Важно! Новый европейский регламент о защите данных: что нужно знать, чтобы не попасть на миллионные штрафы?

Ольга Князева
09.11.2017 11:30:00

Далеко не все предприятия Латвии знают, что 25 мая 2018 года на всей территории Европейского союза вступит в силу  Общий регламент о защите данных (GeneralDataProtectionRegulation - GDPR), выдвигающий новые требования к защите личных данных клиентов, партнеров и сотрудников предприятий. Это событие настолько серьезное, что его даже называют революцией в области защиты личных данных, и оно, само собой, не обойдет стороной и Латвию. Готовиться к нему нужно уже сегодня, потому что процесс внедрения нового регулирования непрост: он включает в себя решение довольно серьезных юридических вопросов, а также подготовку IT-систем. О том, что будет значить новый регламент для каждого латвийского предприятия и что стоит предпринять уже сегодня rus.db.lv рассказывает Элина Гирне, ведущий юрист компании Squalio.

Кого коснется GDPR?

Ответ очень простой: регламент коснется абсолютно всех предприятий Латвии, которые имеют персональные данные клиентов, партнеров или сотрудников. Неважно, в какой сфере занято предприятие, сколько у него сотрудников и клиентов. Важно только то, что если у компании есть хоть какая-то информация с личными данными, то оно автоматически попадает под действие нового регламента.

У некоторых может возникнуть вопрос: а если, положим, наше предприятие не собирает данные о клиентах, то почему GDPR нас коснется? Ответ такой: даже если предприятие не обслуживает клиентов напрямую, но оно все равно как минимум хранит информацию о своих сотрудниках, и это тоже - самые настоящие личные данные. Или, например, у предприятия есть клиенты - юридические лица. Казалось бы, при чем тут GDPR? Однако юридические компании представляют вполне конкретные физические лица, у которых есть личные персональные данные, и здесь мы снова попадаем под действие регламента.

Итого: если ваше предприятие собирается работать и после 25 мая 2018 года, то спрятаться от нового регламента невозможно. Поэтому начинаем к нему готовиться заранее.

Зачем это нужно?

И правда, ведь сейчас тоже есть закон о защите данных, исполнение которого отслеживает Государственная инспекция данных. Неужели этого мало? Вывод, пришедший к нам из ЕС, таков: нынешнее регулирование не до конца учитывает все риски, которые могут возникнуть в момент сбора, хранения, обработки и передачи личных данных.

Как поясняет юрист Squalio, целью нового регламента является борьба с необоснованным использованием и утечкой личных данных. Были случаи, когда у предприятия пропадали целые базы данных клиентов, хранящиеся в файлах Excel. В принципе, новый регламент сводит такие риски к минимуму.

Кроме того, новое регулирование дает возможность каждому человеку во всех подробностях узнать, какие данные о нем хранит предприятие, для каких целей оно использует эти данные и как долго. А также надежно ли хранятся личные данные, где хранятся, с какой целью и кому передаются. У человека появится полное право контролировать использование своих личных данных, запретить их использовать и даже требовать удалить их из баз данных.

Самое время разобраться, что подразумевает понятие "личные данные"?

Это все данные, которые имеют отношение к идентификации или процессу идентификации физического лица. Пример: у предприятия есть база данных клиентов, отзывов или анкет с предложениями, данные программы лояльности клиентов, письма электронной почты, фото, видео с камер наблюдения, или даже CV работников предприятия и просто списки сотрудников с персональными данными (например, персональными кодами). Если разобрать личные данные по полочкам, то сюда включаются:

* Имя, фамилия, номер телефона, электронная почта, адрес проживания

* Регистрационный номер автомобиля, марка автомобиля

* Этническое происхождение, политические взгляды, религиозные убеждения, сексуальная ориентация

* Номер банковского счета, номер банковской карты или срок ее действия

* Данные об истории болезни, группе крови, информация о членах семьи

* Внешний вид, фото, видео материалы, биометрические данные

* Паспортные данные: номер паспорта, национальная принадлежность, персональный код, подпись

* Уровень личных доходов, имеющееся имущество, денежные потоки

* Информация о членах семьи: имена, фамилии детей и другая подобная информация

Как можно убедиться, это фактическая любая информация о человеке. И ее нужно будет правильным образом хранить и защищать. Потому что в случае нарушений, последствия будут самыми серьезными. Прежде всего в финансовом плане. Регламент определяет штрафы за неисполнение его нормативов в размере до 20 млн евро или же до 4% от годового оборота компании за прошлый финансовый год.

Что же делать предприятию?

В принципе для начала надо понять, каковы у вашего предприятия риски. Для этого можно пройти  специальный бесплатный тест из 6 вопросов, который определит уровень риска для предприятия. Этот тест поможет понять, насколько срочно необходимо действовать, чтобы соответствовать требованиям нового регламента. Далее загрузить пакет юридических документов, чтобы обхватить значимую часть из требований нового регламента. Документы доступны бесплатно. И наконец, разобраться с IT-решениями, которые обеспечат надежную и автоматизированную работу с персональными данными.

О последнем стоит сказать отдельно. Как поясняют специалисты Squalio, существует четыре фазы готовности IT- системы к внедрению нового регламента: исследование, проверка, защита и отчетность. На фазе исследования предприятие выясняет, какие личные данные обрабатываются и где они хранятся: в простой тетрадочке, где записывают телефоны клиентов, в файловом документе или в надежных электронных базах данных. Понятно, что хоть тетрадочки - это удобно и быстро, но крайне ненадежно в плане защиты информации.

На фазе проверки происходит классификация и разделение информации. Определяется срок хранения информации и ответственные лица, которые будут иметь к ней доступ. На практике это означает, что например, популярный корпоративный адрес электронной почты Info@, к которому имеют доступ сразу несколько сотрудников, больше нельзя будет использовать коллективным образом. На фазе отчетности важна документация и возможность аудита. Предприятие должно четко знать, что делать в случае утечки информации. Для всего этого определенно понадобятся IT-решения, которых, возможно, раньше не было в компании.

Кстати, предприятию в связи с новым регламентом важно будет не только успешно внедрить новый порядок работы с данными, но и научить этому всех сотрудников. Регламент, например, требует четко фиксировать процесс обработки данных, чтобы в дальнейшем можно было проследить ход работ. Предприятие должно быть готово ответить на все вопросы от физического лица и предоставить копии всех документов по первому запросу. Не менее важно, чтобы во всех договорах с партнерами по сотрудничеству были включены пункты о личных данных, которые обрабатывают партнеры, а также определена степень ответственности партнеров в случае, если они будут незаконно использовать базы личных данных.

Это далеко не все изменения, которые принесет с собой новый регламент из ЕС. В нем содержится 99 статей, таким образом все изменения и их влияние на предприятие, организацию и работу государственных структур трудно прогнозировать.

Ключевые слова

Поделись новостью