Соответствие требованиям GDPR

Glossary category

Соответствие требованиям GDPR

Что такое соответствие требованиям GDPR?

Соответствие требованиям GDPR означает приведение практик организации в области персональных данных в соответствие с Регламентом (ЕС) 2016/679, известным как General Data Protection Regulation — Общий регламент по защите данных, а также, когда это применимо, с связанными национальными нормами, включая польское регулирование защиты персональных данных и практику Председателя Управления по защите персональных данных Польши (UODO). На практике соблюдение GDPR не ограничивается наличием политики конфиденциальности или получением согласия. Оно требует системного подхода к сбору, использованию, хранению, передаче и удалению персональных данных законным, прозрачным и безопасным способом.

Организация соответствует требованиям GDPR, если она может доказать, что персональные данные обрабатываются на действительном правовом основании, для конкретных целей, соразмерно и с применением надлежащих мер защиты. Соответствие GDPR также включает обеспечение возможности для субъектов данных реализовывать свои права, такие как право на доступ, исправление, удаление, ограничение обработки, возражение и переносимость данных, когда это применимо. GDPR основан на принципе подотчетности: недостаточно фактически соблюдать правила — организация также должна быть способна подтвердить это документально.

Требования GDPR применяются к широкому кругу субъектов, включая компании, работодателей, поставщиков онлайн-сервисов, интернет-магазины, медицинские организации, финансовые учреждения и государственные органы. Они также могут распространяться на организации за пределами ЕС, если такие организации предлагают товары или услуги физическим лицам в ЕС либо отслеживают их поведение. В зависимости от обстоятельств субъект может выступать контролером, обработчиком или совмещать обе роли в разных операциях обработки, что напрямую влияет на объем его обязанностей.

Что включает соответствие требованиям GDPR?

Соответствие требованиям GDPR обычно начинается с определения того, какие персональные данные обрабатываются, с какой целью, на каком правовом основании, как долго хранятся и кому передаются. Для этого часто требуется картирование потоков данных между подразделениями, системами, поставщиками услуг и компаниями группы. Надлежащая оценка также должна установить, обрабатывает ли организация только обычные персональные данные или также специальные категории данных, сведения о судимостях и правонарушениях, данные сотрудников либо данные детей, поскольку это может повлечь дополнительные требования.

С практической точки зрения соблюдение GDPR обычно включает подготовку или обновление уведомлений о конфиденциальности, правил хранения данных, внутренних процедур, реестров операций обработки, договоров с обработчиками, системы полномочий и процедур реагирования на инциденты. Также может потребоваться проверка HR-документации, процессов подбора персонала, сайтов, cookies, практик прямого маркетинга, каналов для сообщений о нарушениях, видеонаблюдения, управления доступом к IT-системам и трансграничной передачи данных. В отдельных случаях до начала обработки с повышенным риском необходимо провести оценку воздействия на защиту данных.

Безопасность — еще один ключевой элемент. GDPR не устанавливает единый универсальный набор технических мер, но требует обеспечивать уровень безопасности, соответствующий риску. Это может включать контроль доступа, шифрование, процедуры резервного копирования, журналирование, многофакторную аутентификацию, псевдонимизацию, проверку поставщиков и обучение сотрудников. В случае нарушения безопасности персональных данных контролеру может потребоваться уведомить надзорный орган без необоснованной задержки и, когда это возможно, в течение 72 часов после того, как ему стало известно о нарушении, если только маловероятно, что нарушение создаст риск для прав и свобод физических лиц. Этот срок прямо предусмотрен статьей 33(1) GDPR.

Существуют также области, где на практике возможны различия в толковании. Это касается, например, разграничения ролей контролера и обработчика, правильного правового основания для отдельных HR- или маркетинговых операций, а также условий международной передачи данных. В таких вопросах необходимо совместно анализировать текст GDPR, практику Суда Европейского союза, рекомендации Европейского совета по защите данных и практику местного надзорного органа.

Когда стоит обратиться за юридической поддержкой по вопросам соответствия GDPR?

Юридическая поддержка особенно полезна, когда организация впервые внедряет требования GDPR, выходит на новые рынки, внедряет новые технологии или реагирует на инцидент. Она также рекомендуется при проведении аудитов, проверок, рассмотрении жалоб физических лиц, переговорах с поставщиками, оформлении соглашений о передаче данных, аутсорсинге, внутренних расследованиях, слияниях, поглощениях и реорганизации группы компаний. В таких ситуациях вопросы защиты персональных данных часто пересекаются с трудовым правом, коммерческим правом, корпоративным управлением, IT-безопасностью и отраслевым регулированием.

Частным лицам также может потребоваться юридическая помощь, если персональные данные были незаконно раскрыты, использованы без действительного основания, хранились слишком долго или обрабатывались способом, затрагивающим частную жизнь или репутацию. Бизнес, в свою очередь, часто обращается за консультацией, когда необходимо оценить риски, формализовать документацию, ответить на запросы субъектов данных или проверить, можно ли обосновать существующие практики в случае проверки регулятора.

Ранняя консультация с юристом помогает предотвратить ошибки, споры, ответственность и финансовые потери, которых можно избежать. В соответствии со статьей 83 GDPR административные штрафы могут достигать 20 млн евро, а в случае предприятия — до 4% общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма выше. Не каждое нарушение приводит к максимальному штрафу, а надзорные органы оценивают множество факторов до применения санкций. Тем не менее действия регулятора, приостановка бизнес-процессов, договорные риски и ущерб репутации могут создать существенные угрозы задолго до вынесения окончательного решения.

Юридическая помощь в сфере соответствия требованиям GDPR может включать, в частности:

  • аудит GDPR и анализ пробелов в соблюдении требований,
  • подготовку и проверку уведомлений о конфиденциальности, политик и внутренних процедур,
  • реестры операций обработки и правила хранения данных,
  • договоры об обработке данных и поддержку в оценке соответствия поставщиков,
  • оценку правовых оснований для обработки данных и маркетинговой деятельности,
  • поддержку при обработке запросов субъектов данных,
  • реагирование на нарушения безопасности персональных данных и анализ необходимости уведомления,
  • оценку воздействия на защиту данных,
  • анализ трансграничной передачи данных,
  • представительство в proceedings перед надзорным органом и поддержку в спорах, связанных с персональными данными.

Нужна поддержка в вопросах соответствия требованиям GDPR? Свяжитесь с нами.

Смотрите также

  • Коммерческое право
  • Трудовой договор
  • Права потребителей
  • Финансовая отчетность