В случае несоблюдения требований ОРЗД на предприятие может быть наложен штраф в размере 20 миллионов евро или 4% от общемирового оборота предприятия в предыдущем отчетном году.

 

Несмотря на то что первое, что приходит на ум относительно обработки данных в электронных письмах предприятия, – требования ОРЗД, которые необходимо соблюдать в связи с маркетинговыми мероприятиями, включая рассылку коммерческих уведомлений, существуют и другие не менее важные аспекты, например шифрование и безопасность электронных писем.

 

 

В процессе сбора, хранения или иной обработки персональных данных в странах ЕС/ЕЭЗ нормы ОРЗД применяются к такой обработке независимо от местонахождения предприятия. Очень часто предприятиям приходится приспосабливать свою модель деятельности к требованиям ОРЗД, поскольку каждое предприятие состоит из людей: работников, клиентов, деловых партнеров.

 

ОРЗД определяет интегрированную защиту данных и защиту данных по умолчанию, т.е. предприятия всегда должны учитывать влияние всех новых или доступных на рынке товаров или услуг на защиту данных. В статье 5 ОРЗД перечислены принципы обработки данных, которые должен соблюдать администратор. Шифрование и псевдонимизация – лишь некоторые из технических мер, которые рекомендуется принять для уменьшения возможного вреда, в случае если третьему лицу удалось получить доступ к электронным письмам предприятия.

 

На данный момент шифрование электронных писем – подходящий метод, чтобы хоть частично защитить содержащиеся в электронных письмах персональные данные. Тем самым предприятие может доказать, что при обработке данных приняты соответствующие технические и организационные меры, обеспечивающие соблюдение требований ОРЗД и защиту прав субъекта данных. Несмотря на то что шифрование электронных писем согласно ОРЗД не является обязательным, каждый администратор обязан принять самые подходящие меры к обеспечению соответствия обработки данных требованиям ОРЗД.

 

 

Согласно ОРЗД, чтобы предотвратить вероятность хранения персональных данных дольше необходимого, администратор обязан определить сроки удаления или периодического пересмотра данных. Необходимо принять все разумные меры к обеспечению исправления или удаления неточных данных. Удаление является существенной частью процесса обработки, и данные необходимо удалять, чтобы не нарушать требования ОРЗД. Удаление – один из шести принципов защиты данных. Подпунктом «е» статьи 5 ОРЗД предусматривается, что персональные данные могут храниться не дольше, чем это необходимо в целях их обработки. Удаление данных является также одним из прав лица, охраняемым статьей 17 ОРЗД, или всем известным «правом на забвение». Субъект данных вправе потребовать, чтобы администратор данных без необоснованного промедления удалил персональные данные субъекта данных, и администратор обязан это сделать. Несомненно, каждая такая просьба лица должна оцениваться индивидуально, и существуют исключения, когда администратор (предприятие) может отказаться удалять данные, например в интересах общества. Однако в отсутствие таких обоснованных исключений администратор обязан удалить и не хранить персональные данные, которые ему больше не требуются или стали непригодными для достижения изначальной цели их сбора.

 

Каким образом требование по удалению данных может относиться к электронным письмам? Многие из нас никогда не удаляют электронные письма. Существует множество оправданных причин продолжать хранить их с мыслью, что, возможно, они еще пригодятся. Когда-нибудь нам может потребоваться еще раз перечитать эти электронные письма в связи с деятельностью деловых партнеров, или же они могут содержать информацию, необходимую для планируемого судебного иска. Хотя эти причины хранения данных являются очень существенными, следует помнить о том, что чем больше данных мы храним, тем выше будет ответственность предприятия в случае нарушения в сфере защиты данных. К тому же законодательством ЕС предусмотрено удаление ненужных персональных данных. Согласно ОРЗД, предприятие обязано периодически пересматривать свой порядок хранения электронных писем, чтобы уменьшить объем данных, хранящихся в электронной почте работников, и обобщать только информацию, которая может потребоваться в соответствии с указанными целями. На предприятии должна иметься документация, уравновешивающая законные интересы его предпринимательской деятельности с предусмотренными ОРЗД обязанностями по защите данных.

 

С технической точки зрения удаление данных, содержащихся в электронных письмах, может стать довольно простым процессом, который зачастую можно автоматизировать, чтобы предприятие могло быть уверено в том, что электронные письма действительно удаляются с установленной предприятием регулярностью. Независимо от введенного на каждом предприятии порядка хранения и удаления электронных писем, он помогает существенно снизить риски несоблюдения требований ОРЗД.

 

(Окончание – в следующих «Коротких сообщениях».)