на ней человека).

ЧТО ОБЯЗАНЫ ДЕЛАТЬ КОМПАНИИ, ЧТОБЫ СОБЛЮДАТЬ GDPR?

  • Получать согласие на обработку:

Компания должна получить или обеспечить получение согласия субъекта данных на обработку персональных данных. При этом важным фактом является выражение согласия субъекта посредством ясного утвердительного действия, устанавливающего конкретное и однозначное указание на согласие. Согласие не может быть выражено в виде молчания, ранее проставленной галочки при посещении сайта или бездействия. Если обработка данных имеет несколько целей, то согласие нужно запросить для каждой из этих целей. Субъект данных должен иметь право легко предоставить и отозвать свое согласие.

Обработка «чувствительных» персональных данных:

Чувствительные персональные данные (расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения и т.д.) заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Их обработка без прямого согласия субъекта данных или в предусмотренных GDPR случаях запрещена.

  • Обеспечить должный уровень защиты:

Псевдонимизация:

Для обеспечения безопасности обработки GDPR предлагает такой способ защиты как псевдонимизация, который означает обработку персональных данных таким образом, что персональные данные не могут быть соотнесены с конкретным субъектом данных без использования дополнительной информации.

Пример:

Охраняется GDPR

Охраняется GDPR

Не охраняется GDPR

Имя

Псевдонимизация

Анонимизация

Вадим

Мадив

XXXXX

  • Уведомлять об утечке персональных данных:

GDPR устанавливает прямую обязанность организации, обрабатывающих персональные данные, предоставлять уведомления об утечках персональных данных, в течение 72 часов с момента обнаружения такой утечки. Организация должна сообщить субъекту данных об утечке персональных данных без неоправданной задержки, когда возможными последствиями такой утечки персональных данных является высокий риск нарушений прав и свобод физических лиц.

  • Регламентировать внутренние процедуры:

Необходимо разработать внутреннее положение, определяющее политику организации в сфере обработки персональных данных:

В положении рекомендуется закрепить порядок и принципы обработки персональных данных, порядок и условия предоставления информации субъектам данных, список лиц, имеющих доступ к персональным данным, порядок действий при утечке персональных данных, а также иные требования, установленные GDPR. Внутреннее положение должно быть понятно всем сотрудникам компании, которые имеют отношение к работе с персональными данными.

Необходимо, чтоб каждый сотрудник понимал:

  • какие обязанности на него возложены;
  • как получать согласие на обработку персональных данных;
  • как осуществлять обработку;
  • как и кому предоставлять отчеты об обработке;
  • как и в какие сроки уведомлять об утечке персональных данных.

Организация обязана доказать свое соответствие GDPR. Поэтому важно документировать все операции, связанные с обработкой персональных данных.

  • Проверить необходимость назначение Data Protection Officer (DPO):

GDPR устанавливает перечень случаев, когда назначение специального ответственного лица — Data Protection Officer (DPO) обязательно. Каждая компания должна проверить, подпадает ли она под такие критерии. DPO должен назначаться на основе экспертных знаний в области защиты персональных данных.

  • Провести аудит своей компании в области защиты персональных данных и спать спокойно:

Если в вашей компании нет работника, разбирающегося в тонкостях толкования иностранного права, но вы хотите избежать рисков, связанных с несоблюдением GDPR, возможным решением будет обращение к соответствующему специалисту. Своевременно проведенный аудит поможет вам проверить и наладить весь процесс работы с персональными данными, подготовить необходимую документацию и предупредить возможные негативные последствия, связанных с нарушениями требований GDPR.

ООО «Петерка энд Партнерс»
УНП 191686396