Аудит соблюдения норм GDPR

C 25 мая вступает в силу общий регламент защиты персональных данных Европейского союза (General Data Protection Regulation) или иначе говоря GDPR. Регламент вносит новые требования по обработке персональных данных. Компании которые не соответствуют требованиям GDPR становятся не конкурентоспособными для рынка ЕС, а так же могут понести огромные финансовые потери в виде штрафов, вплоть до 20 миллионов евро.

Чем ваша компания может помочь с GDPR?

Юристы компании BusinessAdvisers могут проконсультировать Вас по вопросам соблюдения норм GDPR, разъяснить нюансы Регламента, провести аудит на предмет соблюдения норм GDPR, разработать пакет необходимых документов (Pivate Policy, Processor and Controller agreement, KYC).

На кого распространяются нормы GDPR?

GDPR действует по принципу экстерриториальности, то есть его нормы применяется ко всем компаниям, которые обрабатывают персональные данные граждан ЕС, вне зависимости от местонахождения.
Таким образом, если вы находитесь в Беларуси, но обрабатывается информацию граждан ЕС, то вы обязаны соблюдать нормы GDPR.

Примеры компаний: IT компании занимающееся разработкой ПО, маркетинговые компании, рекламные агентства, отели, туристические агентства, интернет-магазины и др.

Персональные данные?

Да, персональные данные, иначе говоря любая информация с помощью которой можно идентифицировать человека. Это данные об имени, фамилии, поле, расе, и кроме того данные по которым можно идентифицировать человека при анализе.
Например, данные о том каким ПО вы пользуетесь.

Я должен соблюдать GDPR?

Да, если Ваша компания обрабатывает данные (занимается, сбором, хранением) граждан ЕС, или если например Вы:

1)предоставляете услуги или продаете товары клиентам из Евросоюза
2)отслеживаете поведение, или осуществляете мониторинг поведения граждан ЕС
3)предоставляете услуги компаниям из ЕС, осуществляете от их имени обработку, хранение или передачу персональных данных граждан ЕС, которые являются пользователями этих компаний

Иначе говоря, если Ваша компания как-то взаимосвязанна с Европейским рынком и обрабатывает персональные данные Европейцев, соблюдайте правила GDPR.

А что по поводу владельцев персональных данных?

Что, касается лиц, чьи персональные данные обрабатываются, то у них появляются следующие права на взаимодействие с их персональными данными:

– право на удаление персональных данных, при условии если:
1) Данные получены не законно;
2) Субъект данных отозвал свое согласие на обработку;
3) Персональные данные больше не нужны для целей обработки, для которых они были собранны.

- право на перенос – право требовать получения своих персональных данных в удобном формате, в том числе для передачи кому-либо;

- право на возражение – отказ от обработки данных в целях маркетинга;

Важным условием является и то, что компания должна ясно и прозрачно донести о наличие таких прав субъекту.

Что необходимо сделать для соблюдения норм GDPR?

Для приведения всего процесса обработки персональных данных в соответствие с точки зрения GDPR необходимы время и ресурсы.
Так необходимо:

1) Собирать только те персональные данные, которые необходимы, а так же которые объяснены целями обработки.
Например, если субъект персональных данных заказал у Вас товар, достаточно будет его ФИО (для определения кому отдать товар) и адрес (куда доставить). Для сбора других данных необходимо получать согласие субъекта персональных данных при этом объяснить, с какой целью они будут использоваться;

2) Проверить наличие согласия на обработку персональных данных. Текст согласия должен быть составлен в предельно ясной форме. Согласие можно получать и в виде галочки, однако она не должна стоять по умолчанию: необходимо получить явное волеизъявление человека.

3) Убедиться, что GDPR соответствуют все компании, с которыми есть совместные проекты;

4) Разработать документацию по правилам обработки персональных данных внутри компании:
- политика обработки персональных данных;
- внутренние правила и процедуры работы с персональными данными;
- реестры персональных данных;
- учетные записи обработки персональных данных.

5) Обратиться к квалифицированным специалистам по защите персональных данных.

А что если я не буду соблюдать GDPR?

За нарушение правил обработки персональных данных резидентов ЕС предусмотрен штраф в 20,000,000 € или 4% от годового мирового оборота Вашей компании, в зависимости от того, какая сумма больше.