Подготовка к General Data Protection Regulation (GDPR)

GDPR

12 шагов, которые Вам необходимо предпринять для подготовки Вашей компании к Регламенту GDPR, вступившему в силу 25 мая 2018 года.

1. Осведомленность

Вы должны убедиться, что руководители и ключевые лица компании знают о GDPR. Они должны осознавать степень важности регламента.

2. Информация, которую Вы храните

Вы должны документально отражать персональные данные (далее ПД), которые храните, с указанием: от кого она получена и кому должна быть передана. Возможно Вам потребуется проведение аудита имеющейся информации.

3. Взаимодействие с ПД

Вы должны просмотреть свою текущую политику конфиденциальности и внести необходимые изменения для приведения в соответствие с GDPR.

4. Права человека

Вы должны проверить, соблюдаете ли Вы все права, в том числе: удаляете ли все ПД человека, предоставляете ли по его запросу информацию о ПД.

5. Запросы на доступ к ПД

Вы должны планировать, каким образом Вы будете обрабатывать запросы в срок и предоставлять больше информации, чем раньше.

6. Правовые основания обработки ПД

Вы должны определить правовую базу для обработки ПД в соответствии с GDPR и обновить политику конфиденциальности.

7. Согласие

Вы должны проанализировать, каким образом Вы запрашиваете и получаете согласие на обработку данных от пользователя и используете полученное согласие.

8. Дети

Вы должны подумать о системе проверки личности и возраста, а также получения согласия от законных представителей на обработку данных.

9. Нарушение прав

Вы должны убедиться, что у Вас есть возможность обнаружить, расследовать правонарушение и сообщить о происшествии.

10. Защита данных и оценка рисков

Теперь Вы должны ознакомиться с законодательством ЕС о порядке оценки рисков, руководствуясь разъяснениями контролирующих органов выяснить необходимость проведения процедуры оценки для своей компании.

11. Сотрудник по защите данных (DPO)

Вы должны назначить ответственное лицо, которое возьмет на себя обязанности по обеспечению соответствия требованиям GDPR. Вы должны проверить, требуется ли Вам такой сотрудник.

12. Международное регулирование

Если Ваша компания работает более чем в одном государстве-члене ЕС, Вам необходимо определить, какому контролирующему органу Вы будете поднадзорны.

Многие из фундаментальных положений и принципов GDPR аналогичны положениям более раннего законодательства, в частности Закона о защите данных (DPA), поэтому, если Вы соблюдали действующее ранее законодательство, большая часть Ваших действий по защите персональных данных (далее по тексту – ПД) остается актуальной и является отправной точкой для приведения деятельности компании в соответствие положениям GDPR. Однако, также имеются новые положения и требования, таким образом что-то придется начинать делать с нуля или вносить изменения в уже имеющийся порядок работы.

Контролирующие органы каждой страны ЕС издают все больше разъяснений и рекомендаций для компаний, которые направлены на помощь Вам в соблюдении требований GDPR.

Необходимо начинать свой путь к соблюдению GDPR с получения поддержки от ключевых людей Вашей компании. Вам может понадобиться, например, ввести новые процедуры соответствия новым положениям и соблюдения прав человека в области защиты ПД. В крупном или сложном бизнесе это может влечь за собой значительные бюджетные, информационные, кадровые и управленческие последствия.

В GDPR больше внимания уделяется документированию данных, при этом контроллеры данных должны продолжать вести отчетность. При этом, все сферы, перечисленные в этом документе, потребуют от организации пересмотреть свой подход к управлению данными и порядку работы с ПД внутри компании. Одним из аспектов может стать пересмотр имеющихся контрактов и других договоренностей, при которых Вы предоставляете ПД физических лиц Вашим контрагентам.

Некоторые положения GDPR будут иметь большее значение для Вашей компании, чем другие (например, положение о защите детей), в связи с чем было бы полезно выяснить, какие положения наиболее значимы именно для Вашего проекта и уделить им особое внимание.

