НТЦ «Вулкан» о существенных аспектах соответствия GDPR
С 25 мая 2018 года на всей территории Европейского Союза действует единый регламент в сфере обработки и защиты Персональных данных – General Data Protection Regulation (GDPR). В отличие от российского Федерального закона №152-ФЗ «О персональных данных», GDPR рассматривает в качестве персональных любые данные, прямо или косвенно позволяющие установить личность.
Требования GDPR обязательны для любых организаций, которые работают с персональными данными граждан ЕС. Такими организациями являются:
- компании финансового сектора,
- телекоммуникационные компании,
- ДЗО российских холдингов (торговых, финансовых и пр.), функционирующие на территории ЕС,
- компании, бизнес которых связан с оказанием услуг потребителям ЕС (авиакомпании, гостиницы, логистические компании, интернет-магазины и пр.).
Согласно требованиям GDPR теперь обязательно:
- Обеспечение конфиденциальности персональных данных.
- Уведомление субъектов персональных данных о сборе данных и целях сбора данных, типах и методах обработки.
- Соблюдение правомерности использования персональных данных, обоснование соответствия законным основаниям для сбора каждой категории персональных данных.
- Проведение обучения сотрудников соблюдению требований GDPR, в отдельных случаях – наличие штатного специалиста по защите данных.
- Проведение оценки используемых и новых внедряемых информационных систем с точки зрения потенциальных рисков в области конфиденциальности персональных данных.
- Проведение аудита системы защиты персональных данных и обновление политик персональных данных.
- Наличие официального представителя в Евросоюзе по вопросам обработки персональных данных, если у компании отсутствует юридическое лицо, либо нет сотрудников на территории Евросоюза. На адрес этого представителя будут направляться документы как от субъектов персональных данных, так и от регулятора.
- Регистрация в надзорных органах, регулирующих обработку персональных данных по месту нахождения юридического лица в стране Евросоюза, либо в стране, обработка персональных данных резидентов которой является наиболее существенной при ведении деятельности юридического лица/
- Уведомление в срок до 72 часов о выявленных инцидентах обеспечения безопасности персональных данных надзорных органов.
- Уведомление субъектов персональных данных о трансграничной передаче их персональных данных за пределы ЕС и получение их информированное согласия.
- Реагирование в срок до 30 дней на запросы субъектов персональных данных по обеспечению их прав на доступ к информации, коррекцию, забвение, блокировку обработки, возражение типам обработки, переносимость данных, а также прав, связанных с автоматической обработкой и профайлингом.
Нарушение правил обработки персональных данных резидентов Евросоюза может повлечь за собой штраф до 20,000,000 € или 4% от годовой прибыли организации (в зависимости от того, какая сумма больше). Надзорные органы, кроме того, могут наложить запрет организации на обработку персональных данных, приостановить деятельность организации, запретить руководителю занимать руководящие должности в период 3 и более лет.
Что должно быть сделано в организации для обеспечения соответствия требованиям GDPR?
Должен быть выполнен аудит и анализ:
- операций по обработке персональных данных с точки зрения добросовестности их осуществления, форм уведомления субъектов персональных данных,
- правовых оснований обработки, использования, хранения, передачи персональных данных,
- порядка трансграничной передачи данных (в т.ч. условия и порядок передачи персональных данных в рамках группы компаний, осуществляющих совместный бизнес, в международные организации, в третьи государства и т.п.).
Должны быть разработаны организационно-регламентирующие документы:
- формы уведомления субъектов персональных данных, соответствующие требованиям GDPR,
- внутренние регламенты, определяющие политику в сфере обработки персональных данных, включая назначение ответственного лица по защите персональных данных,
- процессы и регламенты реагирования на запросы регуляторов Евросоюза, а также субъектов персональных данных,
- процессы и регламенты обработки персональных данных,
- документы, предоставляемые субъектам персональных данных при получении таких данных.
Должны быть реализованы требуемые мероприятия по защите персональных данных:
- внедрены разработанные процессы, а также требуемые средства и системы защиты персональных данных,
- проведено обучение персонала по работе с персональными данными,
- назначен ответственный за обработку персональных данных сотрудник.
Чтобы обеспечить полное соответствие GDPR потребуется доработка как процессов, так и информационных систем организации. Потребуется внедрение систем защиты, контроля и протоколирования обработки персональных данных.
И, в заключение, стоит еще раз отметить, что к сегодняшнему дню организации уже должны обеспечить заказчикам и пользователям информационных систем и приложений:
- возможность знать и давать согласие на использование и хранение своих персональных данных,
- наличие информации о том какие данные организация хранит и для чего,
- возможность отказаться от любой информационной и рекламной рассылки,
- возможность удалить свои персональные данные из базы данных,
- информирование об утечке данных, если такая утечка произошла.