8 шагов по выполнению требований GDPR и подготовке документов по персональным данным

Список требований GDPR (защита персональных данных) для российских компаний

Общий регламент ЕС по защите данных также требует от компаний за пределами Европейского союза обеспечивать защиту персональных данных. В этом контрольном списке по соблюдению GDPR содержатся советы специально для российских компаний.

GDPR — это закон Европейского союза о конфиденциальности данных, который требует от организаций обеспечивать безопасность данных, а также предоставляет людям больший контроль над тем, как используются их данные. Закон также предусматривает крупные штрафы за несоблюдение требований, которые могут достигать 4% от глобального дохода или 20 млн. евро, в зависимости от тяжести и обстоятельств нарушения.

Мы уже приводили общий контрольный список требований, который применим ко всем организациям. Этот контрольный перечень требований GDPR для российских компаний в целом затрагивает эти вопросы, но также фокусируется на некоторых требованиях, уникальных для российских организаций. Мы рекомендуем отечественным компаниям рассмотреть оба списка.

Почему российские компании должны соблюдать GDPR?

GDPR распространяется на компании за пределами ЕС, поскольку его действие является экстерриториальным. В частности, закон призван не столько регулировать деятельность компаний, сколько защищать права субъектов данных. Субъектом данных является любое лицо в ЕС, включая граждан, резидентов и даже, возможно, посетителей.

На практике это означает, что если вы собираете какие-либо личные данные людей в ЕС, вы обязаны соблюдать GDPR. Эти данные могут быть в виде адресов электронной почты в маркетинговом списке или IP-адресов тех, кто посещает ваш сайт.

Вам может быть интересно, как Европейский союз будет обеспечивать соблюдение закона на территории, которую он не контролирует. Дело в том, что иностранные правительства постоянно помогают другим странам обеспечивать соблюдение их законов через договоры о взаимопомощи и другие механизмы. Статья 50 GDPR напрямую касается этого вопроса. До сих пор ее действие не было проверено на практике, но, несомненно, органы по защите данных изучают свои возможности в каждом конкретном случае.

Контрольный список требований GDPR для российских компаний

• Проведите информационный аудит персональных данных ЕС

Убедитесь, что вашей организации необходимо соблюдать требования GDPR. Во-первых, определите, какие персональные данные вы обрабатываете, и принадлежат ли они людям в ЕС. Если вы обрабатываете такие данные, определите, связана ли «деятельность по обработке с предложением товаров или услуг таким субъектам данных, независимо от того, связана ли она с оплатой». Пункт 23 может помочь вам уточнить, подпадает ли ваша деятельность под действие GDPR. Если вы подпадаете под действие GDPR, переходите к следующим шагам.

• Информируйте своих клиентов о том, почему вы обрабатываете их данные

Согласие — это только одно из законных оснований, которое может оправдать использование вами персональных данных других людей. Другие обоснования «законности обработки» вы можете найти в статье 6 GDPR. Однако если вы решите обрабатывать данные на основании согласия, у вас появятся дополнительные обязанности. Наконец, статья 12 требует, чтобы вы предоставляли субъектам данных четкую и прозрачную информацию о своей деятельности. Это, вероятно, означает обновление вашей политики конфиденциальности.

• Разработайте документы по персоанльным данным и оцените свою деятельность

Ключевым пунктом является комплект документов по защите персональных данных. Его необходимо готовить в специализированных организациях, имеющих лицензию ФСТЭК России или обратиться к экспертам по информационной безопасности. Оценка воздействия на защиту данных поможет вам понять риски для безопасности и конфиденциальности данных, которые вы обрабатываете, и решить, как уменьшить эти риски. Затем начните внедрять методы защиты данных, такие как использование сквозного шифрования и организационных мер безопасности, чтобы ограничить риск утечки данных. Приступая к новым проектам, вы должны следовать принципу «защита данных по замыслу и по умолчанию».

• Убедитесь, что у вас есть соглашение об обработке данных с вашими поставщиками.

Вы, как контроллер данных, будете нести частичную ответственность за своих сторонних клиентов, если они нарушат свои обязательства по GDPR. Поэтому важно иметь соглашение об обработке данных, которое устанавливает права и обязанности каждой стороны. Это касается поставщика услуг электронной почты, поставщика облачных хранилищ и любого другого субподрядчика, который работает с персональными данными. Шаблон соглашения об обработке данных можно найти здесь.

• Назначьте ответственного за защиту данных (если необходимо)

Многие организации (особенно крупные) обязаны назначить ответственного за защиту данных. GDPR определяет некоторые квалификации, обязанности и характеристики этой руководящей должности.

• Назначить представителя в Европейском союзе

Статья 27 определяет, какие организации, не входящие в ЕС, обязаны назначить представителя, находящегося в одной из стран-членов ЕС. Дополнительные сведения об этой роли содержатся в статье 80.

• Знайте, что делать в случае нарушения данных

Статьи 33 и 34 определяют ваши обязанности в случае утечки персональных данных, будь то в результате взлома или любого другого вида нарушения данных. Использование надежного шифрования может снизить риск штрафов и уменьшить ваши обязательства по уведомлению в случае утечки данных.

• Соблюдайте законы о трансграничной передаче (если применимо)

Как и в предыдущих нормативных актах ЕС о передаче персональных данных в страны, не входящие в ЕС, в статье 45 GDPR сохраняются жесткие требования к организациям, желающим это сделать. От вас может потребоваться самосертификация в соответствии с Рамочной программой «Щит конфиденциальности».

Выполняя эти шаги, а также шаги из нашего контрольного перечня требований GDPR, вы сможете избежать пристального внимания со стороны регулирующих органов ЕС. Информация на этом сайте содержит множество необходимых инструментов — от полного текста GDPR до нескольких форм и шаблонов.

RTM Group – лидер российского рынка по защите персональных данных, в том числе по направлению GDPR. Компания работает как российскими, так и иностранными компаниями, которые представлены на территории Российской Федерации.