① Осведомленность

Вы должны убедиться, что руководители и ключевые лица компании знают о GDPR. Им необходимо оценить степень влияния положений нового регламента на их сферу ответственности, выявить наиболее слабые области и подготовить их для соответствия регламенту. Начать лучше прежде всего с анализа списка рисков Вашей компании, если он у Вас имеется. Если Вы пренебрежете этим шагом, внедрение изменений с целью соответствия GDPR может оказаться весьма болезненным для Вас.

② Информация, которую Вы храните

Вы должны иметь документы, подтверждающие наличие у Вас ПД, в которых также содержится информация об источнике получения ПД и третьих лицах, которым ПД передаются. Возможно, Вам потребуется проведение аудита имеющейся информации, с целью учета ПД в масштабах всей компании или в определенной области. GDPR требует ведения учета обработки персональных данных. Он также обновляет права для мира интернета. Например, если у Вас содержатся неточные данные и Вы делитесь ими с другой компанией, Вы должны указать имеющуюся неточность, чтобы компания-получатель смогла отметить это в своих записях и отредактировать данные при обращении пользователя. Вы не сможете выполнить это требование, если не обладаете сведениями о том, какие именно ПД и от кого были получены. Это также поможет Вам соответствовать требованиям GDPR относительно предоставления документов для отчета о наличие в обработке персональных данных перед контролирующим органом, в случае его запроса.

③ Взаимодействие с персональными данными

Вы должны просмотреть имеющиеся уведомления о конфиденциальности и/или Вашу Политику конфиденциальности и проанализировать их на соответствие GDPR. До вступления в силу регламента, при сборе ПД, Вы были обязаны проинформировать пользователя о таком сборе и сообщить ему информацию о себе и целях сбора данных. Обычно это происходило через уведомление о конфиденциальности и Политику конфиденциальности. Теперь GDPR содержит положения о дополнительной информации, которую Вам необходимо донести пользователям. Например, Вам необходимо описать правовые основания для обработки данных, сроки хранения данных, предоставить пользователям право направлять претензии Вам или контролирующему органу, в случаях, когда они считают, что их ПД обрабатываются незаконно или неправильно. Регламент требует, чтобы информация была представлена в простом, легко читаемом виде и на понятном для пользователя языке.

④ Права человека

Вы должны проверить, соблюдаете ли Вы все права человека в отношении защиты персональных данных, включая право на удаление персональных данных, предоставление по запросу информации об имеющихся в обработке ПД в электронном или печатном виде.

GDPR предусматривает следующие права человека:

право быть осведомленным об обработке данных перед дачей согласия;
право доступа к персональным данным;
право на исправление ПД;
право на удаление ПД;
право на ограничение обработки ПД;
право на перенос данных третьим лицам;
право на отзыв согласия на обработку данных; а также
право не подвергаться автоматической обработке данных, включая профилирование.

В целом права, предоставляемые GDPR, соответствуют правам, предоставляемым пользователям более ранним законодательством, в том числе DPA, но с некоторыми существенными изменениями в пользу граждан. Необходимо проверить имеющиеся механизмы и выработать порядок реагирования на запросы пользователя, в случае к примеру, запроса на удаление своих данных. Сможет ли Ваша система обнаружить все данные, которые должны быть удалены? Кто примет решение об удалении?

Право на переносимость данных, в свою очередь, является абсолютно новым и применяется только:

к персональным данным, предоставленным физическим лицом;
если обработка основана на согласии лица или на исполнении договора;
при обработке, осуществляемой автоматическими средствами.

Вы должны продумать, есть ли необходимость во внесении изменений в уже имеющийся порядок работы. Вам необходимо бесплатно предоставлять персональные данные в структурированном виде в широкоиспользуемом формате и машиночитаемом виде.

⑤ Запросы на доступ к данным

Вы должны пересмотреть имеющиеся способы предоставления доступа к данным и изменить порядок обработки запросов с учетом новых требований:

в большинстве случаев Вы не можете взимать плату за предоставление доступа;
у Вас есть месяц на ответ пользователю, а не 40 дней как раньше;
Вы можете отказать пользователю или взимать плату, если запрос является явно необоснованным или излишним;
если Вы отказываете пользователю, Вы должны пояснить ему причины отказа и указать на возможность обжалования принятого решения в контролирующий орган или суд.

