Соблюдение требований General Data Protection Regulation (далее – GDPR или Регламент) является обязательным для компаний, которые имеют дело с персональными данными лиц, находящихся на территории Европейского Союза (далее – ЕС).

Какие преимущества компаниям дает соблюдение требований GDPR:

• конкурентное преимущество на рынке;
• возможность избежать жестких штрафов (до 20 млн. Евро или до 4% от валовой выручки компании);
• душевное спокойствие при обработке персональных данных.

Какие действия необходимо совершить Вашей компании для приведения ее деятельности в соответствие требованиям Регламента?

1. Проведите аудит персональных данных. Определите перечень бизнес-процессов, в рамках которых происходит сбор персональных данных, а также конкретные категории персональных данных, подлежащие обработке. Данный шаг поможет Вам определить масштаб дальнейших работ по внедрению GDPR в Вашу компанию.
2. Определите конкретный перечень целей, для которых нужна та или иная информация. Внимательно их оцените и решите, действительно ли Вам объективно необходима обработка персональных данных именно для этих целей либо цели можно минимизировать. Напомним, что одним из принципов Регламента является принцип минимизации данных и за несоблюдение указанного принципа некоторые американские компании уже привлекались к ответственности.
3. Проанализируйте, на каком правовом основании Вы собираетесь производить обработку персональных данных, для всех ли категорий есть законное основание (о правовых основаниях обработки персональных данных согласно GDPR Вы можете узнать из нашей предыдущей статьи по ссылке. Многие компании ошибочно полагают, что для обработки персональных данных всегда необходимо получать согласие пользователей. Согласие – это лишь одно из множества оснований для обработки, причем не всегда лучшее (ведь согласие на обработку всегда можно отозвать). Если же Вы всё-таки полагаетесь на согласие пользователей, то тогда Вам следует определить, являются ли понятными Ваши документы и формы для получения согласия и является ли согласие добровольным, конкретным и информированным. Пожалуйста, помните о том, что бремя доказывания законности обработки лежит на компании.
4. Введите систему защиты данных на конструкционном уровне. В ПО необходимо иметь полноценный ряд технических решений, позволяющий в полной мере обеспечить защиту персональных данных. О них лучше думать сразу, чтобы обеспечить структурированную оценку и систематическую проверку на предмет защиты персональных данных.
5. Внедрите приватность в свое ПО на начальных стадиях его разработки, до его релиза и до поступления первых персональных данных соответственно.  Не стоит ждать наступления утечек персональных данных, а также наступления санкций.
6. Подготовьтесь к утечкам персональных данных заранее. Наилучшим вариантом будет подробная внутренняя регламентация алгоритма действий посредством утверждения внутреннего положения в компании и разработка шаблонов внутренних документов для обеспечения возможности быстро отреагировать на любую утечку данных и при необходимости своевременно оповестить о ней.
7. Создайте систему внутренней отчетности. Разработайте с учетом специфики деятельности компании внутренние документы, определяющие организацию процесса обработки персональных данных и демонстрирующие соответствие всем стандартам Регламента.
8. Обучите свой персонал для обеспечения комплексного понимания механизма GDPR. Это позволит внедрять защиту персональных данных на всех уровнях и во всех процессах компании. Обязательно проверьте сотрудников на предмет понимания своих обязанностей в рамках защиты персональных данных.
9. Не забывайте о правах субъектов данных, в частности права на забвение или права на доступ к обрабатываемым персональным данным. Стоит предусмотреть внутреннюю процедуру и разработать механизм, а также шаблоны документов, которые максимально быстро позволят реализовать в случае необходимости права субъектов данных в полном объеме.

По вопросам обеспечения соответствия деятельности Вашей компании требованиям GDPR, пожалуйста, связывайтесь с:

Евгений Ходькин – управляющий партнер Юридической компании ЮКОН

e.khodzkin@ukon-by.com

Автор статьи: Юридическая компания «ЮКОН»