Применение всеобщей регулы защиты данных
1 начнётся через десять дней, и именно столько дней осталось до момента, когда каждое предприятие, производящее обработку личных данных, должно ввести необходимые изменения, чтобы производить обработку в соответствии с требованиями новой регулы и избежать санкций за несоблюдение этих требований. Напоминаем, что правила регулы применяются непосредственно, т.е. нет необходимости вводить нормы в местные нормативные акты. В эту статью включен обобщающий «стрессовый тест», результаты которого помогут Вам оценить готовность предприятия соблюдать правила новой регулы и выполнять их требования.
Ещё раз – что такое личные данные и их обработка?
Личные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (в том числе к клиенту, представителю клиента, истинному получателю выгоды, поручителю).
Обработка личных данных – любое производимое с личными данными действие, например, сбор, регистрация, организация, структурирование, хранение, доступ, преобразование, удаление, разглашение, передача, ограничение.
Как обеспечить соответствие новое регуле?
Это делается, тщательно анализируя обстоятельства обработки личных данных в рамках предприятия и подготавливая (желательно) документы, в которых анализируются следующие аспекты:
-
имеющиеся в распоряжении предприятия личные данные и цели их обработки на предприятии;
-
места обработки (хранения) имеющихся в распоряжении предприятия личных данных (в бумажной форме и информационных системах);
-
получатели личных данных как в рамках предприятия, так и внешние (потоки данных);
-
правовое основание обработки данных, например, правовые или легитимные интересы, требования нормативных актов, согласие субъекта данных и др., с пояснением, как запрашивается, получается и документируется согласие субъекта на обработку его данных. Согласие субъекта данных должно быть свободным и непринужденным. В отдельных случаях субъекту данных следует пояснить, что без такого согласия ему не может быть оказана соответствующая услуга и выбор в распоряжении субъекта;
-
срок хранения личных данных и порядок их удаления/уничтожения по окончанию этого срока;
-
права субъекта данных (доступ к своим данным, удалять их, исправлять и т.д.), как это будет обеспечено и как субъекту данных будет передана соответствующая информация;
-
защита конфиденциальности и безопасности личных данных (имеется ли контроль доступа к ним, какие технические средства используются для обработки личных данных и т.п.);
-
имеется ли у предприятия всё необходимое для обеспечения констатации нарушения защиты личных данных, расследования, предотвращения и сообщения;
-
порядок сообщения о нарушении Государственной инспекции данных и в отдельных случаях также субъекту данных, относительно данных которого было идентифицировано нарушение;
-
оценка необходимости назначения специалиста по защите данных;
-
оценка соответствия привлеченного обработчика данных и, если необходимо, дополнение заключённого договора;
Этот анализ позволит предприятию подготовить регистр действий по обработке личных данных, который согласно новой регуле предприятие в определённых случаях должно содержать и по требованию предоставлять надзорному учреждению.
1 Регула Европарламента и Совета (ES) 2016/679 от 27 апреля 2016 года о защите физических лиц в отношении обработки личных данных и свободного обращения таких данных, и которой отменяется Директива 95/46/EK, которую надо применять с 25 мая 2018 года
