Зобов’язання контролера згідно з GDPR

У попередній статті ми визначили, які компанії зобов’язані відповідати GDPR.

Але що робити якщо ви потрапили в цю категорію, і ваша компанія є контролером персональних даних. Для того, щоб дізнатися відповідь на це питання, насамперед потрібно з’ясувати, які зобов’язання закріплені в GDPR.

Контролер даних – це той, хто взаємодіє з клієнтом, збирає дані та визначає яким чином їх далі обробляти.

Основні зобов’язання контролера згідно з GDPR такі:

1. Впроваджувати належні технічні та організаційні заходи, призначені для ефективного впровадження принципів захисту персональних даних, таких як мінімізація даних, а також для інтеграції необхідних гарантій в обробку з метою дотримання вимог Регламенту та захисту прав суб’єктів даних. (стаття 25);
2. Дотримуватися принципів, закріплених у ст. 5 і бути в змозі продемонструвати їх дотримання (ст. 5);
3. Найняти процесора, який забезпечує достатні гарантії щодо здійснення відповідних технічних та організаційних заходів, таким чином, щоб обробка відповідала вимогам Регламенту. Договір з процесором має бути складений у письмовій формі. (ст. 28);
4. Вести реєстр діяльності з обробки персональних даних (ст. 30);
5. Співпрацювати з Органом з нагляду за його запитом у межах виконання ним своїх завдань (ст. 31);
6. Реалізувати технічні та організаційні заходи, закріплені в ст. 32. Для забезпечення рівня безпеки, що відповідає ризикам (ст. 32);
7. Повідомляти компетентний наглядовий орган і суб’єкта персональних даних у разі порушення безпеки персональних даних, якщо це можливо, не пізніше ніж через 72 години після виявлення такого порушення (ст. 33 – 34);
8. Провести оцінку впливу планованих операцій з обробки персональних даних, яка з погляду своєї природи, масштабу, контексту та мети, очікувано призведе до високого ризику для прав і свобод фізичних осіб (ст. 35);
9. Проконсультуватися з наглядовим органом перед обробкою, якщо оцінка впливу на захист персональних даних вказує на те, що обробка може призвести до виникнення високого ступеня ризику за відсутності заходів, вжитих контролером для зниження ризику (ст. 36);
10. Призначити посадову особу (інспектора) відповідальну за захист персональних даних у разі, якщо обробка здійснюється держ. органом / основна діяльність контролера складається з операцій з обробки даних, які в силу свого характеру, обсягу або цілей, потребують регулярного та систематичного моніторингу суб’єктів даних у великих масштабах / основна діяльність контролера або процесора полягає в обробці спеціальних категорій даних у великих масштабах згідно зі статтею 9 і персональних даних, що стосуються судимостей і правопорушень.
11. Забезпечити належну та оперативну участь інспектора із захисту персональних даних у всіх питаннях, пов’язаних із захистом персональних даних, захищати його незалежність і надавати необхідні засоби для виконання (ст. 38 і 39);
12. Призначити в письмовій формі представника в ЄС, у разі якщо контролер зареєстрований поза ЄС.

Юристи Legarithm – фахівці у сфері GDPR, ми допоможемо Вашому бізнесу відповідати всім вимогам згідно з GDPR. Звертайтеся до нас у чат для вивчення Ваших бізнес-процесів на відповідність GDPR та аналізу існуючих і потенційних ризиків отримати штрафи.