Майже 2 роки діє General Data Protection Regulation (далі – GDPR), впровадивши новий підхід до роботи з персональними даними резидентів Європейського Союзу. Частина українських компаній повільно, можливо, не повністю, але перевела свою діяльність відповідно до нових вимог. Основна ж частина все ще не замислюється над цим, оскільки саме в Україні ще не було випадків накладення санкцій.

Проте ми не припиняємо нагадувати про необхідність коригування своєї діяльності в бік відповідності GDPR. Чому це стосується український бізнес? Бо майже всі компанії, діяльність яких хоча б частково відбувається в digital-сфері (так-так, це і сайт, і акаунти компанії в соціальних мережах) не застраховані від того, що на їх цифровий ресурс завітає громадянин ЄС. І правила роботи з персональними даними розпочнуть свою дію, бо залежать вони, як ми знаємо, не від резидентності компанії, а від резидентності користувача.

GDPR

Тож давайте пригадаємо, які кроки треба вчинити для дотримання правил GDPR.

1. Впровадити систему захисту даних ще до початку роботи з ними.

В цей пункт входить впровадження зрозумілого, викладеного простою мовою порядку обробки даних та зрозумілий механізм отримання згоди на таку обробку. При чому до надання згоди користувач має ознайомитися з політикою конфіденційності і чітко розуміти, на що він погоджується, які його дані збираються і для чого використовуватимуться. Дані згоди, отримані у вигляді активної дії користувача (а не зібрані за замовчуванням) суб’єкт господарювання має в разу необхідності продемонструвати контролюючому органу. Порядок роботи з даними має включати в себе і механізм збору, і механізм видалення даних на вимогу користувача.

2. Привести внутрішню документацію у відповідність до вимог GDPR.

Для цього переглядаються Privacy Policy, правила користування сайтом та ін. В усіх документах має бути прописано порядок роботи з даними і призначено відповідальну особу. Є сенс підписати договори про нерозголошення з особами, які мають доступ до персональних даних. В Privacy Policy має бути вказано, хто є контролером інформації, в яких обсягах і які саме дані збираються, для чого використовуються.

І хоча це не складно на перший погляд, обсяг інформації та документації, який необхідно обробити, достатньо значний. Але пам’ятайте, що не варто копіювати такі документи з відкритих джерел, вони мають бути адаптованими саме під вашу господарську діяльність.

Більше інформації про особливості впровадження вимог GDPR в Україні ви зможете дізнатись на нашому новому курсі GDPR та захист персональних даних. Переходьте за посиланням, реєструйтеся, та дізнавайтесь програму та спікерів курсу

Читайте також: Дайджест юриста #46: все, що ви могли пропустити за тиждень

Pin It on Pinterest