В предыдущей статье мы определили какие компании обязаны соответствовать GDPR.
Но что делать если вы попали в эту категорию, и ваша компания является контролёром персональных данных. Для того, чтобы узнать ответ на этот вопрос в первую очередь нужно выяснить какие обязательства закреплены в GDPR.
Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
Основные обязательства контроллера согласно с GDPR следующие:
- Внедрять надлежащие технические и организационные меры, предназначенные для эффективного внедрения принципов защиты персональных данных, таких как минимизация данных, а также для интеграции необходимых гарантий в обработку с целью соблюдения требований Регламента и защиты прав субъектов данных. (статья 25);
- Соблюдать принципы, закрепленные в пара. 1 ст. 5 и быть в состоянии продемонстрировать их соблюдение (ст. 5);
- Нанять процессора, который обеспечивает достаточные гарантии по осуществлению соответствующих технических и организационных мер, таким образом, чтобы обработка отвечала требованиям Регламента. Договор с процессором должен быть составлен в письменной форме. (ст. 28);
- Вести реестр деятельности по обработке персональных данных (ст. 30);
- Сотрудничать с Органом по надзору по его запросу в рамках выполнения им своих задач (ст. 31);
- Реализовать технические и организационные меры, закрепленные в ст. 32. Для обеспечения уровня безопасности, соответствующего рискам (ст. 32);
- Уведомлять компетентный надзорный орган и субъекта персональных данных в случае нарушения безопасности персональных данных по возможности не позднее чем через 72 часа после обнаружения данного нарушения (ст. 33 — 34);
- Провести оценку воздействия планируемых операций по обработке персональных данных, которая с точки зрения своей природы, масштаба, контекста и цели, ожидаемо приведет к высокому риску для прав и свобод физических лиц (ст. 35);
- Проконсультироваться с надзорным органом перед обработкой, если оценка воздействия на защиту персональных данных указывает на то, что обработка может привести к возникновению высокой степени риска при отсутствии мер, принятых контролёром для снижения риска (ст. 36);
- Назначить должностное лицо (инспектора) ответственное за защиту персональных данных в случае если обработка осуществляется гос. органом / основная деятельность контролёра состоит из операций по обработке данных, которые в силу своего характера, объема или целей, требуют регулярного и систематического мониторинга субъектов данных в больших масштабах / основная деятельность контролёра или процессора заключается в обработке специальных категорий данных в больших масштабах согласно статье 9 и персональных данных, касающихся судимостей и правонарушений согласно статье 10 (ст. 37);
- Обеспечить надлежащее и оперативное участие инспектора по защите персональных данных во всех вопросах, связанных с защитой персональных данных, защищать его независимость и предоставлять необходимые средства для исполнения (ст. 38 и 39);
- Назначить в письменной форме представителя в ЕС, в случае если контролёр зарегистрирован вне ЕС.
Юристы Legarithm — специалисты в сфере GDPR, мы поможем Вашему бизнесу соответствовать всем требованиям согласно GDPR. Обращайтесь к нам в чат для изучения Ваших бизнес процессов на соответствие GDPR и анализа существующих и потенциальных рисков получить штрафы.