Офіцер із захисту даних «МАУ» назвав 12 кроків для підготовки бізнесу до вимог GDPR

Під час Legal High School виступив Станіслав Коваленко, офіцер із захисту даних авіакомпанії «Міжнародні авіалінії України». Тема виступу: «Чи відповідає ваш бізнес вимогам GDPR?».

Спікер виділив такі основні нововведення Регламенту GDPR:

— надає фізичним особам більше прав у частині контролю за їхніми персональними даними;

— накладає на контролерів даних обтяжливі зобов’язання;

— має екстериторіальну дію, тобто поширюється на компанії (організації) за межами ЄС;

— передбачає розміри штрафів і дає національним регуляторам право їх накладати на компанії, які порушують вимоги GDPR;

— країни ЄС мають право встановлювати кримінальну відповідальність за порушення вимог GDPR.

Що потрібно робити бізнесу, який підпадає під дію GDPR? Комплекс заходів пан Коваленко розбив на 12 кроків:

1. Провести професійний аудит відповідності вимогам GDPR.

2. Провести/проводити оцінку Data protection impact assessment для визначення ступеня важливості кожного конкретного бізнес-процесу, пов’язаного з обробкою персональних даних за допомогою оцінки збитку, що завдається в період збою в роботі.

3. Мінімізувати персональні дані.

4. Розробити та опублікувати політику конфіденційності (Privacy Policy), політику використання файлів cookie (Cookie Policy).

5. Отримати «правильну» згоду на обробку персональних даних та оновити процедури отримання згоди суб’єктів на обробку їхніх персональних даних.

6. Привести інформаційні рішення і процеси у відповідність до концепцій проектованої конфіденційності та конфіденційності за замовчуванням (privacy by design & by default).

7. Зберігати облікові записи про обробку персональних даних (records of processing activities).

8. Забезпечити реалізацію прав суб’єктів персональних даних.

9. Навчити співробітників компанії, пов’язаних з обробкою персональних даних.

10. Підготуватися до витоку персональних даних.

11. Розробити та впровадити договірні положення про обробку персональних даних/Agreement On Personal Data Transfer.

12. Призначити представника в ЄС і особу, відповідальна за обробку та захист персональних даних (Data Protection Officer).

Станіслав Коваленко зазначив, що раніше інформація геолокації, IP-адреси, cookie не належала до персональних даних. «Сьогодні ж можете навіть кеш у браузері почистити після півгодини користування сайтом, але куки вже встигли зберегти дані про вас, про вашу активність на сайті. Не виключено, що ці дані будуть передані третім особам, які їх купують», — наводить приклад юрист.

«Ви повинні попередити користувачів сайту про використання cookie і дати їм можливість відключати їх або пояснити як це зробити через браузери», — звернувся до компаній лектор. Нові вимоги GDPR потрібно враховувати вже на стадії розробки дизайну сайту, виконуючи тим самим умову privacy by design.

Згода з обробкою персональних даних має проявитися в активній формі (потрібна не «мовчазна згода», а, наприклад, самому поставити «галочку» в чекбоксі).

Щоб підготувати хорошу політику конфіденційності, з урахуванням вимог GDPR, експерт радить ознайомитися з best practice, зокрема, переглянути приклади на сайтах відомих великих компаній (наприклад, Microsoft, Google, МАУ).

МЕНЮ

LegalHighSchool – Вища школа для юристів і адвокатів