Если Ваша организация обрабатывает большое количество запросов, рассмотрите вариант внедрения новых способов обработки в целях соблюдения установленных регламентом сроков. Например, обратите внимание на возможность направления запроса и получения в ответ информации онлайн с помощью сети интернет.

⑥ Правовые основания обработки персональных данных

Вы должны пересмотреть свои правовые основания для обработки персональных данных, запишите их и обновите политику конфиденциальности. Многие организации не задумываются над правовыми основаниями обработки ПД, до настоящего момента этот факт не имел каких-либо серьезных отрицательных последствий. Однако сейчас, права некоторых лиц будут изменены в зависимости от имеющихся у Вас оснований обработки их ПД. Наиболее ярким примером является применение права на удаление данных там, где правовой основой обработки данных является согласие пользователя: если у Вас не имеется иных правовых оснований для обработки данных, Вы обязаны удалить все имеющиеся данные. Однако, если помимо данного согласия, основанием для обработки данных является, к примеру, договор на предоставление услуг, Вы имеете право продолжать распоряжаться ПД в целях и в рамках заключенного соглашения до момента его расторжения. Вы также должны будете описать свои правовые основания обработки ПД при запросе пользователя. Кроме того Вы должны документировать основания обработки данных для соблюдения требований отчетности, в соответствии с GDPR.

⑦ Согласие

Вы должны проверить, каким образом Вы запрашиваете, получаете и управляете полученным согласием на обработку ПД физического лица. В случае необходимости, обновите Вашу форму согласия. Согласие, данное Вам, должно быть конкретным, информированным и недвусмысленным. Согласие не может быть получено в результате молчаливого принятия или совершения конклюдентных действий. Оно также должно быть отделено от принятия иных условий использования и предусматривать простые способы отказа от данного ранее согласия. Согласие должно быть проверяемым, поскольку оно предоставляет Вам больше прав в обработке ПД, чем иные правовые основания обработки данных. Вам не требуется бездумно использовать все возможные виды согласия на каждый тип обработки ПД, однако, если Вы полагаетесь на данное пользователем согласие, убедитесь, что оно соответствует GDPR: оно должно быть конкретным, разделенным по типам использования персональных данных, ясным, заметным, независимым, правильно оформленным и легко отзываемым. Если Ваше согласие не соответствует данным характеристикам, измените соглашение или предусмотрите альтернативные варианты получения согласия на обработку ПД.

⑧ Дети

Вы должны начать думать о том, нужно ли вам вводить систему проверки возраста пользователей и получения согласия на обработку ПД от законных представителей ребенка.
Впервые регламент ЕС обеспечивает особую защиту персональных данных детей, особенно в контексте предложения коммерческих интернет-услуг, таких как социальные сети. Если Ваша организация предлагает онлайн-услуги детям и полагается на полученное от них согласие, тогда Вам может потребоваться согласие родителя или опекуна на обработку личной информации ребенка на законных основаниях.
В соответствии с регламентом, возраст, когда ребенок может самостоятельно дать согласие на обработку – 16 лет (хотя этот порог может быть снижен до минимального – 13 лет – в Великобритании). Если ребенок младше указанного возраста, Вам необходимо получить согласие законного представителя. Отсутствие такого согласия может привести к серьезным последствиям для Вашей организации, если она предлагает онлайн-услуги для детей и собирает их ПД. Помните, что согласие должно быть проверяемым и что при сборе данных о детях, уведомление о конфиденциальности должно быть написано на понятном для детей языке.

⑨ Нарушения в отношении персональных данных

Вы должны убедиться, что у Вас имеются соответствующие механизмы обнаружения, сообщения и расследования правонарушений в области защиты персональных данных.

Некоторые компании и раньше были обязаны уведомлять контролирующий орган об утечке данных. Регламент предусматривает теперь такую обязанность для всех без исключений компаний, кроме того, в некоторых случая необходимо уведомлять также субъекта персональных данных. Одним уведомлением контролирующего органа можно ограничиться в том случае, если это угрожает правам и свободам широкого круга лиц, например, если утечка данных может привести к дискриминации, нанести ущерб репутации, привнести финансовые потери, утрату конфиденциальности или любые другие существенные экономические или социальные убытки.

