Что такое GDPR и затронет ли он мой бизнес?

Правила обработки персональных данных

Подготовь свой бизнес к новому регламенту защиты данных

Что такое GDPR?

GDPR (General Data Protection Regulation) — это общий регламент по защите данных, принятый Европейским Союзом 27 апреля 2016 г. и вступивший в силу 25 мая 2018 г. Регламент применим не только в европейских странах, в т.ч. в Болгарии, его так же обязаны соблюдать любые юридические лица, вне зависимости от местоположения, обрабатывающие персональные данные граждан Европейского союза. Целью Положения является обеспечение защиты персональных данных каждого человека путем введения ряда обязательств для компаний их контролирующих.

Персональные данные и бизнес

Личные данные в современном деловом мире являются чрезвычайно важным активом. Они предоставляются для временного пользования с целью достижения определённых целей и не принадлежат бизнесу.

Территориальный охват

Правила распространяются по всей территории Европейского Союза, а также за его пределами, когда речь идет о правах граждан ЕС.

Коснется ли GDPR моей компании?

Ответьте на 3 простых вопроса, чтобы узнать

Вы оказываете услуги или продаете товары клиентам из ЕС?

Например: вы занимаетесь электронной коммерцией или SaaS бизнесом

Вы отслеживаете или осуществляете мониторинг поведения граждан Евросоюза?

Например: совершаете операции с cookie файлами

Вы осуществляете обработку, хранение или передачу персональных данных европейских граждан?

Например: занимаетесь IT аутсорсингом

ОДНОГО ОТВЕТА ДА ДОСТАТОЧНО

ДЛЯ РАСПРОСТРАНЕНИЯ GDPR НА ВАШ БИЗНЕС

Санкции

Чем грозит несоблюдение Правил?

Положения Регламента применяются в ЕС с 25 мая 2018 года. Все компании, использующие персональные данные, должны отвечать требованиям Положения. Штрафы, предусмотренные Регламентом, огромны – до 20 миллионов евро или 4% годового оборота компании. Несоблюдение Правил может привести к ощутимым потерям для бизнеса.

Кто следит за соблюдением Регламента?

Контроль за соблюдением правил осуществляется Комиссией по защите личных данных.

Ключевые изменения в правилах хранения и обработки личных данных

Прозрачная политика

  • предоставление достоверной информации о сборе персональных данных
  • уточнение целей обработки личных данных
  • определение правил хранения и удаления персональных данных

Контроль и уведомление

  • использование подходящей защиты для сохранности личных данных
  • уведомление органов власти о нарушениях обработки персональных данных
  • получение соответствующего согласия на обработку личных данных
  • хранение записей с подробной обработкой персональных данных

IT и обучение

  • обучение сотрудников обработке личных данных
  • аудит и актуализация политики хранения и обработки персональных данных
  • назначение ответственного за защиту информации и базы данных в компании
  • заключение договоров с поставщиками в соответствии с правилами GDPR

Что мы предлагаем компаниям

Комплексное юридическое решение для соответствия требованиям GDPR

Оформить заявку

Персональные данные

Какими могут быть личные данные?

Личные данные – это информация, по которой может быть идентифицировано лицо, например: имя, пол, возраст, данные паспорта, электронная почта, фотографии, банковские реквизиты, IP-адрес и т.д.

Чувствительные персональные данные

Существуют определенные категории персональных данных, которые обладают более высоким уровнем защиты. К ним относятся данные о состоянии здоровья, биометрические данные, данные о расовом или этническом происхождении, политические взгляды и пр. Обработка и хранение указанных категорий персональных данных запрещена, но запрет может быть снят путем получения определенного согласия собственника данных.

Физические и юридические лица имеют право

  • доступа к собственным личным данным
  • исправлять ошибки в персональных данных
  • скачивать свои личные данные
  • удалять информацию о себе
  • знать, каким образом их данные используются

Принципы GDPR

Законная, добросовестная и прозрачная обработка персональных данных

Обработка личных данных не должна нарушать закон, должна быть прозрачной и защищать права граждан, предоставляющих конфиденциальную информацию.

Сбор данных для определённых целей

Личные данные собираются только для специально указанных, легитимных целей. Использование персональных данных для иных целей не допускается.

Сбор только необходимых данных

Данные не могут собираться “просто так”, поэтому сбор и обработка данных должны соответствовать их целям.

Точность и своевременная актуализация

Личные данные должны быть точным и обновляться на регулярной основе.

Ограничение в хранении данных

Личные данные хранятся в форме, которая позволяет идентифицировать субъекта данных в течение периода достижения цели. По истечении срока, данные не могут храниться и использоваться.

Целостность и конфиденциальность

При обработке должен обеспечиваться необходимый уровень безопасности персональных данных.

Пользовательские права

Доступ к данным

Субъекты данных (носители) должны иметь постоянный доступ к собственным данным. Личные данные должны восприниматься как «одолженные». Право на использование и обработку в определенных целях может осуществляться после получения согласия от владельца данных.

Удаление данных

Персональная информация должна быть стерта из базы хранения данных по запросу их владельца.

Профилирование

Регламент вводит ограничения на автоматическую обработку персональных данных. Носитель данных имеет право быть информированным о том, будет ли производиться автоматическая обработка его личных данных, а также право на приостановку данной процедуры.

Обязанности администраторов данных

Понятная формулировка цели

Каждый администратор должен четко и понятным образом изложить цель сбора, обработки и хранения данных и предоставить доступ к их изменению или удалению.

Согласие на обработку

Наличие согласия на обработку персональных данных – необходимое подтверждение для дальнейшего сбора информации. Доказательство наличия согласия – обязательно!

Передача данных третьим лицам

Для допуска к персональным данным третьих лиц, важно провести надлежащий анализ их категорий и ввести правила предоставления персональных данных. Доступ третьих лиц к данным без предварительной проверки недопустим. Собственник данных должен быть уведомлен, что его персональные данные могут быть переданы третьим лицам.

Требования к компаниям и организациям

Необходимо подготовить свой бизнес к соблюдению требований Регламента

Правовая сторона

Обновление всех документов в соответствии с новым регламентом: договоры, декларации, соглашения и т.д. Каждый конкретный случай требует индивидуального анализа обстоятельств.

Техническая сторона

Для того, чтобы компания была готова к обработке персональных данных, необходимо подготовить правовые документы, в зависимости от специфики бизнеса. Например, это может быть специальная страница на сайте или фирменный бланк, в котором будет присутствовать графа о согласии или несогласии на обработку личных данных.

Защита личных данных – постоянный процесс, а не однократная задача

Для правомерной обработки персональных данных, компания должна:

  • создать прозрачную систему обработки личных данных
  • внести изменения внутри компании, регулирующие обработку и хранение данных
  • периодически проверять внедренную систему
  • быть в курсе актуальных технологий защиты личных данных

Data Protection Officer (DPO) – сотрудник, ответственный за защиту данных

Должность администратора персональных данных может занимать как сотрудник вашей компании, так и сторонний подрядчик. Его обязанности несут консультативный характер в области защиты персональных данных, а также мониторинг и обучение персонала. Ответственный сотрудник в обязательном порядке должен пройти курс обучения по защите персональных данных.

В случае, если ваша компания обрабатывает персональные данные более 10 тысяч физических лиц, ведет систематический и крупномасштабный мониторинг или обрабатывает чувствительные данные, то присутствие DPO в штате обязательно.

Бесплатная консультация

Заполните форму заявки