Какие новые правила в работе с персональными данными вступят в силу уже с мая 2018 года?

Какие новые правила в работе с персональными данными вступят в силу уже с мая 2018 года?

GDPR считается наиболее прогрессивным регуляторным актом в сфере защиты персональных данных. Превентивные меры и приведение всех бизнес-процессов в соответствие с требованиями новых правил является лучшей альтернативой непомерным штрафам.

Одно из самых важных изменений в работе защиты  персональных данных уже не за горами. Предстоящие вступление в силу регламента General Data Protection Regulation от 26 апреля 2016 года, которое будет введено в действие в мае 2018 года, потребует некоторым организациям, чья деятельность связана с персональными данными граждан или жителей стран-членов Европейского союза, назначить сотрудника по защите данных (DPO). Превентивные меры и приведение всех бизнес-процессов в соответствие с требованиями новых правил является лучшей альтернативой непомерным штрафам.

Это применимо ко всем государственным органам и компаниям, которые участвуют в систематической обработке уязвимых  персональных данных в больших масштабах.

Этот регламент заменит Директиву 95/46/ЕС Европейского парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном перемещении этих данных» и после вступления в силу заменит соответствующее местное законодательство стран-членов ЕС.

GDPR считается наиболее прогрессивным регуляторным актом в сфере защиты персональных данных и его роль в этой сфере тяжело переоценить. В нем уточнено понятие персональных данных, а именно в перечень таких включены IP-адреса, цифровые идентификаторы устройств и местоположения, по которым может быть идентифицировано конкретное физическое лицо.

Кроме определения именно персональных данных, дано определение контроллера и процессора. Так, контроллером (далее DPO) является физическое или юридическое лицо, государственный орган, организация или другой орган, которые самостоятельно или совместно с другими определяет цель и способы обработки персональных данных. А под процессором понимается физическое или юридическое лицо, государственный орган, организация, которые осуществляют обработку персональных данных от имени контроллера.

Организация может назначить роль DPO одному из своих сотрудников, до тех пор, пока их профессиональные и новые обязанности (как DPO) не приводят к конфликту интересов, или он может заключить контракт с внешним поставщиком услуг. Более того, один DPO может быть назначен для совместного использования между несколькими организациями.

Основной задачей DPO является проведение аудита обработки данных. Во время аудита обработки данных DPO должен определить объем и цель обработки, источник и чувствительность обработанных данных, а также данные переводы за пределы ЕС.

Обязанности DPO

  • Информировать и сообщать организации и ее сотрудникам об их обязательствах в отношении к новому постановлению
  • Предоставлять учебные и информационные семинары для лиц, занимающихся обработкой данных
  • Следить за соблюдением правил и обязанностей
  • Следить за оценкой влияния защиты и организации сообщения при необходимости
  • Поощрять культуру защиты данных в рамках организации
  • Сотрудничать с надзорным сайтом по вопросам обработки персональных данных

DPO отвечают за отчетность перед высшим руководством в независимой манере, и поэтому они не должны получать никаких инструкций относительно выполнения своих задач. Кроме того, они нанимаются на срок не менее двух лет и может быть уволен только в том случае, если они неспособны выполнить свои обязанности.

До вступления в силу GDPR, организации могут начать подготовку в отношении назначения DPO, в том числе:

  • Просмотреть критерии и требования к назначению DPO и оценку внутренних сотрудников, подходят ли они для своего положения или будут ли необходимы внешние кандидаты, чтобы обеспечить надлежащее обучение сотрудников
  • Проследить за публикациями и рекомендациями относительно роли DPO в органах по защите прав ЕС
  • Запланировать бюджеты, чтобы иметь возможность предоставлять адекватные ресурсы для DPO в будущем
  • Обеспечить защиту реализации требований регламента независимостью и избежать конфликтов интересов

Регламент будет применяться к обработке персональных данных субъектов данных, которые находятся в ЕС, даже если контроллер или процессор не зарегистрированы в Союзе, но их деятельность по обработке связана с предложением товаров или услуг, независимо от того, потребуется ли оплата от субъекта данных в ЕС, или мониторингом их поведения, если их поведение имеет место в границах ЕС.

Так что, если компания попадает под действие данного регламента, следует уже сейчас задуматься о последствиях. Размер штрафов составит до 20 млн. евро или 4 % общего мирового годового оборота предыдущего финансового года в зависимости от того, какая из двух цифр окажется выше. Такие штрафы заставят каждого контроллера и процессора ответственно относиться к обработке данных. А значит, можно рассчитывать на взвешенный подход всех компаний, которые так или иначе связаны с персональными данными, к проведению соответствующего комплаенса.

В странах Европейского союза уже началась подготовка к новым правилам работы с персональными данными. Но не стоит ограничиваться границами Европейского союза, готовиться необходимо и компаниям, которые, так или иначе, работают с жителями ЕС либо их персональными данными.

Существуют различные причины, по которым вы должны добиться соответствия требованиям GDPR, например:

  • Защитить репутацию своей организации
  • Минимизировать инциденты безопасности
  • Повысить доверие, в том числе, к своим клиентам
  • Содействовать доступу к данным
  • Обеспечить более строгое соблюдение правил
  • Включить точное хранение данных клиентов
  • Содействовать адекватному контролю доступа

Поэтому украинским компаниям необходимо оценить возможность применения GDPR к их деятельности. При этом следует обратить внимание на клиентов- европейских граждан. Если деятельность компании подпадает под действие Регламента, необходимо предпринять шаги по ограничению работы с европейскими гражданами или привести свою деятельность в полное соответствие с новыми правилами.

PECB предлагает обучение и сертификацию по регулированию общей защиты персональных данных, которое поможет вам достичь соответствия новым требованиям, избежать штрафов за несоблюдение, повысить доверие к клиентам и повысить лояльность клиентов.

Наша компания PECB Ukraine 18-22 июня проводит новый обучающий 5-ти дневный курс по подготовке “Сертифицированных специалистов по защите персональных данных”.

Просмотреть информацию о курсе Вы сможете на нашем сайте http://pecb.com.ua или по ссылке.

Зарегистрироваться на курс

Мы здесь для того, чтобы удовлетворить ваши конкретные потребности и помочь вам на этом пути!

В материалах статьи использована информация с сайтов: https://pecb.com, http://jurliga.ligazakon.ua


Залишити коментар
Будь ласка, введіть ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії IT, програмування, розробка Менеджмент, керування, KPI Фінанси, кредит, банківська справа