Research

Что такое Европейский регламент о защите персональных данных (GDPR – General Data Protaction Regulation) и почему это важно для бизнеса. Часть 2.

 

Европейский регламент о защите персональных данных (GDPR) - это новое законодательство Европейского Союза регламентирующее работу с персональными данными жителей ЕС, вступающее в силу с 25 мая 2018 года. https://www.eugdpr.org/  

           Действие законодательных инициатив распространяются в том числе и на компании, которые не находятся на территории ЕС, но осуществляют деятельность и собирают данные о гражданах ЕС. За невыполнение требований данного законодательства предусматриваются существенные штрафы, до 4% от годового оборота компании или 20 млн. Евро.

В первой части речь шла о правах, которые в рамках GDPR появляются у граждан ЕС в отношении обработки компаниями их персональных данных. В этой части речь пойдет о действиях, которые должны быть предприняты компаниями для соответствия выдвигаемым требованиям.

Важно отметить, что в рамках нового законодательства, значительно повысились обязательства к отчетности по соответствию процессов работы с данными внутри компании принципам, заложенным в GDPR. Более того, на сторону бизнеса вынесена ответственность за демонстрацию соответствия новым требованиям.

Какие действия ожидаются от бизнеса:

- создание и документирование процедур обработки персональных данных;

- создание внутренних регламентов по защите данных, систематическое обучение правилам и контроль знаний персонала, изменения в HR процедурах.

- внедрение принципов «защиты данных по умолчанию и изначальному принципу” (data protection by design and data protection by default).

- открытие (где необходимо) позиции DPO – Data protection officer.

Если для обработки персональных данных собираемых бизнесом используются сторонние организации, то обязательно наличие двухстороннего контракта на такую деятельность и подтверждение соответствия GDPR стандартам компании, обрабатывающей информацию в пользу бизнеса. 

В рамках контракта оговариваются цели обработки персональных данных, сроки работ, какие данные используются, ответственности сторон (включая, но не ограничиваясь требованиями хранения, обработки, доступа, передачи данных, использования субподрядчиков и т.д. В целом все, чтобы персональные данные которые вы передаете на обработку были использованы только в целях, указанных в рамках контракта).

В том числе требования GDPR распространяются и на работу с персональными данными персонала компании. Требования различаются в зависимости от размера бизнеса. Если:

> 250 сотрудников - обязательно документирование всех процессов работы с персональными данными внутри компании (как обрабатываются, с каким целями, кто получатель результатов, если существует процесс передачи данных за пределы ЕС, то как он выглядит, какие меры безопасности используются).

< 250, только относящиеся к процессам обработки данных критически важным для персональных прав и свобод сотрудников.

Если говорить о внедрении принципов Data protection by design and data protection by default, то это обширная тема, но по сути ее можно разделить на 2 части:

- первая заключается в построении процессов к компании, когда обработка данных осуществляется только в заданных целях и людьми, обладающими правом в компании проводить подобные действия.

- вторая данными принципами подразумевается использование IT решений и систем, которые обеспечивают высокий уровень защиты данных. (Надо отметить, что на сегодня нет четко выписанных требований к таким системам, что с одной стороны оставляет место для маневра, с дугой, может быть поводом для претензий проверяющих органов. )

По моему мнению, самым простым решением данной задачи соответствия требованиям с технической точки зрения, является вынесение процесса работы с персональными данными в облачные сервисы уровня Microsoft Azure, который на данный момент обладает наибольшим кол-вом сертификатов в области безопасности, в том числе ISO 27018 - регламентирующим работу с персональными данными в облаке.

Нововведение GDPR, это наличие Data Protection Officer (DPO).  Данная позиция обязательна:

- для государственных органов;

- компании систематически обрабатывающие большой объем персональных данных, с целями их анализа и, например, выявления зависимостей.

- работающим со спец категориями данных.

Для остальной организации позиция DPO желательна. Причем в данном случае приемлемо, когда данная позиция едина для группы компаний.

Важной особенностью является, что Data Protection Officer должен относиться к высшему руководящему звену компании, обладать высокой степенью независимости в рамках выполнения своих обязанностей. В рамках компании сотрудники могут совмещать роль DPO с выполнением других функции, при отсутствии конфликта интересов.

На данный момент пока нет обязательных к прохождению сертификационных процедур в рамках GDPR, но у стран, входящих в ЕС есть возможность вводить в действия различные кодексы (и стимулы им соответствовать), пересекающиеся с новым регулированием.

Важно знать, что в рамках GDPR передача персональных данных за пределы ЕС ограниченна, если страна не авторизирована европейской комиссией. Этой теме посвящена отдельная глава (CHAPTER V Transfers of personal data to third countries or international organizations).

И последнее для этой части. В случае, если персональные данные были утеряны или скомпрометированы, компании обязаны информировать об этом уполномоченные органы в рамках стран ЕС.

Надеюсь, что, прочитав этот материал, Вы нашли для себя полезную информацию и если нововведения затрагивают бизнес, вы сможете детальнее изучить тему и подготовиться к внедрению требований GDPR в Вашей компании.