Спустя несколько месяцев после принятия General Data Protection Regulation (GDPR) украинские компании, на которые распространяются экстерриториальные нормы данного документа, все еще разбираются, каким требованиям должна соответствовать их деятельность, чтобы они не попали под санкции ЕС в сфере защиты персональных данных.

Соответствие требованиям GDPR сложный и ресурсозатратный процесс, требующий, кроме всего прочего, и денежных вливаний, поэтому пока компаниям предоставлен переходной период для подготовки, бизнесу следует двигаться в нужном направлении по следующим этапам.

Этап 1 – Оценить текущее состояние процесса сбора и обработки персональных данных.

Для этого определяем, кто, в каком объеме и для чего использует персональные данные пользователей. После – анализируем, есть ли необходимость именно в этих персональных данных у конкретных департаментов. Для удобства рекомендуем схематично изобразить процесс движения персональных данных для понимания всех процессов, что происходят с ними.

После того, как мы наглядно видим, как происходят процессы работы с данными в компании, анализируем и на предмет соответствия нормам GDPR и определяем, какие моменты следует доработать и что именно внедрить.

Этап 2 – Разрабатываем недостающие документы и оптимизируем процессы.

Для этого в компании должны быть разработаны 2 основных документа: Privacy Policy – объясняющий, какие данные и как собираются и обрабатываются; GDPR Controller – определяющий, как заключаются договора между компанией и обработчиками персональных данных. Остальные документы описывают алгоритмы сбора и обработки данных внутри самой компании, назначая ответственных лиц, определяя процедуру действий в случае обращения с жалобой, уведомление субъектов о предстоящих изменениях и так далее.

DIGITAL LAW PRO

Этап 3 – Внедрение изменений и контроль их соблюдения.

Просто разработать ряд процедур недостаточно, контролирующие органы ЕС могут проверить не только сам факт их наличия, но и механизм исполнения. При масштабной деятельности на территории ЕС компании есть смысл назначить ответственное лицо для представления ее интересов в части сбора и защиты персональных данных.

Контроль, в свою очередь, заключается в постоянном мониторинге изменений законодательства и соответствия процессов такому законодательству. Кроме того, нужно постоянно обучать сотрудников, ответственных за работу с данными, новым процессам и процедурам, применяющимся в этой сфере.

Как видим, практическое внедрение GDPR – долгосрочный процесс, требующий постоянного мониторинга и активности. Для понимания практических моментов и нюансов GDPR в Украине рекомендуем зарегистрироваться на курс Digital Law PRO, где будет специальный модуль, посвященный данной теме.

Читайте также: GDPR и таргетированная реклама: где связь?

Pin It on Pinterest