GDPR – что нужно делать и как подготовиться

Кто в моей компании будет отвечать за соблюдение требований?

GDPR определяет несколько должностей в компании, которые отвечают за обеспечение соответствия:

  • Контролер данных (Data Controller),
  • Обработчик данных (Data Processor),
  • Инспектор по защите персональных данных (DPO – Data Protection Officer).

GDPR как подготовитьсяКонтролер данных определяет, как обрабатываются персональные данные, и цели, для которых они обрабатываются. Он также несет ответственность за соблюдение требований сторонними контрагентами.

Обработчики персональных данных могут быть во внутренних группах, которые хранят и обрабатывают записи о персональных данных, или любой аутсорсинговой фирмой, которая выполняет все или часть этих действий.

GDPR возлагает ответственность на Обработчиков за нарушения или несоблюдения требований. Вполне возможно, что как ваша компания, так и ваш партнер-исполнитель, например, облачный провайдер, будут совместно нести ответственность за нарушения в виде штрафов, даже если вина лежит только на партнере-исполнителе.

GDPR требует от Контролера и Обработчика назначить Инспектора по защите персональных данных (DPO) для контроля за стратегией обеспечения безопасности данных и соответствия требованиям GDPR.

Компании обязаны иметь Инспектора по защите персональных данных, если они:

  • обрабатывают или хранят большие объемы данных граждан ЕС,
  • обрабатывают или хранят специальные категории персональных данных,
  • регулярно проверяют данные,
  • являются государственными органами. Некоторые государственные учреждения, такие как правоохранительные органы, могут быть освобождены от требования к наличию Инспектора по защите персональных данных.

Согласно опросу Propeller Insights, 82% опрошенных компаний сказали, что у них уже есть DPO среди персонала, хотя 77% планировали нанять нового или заменить такого сотрудника до 25 мая 2018 года.

Прием на работу новых сотрудников не ограничивается должностью DPO. Около 55% респондентов опроса сообщили, что набрали не менее 6 новых сотрудников для достижения соответствия требованиям GDPR.

Как влияет GDPR на контракты с клиентами и третьими лицами?

GDPR устанавливает равную ответственность между Контролерами персональных данных (организация, которая владеет данными) и Обработчиками персональных данных (сторонние организации, которые помогают управлять этими данными).

Сторонний обработчик, не соответствующий требованиям регламента, ставит под сомнение соответствие и вашей компании требованиям GDPR.

В GDPR также существуют жесткие правила для сообщений о нарушениях, которые должны соблюдаться всеми, кто имеет к ним отношение.

Организации также должны информировать клиентов об их правах в рамках GDPR. Это означает, что все существующие контракты с Обработчиками (например, облачными провайдерами, поставщиками SaaS или провайдерами услуг расчета заработной платы) и клиентами должны доходчиво расписывать обязанности. В пересмотренных контрактах также необходимо определить согласованные процессы управления и защиты данных, правила информирования о нарушениях.

Самая большая сложность заключается в ваших отношениях с контрагентами и поставщиками, являющихся третьими лицами, которые обрабатывают данные от вашего имени.

Существует целая группа контрагентов, которые имеют доступ к этим личным данным, и GDPR четко излагает, что вам необходимо сделать, чтобы все эти третьи стороны придерживались требований GDPR и обрабатывали данные соответственно им.

Контракты с клиентами также должны отражать нормативные изменения. Такие контракты заключаются в различных формах, будь то онлайн-клики или официальные соглашения, в которых вы принимаете обязательства относительно того, как вы просматриваете, получаете доступ и обрабатываете данные клиентов.

Перед тем как эти контракты могут быть пересмотрены, руководители компаний, IT-отделы и службы безопасности должны понять, как данные хранятся и обрабатываются, и согласиться на командную работу, чтобы не возникало проблем.

Ваш контрагент говорит, что вы были взломаны

GDPR что делать

Если одна из компаний-контрагентов скажет вам: «Вы были взломаны прошлой ночью», имеют ли они представление, как правильно сообщить такую информацию, соблюдая нормативные требования?

72-часовое окно уведомления клиента, которое требует GDPR, является важным, чтобы компании-контрагенты знали, как правильно сообщать о нарушении. Если фирма-поставщик была взломана, и вы один из тысяч клиентов, то кого они уведомляют в первую очередь: ваш отдел закупок товаров и услуг, менеджера по работе с клиентами или кого-то иного? Все зависит от конкретной ситуации.

Вам необходимо, чтобы в контракте было четко прописано, что информация о всех происшествиях или нарушениях попадает к конкретному лицу в вашей организации, ответственное за сообщение о нарушениях.

Ответственное лицо не в праве говорить, что вы полностью защищены от нарушений и ничего не должно было случиться. Они скажут, что у вас должна была быть специальная линия поведения для таких ситуаций, процедуры и формы ответа, чтобы быстро решить возникшие проблемы.

Как относится бизнес к накоплению и использованию данных

Техническим группам, службе обеспечения информационной безопасности и команде по управлению данными требуется приложить значительные усилия, чтобы понять, какие данные собираются компанией, где они хранятся или обрабатываются, и куда они экспортируются за пределы компании.

После того как вы поймете суть этих потоков данных и влияние всего процесса на бизнес, вы можете начать искать контрагентов, с которыми вам стоит вести дела как с точки зрения информационной безопасности, так и с тем, как вы будете взаимодействовать в будущем, и как вы отметите это в контракте.

