Ще 3 факти про GDPR, які ви маєте знати

10 лип. 2018


У травні набув чинності Загальний регламент захисту даних Європейського союзу (GDPR). Ми вже писали про те, що це означає для українських компаній. Якщо ви хочете працювати на європейському ринку і хоч якось пов'язані зі збором і зберіганням даних громадян ЄС, то маєте відповідати всім вимогам нового регламенту.


Основна увага приділяється особистим даним або даним про фізичних осіб, і це стосується будь-яких трейдерів, партнерств, корпорацій, агентств або інших органів, що обробляють особисті дані осіб, які базуються в ЄС. Сюди входять і постачальники та інші треті сторони, яких компанія може використовувати для обробки особистих даних від свого імені.


Компанії в усіх галузях працюють з персональними даними, такими як контактна інформація, дані банківського рахунку та номери страхування. Вони належать клієнтам, постачальникам, субпідрядникам та співробітникам, і всі повинні бути захищеними відповідно до нової постанови.


Давайте розглянемо три приклади того, як GDPR може вплинути на роботу компаній.

Які обмеження накладає GDPR на міжнародні перекази?

Відповідність нормативним вимогам може розглядатися багатьма як адміністративний тягар. Проте ігнорування GDPR або його неправильне тлумачення можуть мати неабиякі наслідки.


Серйозним порушенням GDPR є недотримання вимог до міжнародних переказів — якщо дані передаються в країну за межами ЄС, що, як вважається, не має адекватних рівнів безпеки. Саме це може призвести до дійсно великих штрафів в рамках GDPR.


На момент написання статті, на думку Європейської комісії, адекватний захист забезпечують:

  • американські компанії, які сертифіковані відповідно до законодавства ЄС про конфіденційність (в той же час це не означає, що США як країна забезпечує належний захист);
  • Андорра;
  • Аргентина;
  • Канада (обмежена PIPEDA);
  • Фарерські острови;
  • острів Гернсі;
  • Ізраїль;
  • острів Мен;
  • острів Джерсі;
  • Нова Зеландія;
  • Швейцарія;
  • Уругвай.

У випадку з іншими країнами передача може здійснюватись тільки за обмежених обставин:

  • на основі згоди;
  • при використанні стандартних договірних положень, опублікованих Європейською комісією;
  • при використанні обов'язкових корпоративних правил в разі міжфірмових перекладів.

Чи потрібен вашій компанії працівник із захисту даних?

Наглядовий орган може накласти штраф у розмірі до 4% річного глобального обігу або 20 млн євро — в залежності від того, що більше. Однак це дворівнева система.


Нижній рівень становить до 2% річних загального обігу або 10 млн євро — в залежності від того, що більше. Нижній рівень призначений для порушень, які не вважаються значними. Наприклад, коли в компанії не призначений працівник із захисту даних (DPO — Data Protection Officer), тоді як це обов'язково.


Відповідно до GDPR, компанії і будь-які треті сторони, які обробляють особисті дані від їхнього імені, повинні призначити DPO, якщо:

  • основні види діяльності бізнесу або третіх сторін включають в себе ​великомасштабний моніторинг людей;
  • основні види діяльності стосуються обробки в широких масштабах спеціальних категорій персональних даних, в тому числі дані, що належать до кримінальних обвинувальних вироків і правопорушень.

DPO повинен володіти експертними знаннями в області захисту даних, хоча він не обов'язково має бути при цьому співробітником компанії. Це може бути найманий за контрактом фахівець. Детальна інформація про DPO повинна повідомлятись наглядовому органу, як, наприклад, ICO у Великій Британії.


Завданням DPO є інформування компанії та її співробітників про їхні зобов'язання по GDPR. Він також має стежити за дотриманням вимог GDPR (і будь-яких інших законів або вимог захисту даних).


Це може містити управління оцінкою захисту даних, проведення внутрішніх аудитів та організацію навчання персоналу. DPO також буде першою контактною особою для запитів, пов'язаних із захистом даних від наглядових органів, таких як ICO, і контактною особою для будь-яких людей, дані яких обробляються компанією, в тому числі клієнтів і співробітників.

Чи може GDPR вплинути на якість ваших послуг?

GDPR можна використовувати для поліпшення якості даних, наприклад, за допомогою централізованого сховища даних, де дані дедуплікуються і очищаються. Варто задуматися і про аналітику отриманих даних, створення більш точної та збагаченої бази даних клієнтів, яку можна використовувати для прийняття правильних рішень.


Більшість людей не будуть негайно вимагати, щоб їхні дані видалили. Якщо ви надаєте хороший сервіс, багато хто надасть вашому бізнесу можливість використовувати персональні дані. Адже це дозволяє вам краще зрозуміти запит і адаптувати послуги до того, що потрібно клієнтам. Вони будуть раді, якщо ви зможете своєчасно запропонувати їм те, чого вони потребують. І це буде можливим саме завдяки вашому розумінню і грамотному управлінню персональними даними.


via



 


Пов'язані новини



Подпишитесь на наши публикации
И еженедельно получайте идеи для развития Вашего бизнеса


« назад