Если существует высокий риск нарушения прав и свобод конкретных лиц, Вам необходимо проинформировать их о наличие угрозы. Вы должны ввести механизм эффективного обнаружения и расследования нарушений конфиденциальности личных данных. Вы можете оценить характер личных данных, которые вы храните, и определить формат уведомления в случае нарушения. Более того, компаниям необходимо разработать политику и процедуры для устранения нарушений в отношении персональных данных. Несоблюдение требований об обязательном уведомлении о нарушении, могут повлечь за собой наложение штрафов за нарушение GDPR и иных законов.

⑩ Защита данных и оценка рисков

Со стороны контролирующих органов и раньше поощрялось принятие дополнительных мер по защите персональных данных, в том числе проведение оценки влияния на неприкосновенность личной жизни (PIA - Privacy Impact Assessment). GDPR делает обязательным введение дополнительных мер в вопросе защиты данных, используя формулировку «data protection by design and by default». Таким образом PIA и DPIA становятся обязательными при определенных обстоятельствах. DPIA требуется в ситуациях, когда обработка данных потенциально может создавать высокие риски для отдельных лиц, чьи ПД обрабатываются, в том числе:

когда применяется новые технологии;
если оказывается существенное влияние на физических лиц;
при обработке больших объемов специальных категорий данных.

Если по результатам проведения DPIA выяснится, что обработка данных имеет высокие риски, и Вы не способны снизить выявленные риски до приемлемого уровня, Вам необходимо проконсультироваться с контролирующем органом Вашей страны подотчетности на территории ЕС. В результате взаимодействия с контролирующим органом Вы получите ответ, насколько соответствуют существующие у Вас процедуры обработки ПД GDPR и в случае необходимости Вы получите рекомендации по требуемым изменениям для снижения рисков.

⑪ Сотрудник по защите персональных данных

Вы должны назначить ответственное лицо, которое возьмет на себя обязанности по обеспечению соответствия деятельности Вашей компании требованиям GDPR. Вы должны проверить, требуется ли Вам такой сотрудник, опираясь на нижеизложенные критерии.
Вам необходимо назначить DPO, если Вы:

Государственный орган (за исключением судов, действующих в своей юрисдикции);
Компания, занимающаяся регулярным и систематическим мониторингом физических лиц в большом объеме;
Организация, осуществляющая в большом объеме обработку специальных категорий данных, таких как медицинские данные, информация о судимости или штрафах.

Очень важно, чтобы кто-то в Вашей организации или сторонний специалист по защите данных взял на себя полную ответственность за вашу политику в области защиты персональных данных. Специалист должен обладать достаточными знаниями и опытом в данной сфере для эффективного выполнения своей функции.

⑫ Международное регулирование

Если Ваша компания осуществляет свою деятельность на территории более чем одного государства-члена ЕС, Вам необходимо определить соответствующий контролирующий орган, которому Вы будете подотчетны, и поставить на учет компанию именно в нем. Вашим контролирующим органом является государственное учреждение, расположенное в стране местонахождения Вашей головной организации. Головной, является организация, где расположен основной административный состав компании на территории ЕС или же место, где происходят основные мероприятия по планированию деятельности и обработке информации. Постановка на учет необходима только в случае, если Ваша компания совершает трансграничные операции по обработке данных, то есть имеет подразделения в нескольких странах ЕС, либо находясь в одном субъекте, оказывает существенное влияние на лиц, находящихся вне территории этого субъекта. В таком случае, Вам необходимо определить, где именно осуществляются самые значимые операции по обработке данных либо происходит сбор ПД в наибольшем объеме, это поможет выявить головную организацию и обратиться в соответствующий орган.

☞ Для полноценной и качественной подготовки к GDPR необходима помощь профессионалов. Специалисты нашей команды проводят всесторонний анализ каждого проекта, осуществляют консультирование по вопросам соответствия требованиям GDPR, сопровождение в подготовке к GDPR, подготовку соответствующих документов и подбор необходимых профессионалов. Мы определим на каком этапе находится Ваш проект и разработаем необходимые меры именно для Вас. Для получения более подробной информации о стоимости наших услуг Вы можете связаться с нами по телефону или e-mail.