GDPR может изменить образ мышления деловых кругов и службы безопасности по отношению к данным. Большинство компаний воспринимают свои данные и процессы с ними как ценный вклад, используя их в подобном ключе, но скоро это изменится.

Компании должны стать более грамотными в понимании сути потоков данных, существует целый набор обязательств, который образовался с появлением понятия накопление данных.

Это совершенно другой образ мышления как с юридической стороны, так и со стороны соблюдения формальных требований, но важнее как бизнес относится к накоплению и использованию этих данных, а также планы служб обеспечения информационной безопасности о том, как они хотят управлять этими данными.

Данные покидают стены компании разными путями. В то время как Служба обеспечения информационной безопасности и технологические группы должны иметь возможность отслеживать все это, вам также необходимо установить защиту. Эти защитные меры должны быть указаны в контракте, чтобы сторонние компании понимали, что они могут и не могут делать с данными.

Девять вещей, которые вы должны сделать, чтобы убедиться, что ваши базы данных соответствуют требованиям GDPR

Вашему вниманию представлен список того, что должна сделать уже сегодня каждая компания, чтобы обеспечить соблюдение требований GDPR (Общего Регламента по Защите Персональных Данных), согласно мнению членов Forbes Communication Council:

1. Узнайте больше о GDPR и создайте план для его реализации.

Поскольку GDPR является новым нормативным предписанием ЕС, в первую очередь, необходимо ознакомиться с деталями этого регламента и тем, как он может повлиять на работу компании. В первую очередь, компании должны тщательно пересмотреть свои политики конфиденциальности и обработки данных, чтобы гарантировать, что любые затронутые процессы будут обновлены согласно требованиям нового регламента.

2. Упростите политику конфиденциальности данных.

GDPR что нужно сделатьНачните с упрощения ваших актов о конфиденциальности данных, чтобы ваши клиенты могли понять их и поверить в них. Так вы сведете к минимуму возникновение жалоб, которые могут привести к серьезным санкциям.

3. Уведомляйте потребителей о внесении изменений в их права на частную жизнь.

Компании должны всегда придерживаться лучших методов работы и проявлять осторожность при общении с клиентами/ потребителями относительно их прав на конфиденциальность и соответствующих политик. Держать потребителей в курсе и предоставлять им право знать обо всех тонкостях, чтобы они не потеряли доверие к вам.

4. Сообщить о своем соответствии нормам GDPR.

Необходимо открыто опубликовать уведомление о соответствии законодательным требованиям на корпоративных сайтах. Поскольку должны быть гарантированы согласия клиентов, имеет смысл инвестировать в целенаправленные действия в области маркетинга, базирующиеся на учетных записях, потому что больше не применяется политика автоматического согласия на обработку и использование данных. Проведение двойной проверки согласия со стороны уже существующих клиентов на рассылку имеет решающее значение для успеха.

5. Внедрите инструменты для получения согласия пользователя.

Важно внедрить инструменты для получения письменного подтверждения согласия пользователя в целях маркетинга. В соответствии с GDPR, каждый пользователь должен предоставить согласие на рассылку, прежде чем маркетологам будет разрешено отслеживать, перенастраивать или отправлять что-либо. При этом, пользователи также легко должны иметь возможность отменить свое согласие в любое время и иметь четкое представление о том, кто использует их данные и для чего.

6. Проверьте ваш текущий реестр персональных данных.

Все знают, что покупать списки адресов электронной почты очень плохо, но некоторые продолжают заниматься этим. Сейчас самое время для того, чтобы информация о совершенных покупках удалялась раз и навсегда, что предотвратит утечку данных. Ваши реестры данных должны быть полными, включая данные для конкретной страны и, самое главное, согласие на обработку и использование данных. Потратьте ваше время на проверку данных и заполните пробелы, пока есть такая возможность.

7. Сфокусируйтесь на своих клиентах и их потребностях.

Многие компании говорят, что они ориентированы на клиентов, но при этом по-прежнему предпочитают поддерживать связь без учета мнения клиента. GDPR заставит компании максимально сосредоточиться на желаниях клиентов. Если вы этого еще не сделали, запустите кампанию по получению формального согласия клиентов. Это гарантирует, что каждая коммуникационная компания сфокусируется, обеспечит поддержку и не будет тратить в пустую время клиента.

8. Вовлеките каждый отдел компании в подготовку к соблюдению GDPR.

GDPR касается каждой отрасли бизнеса. Наши цифровые продукты должны иметь юридически сформированные процедуры для того, чтобы мы знали как должны просить разрешения использовать чьи-то данные и как информировать, если данные скомпрометированы Это потребует участия юридического отдела, ИТ-специалистов, инженеров, команд маркетологов и др. Все должны объединить усилия, чтобы обеспечить слаженную работу по соблюдению требований GDPR и избежать штрафов.

9. Внесите соблюдение требований GDPR в свое планирование.

Физические лица должны будут предоставить однозначное согласие на хранение и использование своих персональных данных — и они имеют право отозвать это согласие в любое время. Лучшим способом соответствовать требованиям GDPR является слаженна работа всех технических контактных точек, где вы храните данные. Другими словами, для того, чтобы соответствовать требованиям GDPR, необходимо решить все технические и юридические аспекты.