Как правило, термин «персональные данные» закрепляется на уровне национального законодательства страны. Например, в Европейском союзе, обработку персональных данных регулирует General Data Protection Regulation (GDPR), в Канаде – The Privacy Act и Personal Information Protection and Electronic Documents Act (PIPEDA), в США (в Калифорнии) – California Consumer Privacy Act (CCPA).
Данное законодательство регулирует то, как бизнес должен вести себя при сборе и обработке данных клиентов и сотрудников.
Существуют небольшие отличия в определении понятия персональных данных, но для упрощения понимания, возьмем определение согласно GDPR.
Персональные данные – это любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу («субъекту данных», т. е. к человеку). Идентифицированное физическое лицо — это человек, идентификатор (имя, номер телефона, личный номер, логин и т. д.) которого имеется среди данных. Поддающееся идентификации физическое лицо, в свою очередь, – это лицо, которое вполне можно идентифицировать, то есть отличить от других людей.
Проводим аудит бизнес процессов
Проводим аудит на соответствие законодательству текущих и будущих бизнес процессов.
Составляем Data Map, чтобы определить возможные нарушения.
Составляем политики компании в отношении обработки персональных данных
Составляем политику конфиденциальности, уведомление о конфиденциальности, политику Cookie и другие необходимые документы.
Проводим аудит сайта/приложения
Проверяем наличие необходимых форм по сбору согласия, работу cookie, расположение юридических документов и по итогу даем рекомендации.
Подготавливаем и заключаем соглашения по обработке данных с вашими контрагентами
В случае передачи персональных данных в третьи страны, будет необходимо заключить соглашения по обработке персональных данных (Data Processing Agreements).
Назначаем Data Protection Officer (DPO)
Назначение DPO является обязательным, если:
(а) обработка осуществляется государственным органом или органом, за исключением судов, имеющим дееспособность судов; или
(b) основная деятельность юридического лица состоит из операций по обработке данных, которые по своему характеру, объему и/или целям требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или
(c) основная деятельность юридического лица состоит из крупномасштабной обработки особых категорий данных в соответствии со статьей 9 GDPR и персональных данных, касающихся уголовных судимостей и правонарушений, указанных в статье 10 GDPR.
Проводим Data Protection Impact Assessment (DPIA)
Проведение DPIA на регулярной основе необходимо только для некоторых конкретных действий по обработке, а именно тех действий, которые могут оказать существенное влияние на права и свободы субъектов данных.
Проводим обучение сотрудников
Обучение сотрудников по безопасной работе с персональными данными является обязательным. Научим ваших сотрудников реагировать на запросы от субъектов данных и регуляторов.
✔️ Какие органы в Украине отвечают за контроль за соблюдением законодательства о персональных данных?
В Украине за контроль за соблюдением законодательства о персональных данных отвечает Государственная служба Украины по вопросам защиты персональных данных (ГСЗПД).
Например, вам надо будет соответствовать положениям GDPR, если:
— Вы обрабатываете персональные данные, полученные при деятельности контролера или процессора зарегистрированных в ЕС, независимо от того, происходит ли обработка в ЕС или нет.
— Вы обрабатываете персональные данные тех субъектов (физ. лиц), которые находятся в ЕС, контроллером или процессором, не зарегистрированным в ЕС, в случае если обработка данных связана с: продажей или офертой к продаже товаров или услуг субъектам, которые находятся в ЕС, вне зависимости от того требуется ли оплата данных товаров или услуг от субъекта; или в мониторинге поведения субъектов, в случае если это поведение происходит внутри ЕС.
— Вы обрабатываете персональные данные контролером, не учрежденным в ЕС, но в месте, где законодательство государств-членов применяется на основании публичного международного права.
✔️ Какие санкции предусмотрены за нарушение законодательства о персональных данных?
За нарушение законодательства о персональных данных предусмотрены административные штрафы для лиц и юридических лиц, а также уголовная ответственность в случае тяжких нарушений.
✔️ Какие требования предъявляются к компаниям и организациям по обработке персональных данных?
Компании и организации, обрабатывающие персональные данные, должны соблюдать принципы обработки данных, получать согласие субъектов данных, обеспечивать их защиту и конфиденциальность.
✔️ Какие меры безопасности должны применять компании для защиты персональных данных?
Компании должны применять технические и организационные меры безопасности, такие как шифрование данных, ограничение доступа, обучение персонала и аудит систем обработки данных, чтобы защитить персональные данные от несанкционированного доступа и утечек.