25 мая 2018 года вступил в силу General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) (Регламент), который регулирует сбор и хранение персональных данных граждан ЕС.
Когда стоит задумываться о GDRP Compliance?
Вам придется соответствовать GDPR в случае, если вы обрабатываете данные граждан Европейского Союза (ЕС), вне зависимости от того находится ли территориально Ваш бизнес на территории ЕС или нет. Так, разработка документов для соответствия требованиям GDPR является актуальной в том числе и для белорусских компаний.
Разработка документации и внедрение требований GDPR в значительной мере описаны Регламентом и методическими материалами регуляторов. В данной статье мы укажем на ключевые моменты, которые должна содержать политика конфиденциальности.
Важно! Политика конфиденциальности — это только ширма, которую видит Ваш клиент и для соответствия всем требованиям Регламента необходимо предварительно осуществить целый комплекс мероприятий технического и организационного характера и, как следствие, разработать целый пакет документов, который в полной мере обеспечит соответствие требованиям Регламента.
Как мы можем помочь с разработкой политики конфиденциальности
С чего начать процесс разработки политики конфиденциальности?
В первую очередь, Вам необходимо удостовериться, что Ваша деятельность подпадает под сферу действия GDPR.
Затем Вам необходимо провести аудит всех бизнес-процессов в компании. В рамках аудита необходимо определить следующие ключевые моменты:
- Какие персональные данные Вы собираете? При решении данного вопроса Рекомендуем руководствоваться принципом минимизации данных. Целесообразно осуществлять сбор и обработку только тех персональных данных, которые Вам действительно необходимы. Данный тезис уже успел найти свое подтверждение в судебной практике. Так, американская компания ICANN стала одной из первых «жерт» Регламента. В рамках дела суд признал компанию виновной в сборе лишних персональных данных, что повлекло наложение штрафных санкций .
- Чьи данные Вы собираете, например, данные Ваших клиентов или контрагентов? Многие забывают, что если Ваша компания не работает с физическими лицами, то это еще не значит, что Вы не должны соответствовать Регламенту. Ведь, представители Ваших партнеров или контрагентов также являются физическими лицами. И, например, создавая контакт компании в CRM-системе вы осуществляете сбор персональной информации физического лица.
- В каких целях будут использоваться персональные данные? Например, исполнение договора и оказание услуг, разрешение споров или маркетинг. Важно понимать, что для отельных целей предусмотрены различные механизмы для соответствия Регламенту. Так, многие ошибочно полагают, что абсолютно всегда необходимо согласие пользователя на сбор персональных данных.
- Срок хранения персональных данных. Устанавливайте реальный срок в соответствии с целями сбора информации.
- Используете ли Вы Cookies?
- Какие сервисы Вы используете для сбора аналитики пользователей сайта и организации рекламных кампаний? Например, Google Analytics, Яндекс.Метрика или Google AdWords. Важно, чтобы пользователь знал какие именно используются ресурсы, а также имел доступ к их политике конфиденциальности.
- Кому Вы передаете персональные данные? Это могут быть Ваши подрядчики или поставщики IT-услуг и решений, сервисы рекламы и аналитики, бизнес-консультанты и т.д. Даже используя CRM-систему или иные сервисы для обработки персональных данных, необходимо понимать, где в конечном счете хранятся персональные данные. Рекомендуем задать вопрос Вашим партнерам, соответствует ли их деятельность требованиям Регламента, ведь в случае чего за их нарушения можете поплатиться и Вы.
- Вы осуществляете сбор данных детей? В рамках GDPR, детьми признаются лица моложе 16 лет. При этом, законодательством ряда Европейских стран может быть установлен иной возраст для особой защиты персональных данных несовершеннолетних.
- Осуществляете ли Вы прямой маркетинг?
- Используете ли Вы автоматизированной принятие решений?
- Какие организационные и технические мероприятия вы используете или планируете использовать для защиты персональных данных?
После проведения аудита и определения всего перечня необходимой информации можно осуществлять разработку Политики конфиденциальности. Важно, чтобы документ был написан простым языком, понятным для Ваших пользователей или клиентов.
Мы предлагаем следующую структуру политики конфиденциальности:
- Введение.
- Какие данные подлежат сбору?
- COOKIES.
- Для чего мы собираем персональные данные?
- Срок хранения данных.
- Кому могут быть переданы персональные данные?
- Осуществляется ли передача данных в третью страну или международную организацию?
- Где хранятся персональные данные пользователей?
- Права пользователей.
- Дети (несовершеннолетние).
- Ответы на вопросы и претензии.
- Риски и ответственность.
- Внесение изменений в политику конфиденциальности.
Это одни из основных моментов, на которые необходимо обратить внимание при разработке Политики конфиденциальности, которая будет соответствовать требованиям GDRP. Обращаем Ваше внимание на то, что кроме Политики конфиденциальности необходимо и другие документы, например:
- форма согласия на обработку персональных данных;
- политика обработки и хранения персональных данных;
- политика реагирования на утечку персональных данных;
- форма уведомления об утечке персональных данных;
- и другие документы.
Дополнительно рекомендуем подумать о целесообразности назначения лиц, ответственных за обработку и хранение персональных данных, а также предусмотреть дополнительные обязанности в их трудовых контрактах и должностных инструкциях.
По вопросам обеспечения соответствия деятельности Вашей компании требованиям GDPR, пожалуйста, оставьте заявку.