Как хранить данные резидентов ЕС, чтоб избежать штрафа в 20 миллионов евро

В конце мая вступили в силу новые правила обработки и защиты индивидуальных данных резидентов и людей ЕС: GDPR — General Data Protection Regulation. Этот Регламент ЕС обязателен к соблюдению во всех странах, включая Россию. За его нарушение положен штраф. Ольга Сумина, эксперт по вопросам бухгалтерского учета и налогообложения интернет-бухгалтерии «Моё дело», тщательно ведает о том, что необходимо знать русской компании о GDPR, чтоб не попасть под штрафные санкции

Кто в зоне деяния

Сфера деяния новых правил GDPR распространяется на все 28 государств ЕС. Но с учетом того, что регламент GDPR экстерриториальный, его соблюдение непременно для русских компаний, нацеленных на европейский рынок, другими словами для тех, кто работает с гражданами и резидентами Евросоюза либо хранят данные о их. Даже если у вас всего один таковой клиент, требования регламента ЕС 2016/679 соблюдать придётся. Даже самая малая русская компания не может быть на 100 % уверена в том, что у 1-го из субъектов не появится 2-ое гражданство, которое возможно окажется европейским.
А именно, GDPR должны соблюдать:
  • интернет-магазины;
  • туристские компании;
  • интернет-медиа;
  • транспортные компании;
  • технологии коммуникации, соцсети;
  • банки и системы онлайн-платежей.

Что необходимо сделать, чтоб соответствовать правилам GDPR

1. Составить карту индивидуальных данных personal data map. Для этого необходимо найти:
  • категории физических лиц, чьи данные обрабатываются. Такими физлицами будут не только лишь сотрудники, да и, к примеру, учредители, подрядчики, клиенты, доверенные лица;
  • цели сбора, хранения и обработки индивидуальных данных. Если цель поменялась, то продолжать хранить данные нельзя. Данные собираются исключительно в объеме, нужном для заслуги определенных целей, нельзя запрашивать избыточное;
  • предмет индивидуальных данных, который показывает на конкретное физическое лицо. К примеру, такими данными, кроме имени, паспортных и контактных данных, могут быть ИНН, внутренние ID, cookies-метки;
  • срок и порядок хранения. Малые сроки хранения тех либо других данных прописаны в законодательстве;
  • метод утилизации после истечения срока хранения: удаление либо анонимизация. При удалении данных просто обосновать, что данные не обрабатываются. При анонимизации придется обосновывать, что индивидуальные данные были изменены безвозвратным методом.
2. Произвести маппирование (data mapping) в информационных системах, чтоб осознавать, где и какие индивидуальные данные находятся. Маппировать необходимо как электрические документы, так и документы на картонном носителе.
Что еще кроме сбора и хранения должен делать бизнесмен
  • проводить мониторинг поведения субъекта данных и его профилирование на анализе личных предпочтений;
  • обеспечить безопасность хранения, а в случае утечки инфы либо несанкционированного доступа, сказать об этом в течение 72 часов регулятору страны субъекта данных либо самому субъекту.
Перенастройка информационных систем нередко растягивается на долгое время и стоит недешево. Но еще дороже штраф за нарушение регламента GDPR, который может достигать 20 миллионов евро либо 4 % годичного оборота компании.

Можно ли исполнять регламент GDPR без согласия юзера?

Нет, нельзя. Для сбора, обработки и хранения данных нужно согласие юзера. Оно должно быть выражено в форме утверждения либо активных действий. Согласие будет недействительным, если у юзера не было выбора: давать либо не давать его. К тому же юзер в хоть какой момент может отозвать свое согласие. Налицо очевидный конфликт с законом Яровой, согласно которому все «следы» юзера в телекоммуникации, вебе сохраняются полгода.
Ну и в итоге мантра: «Я не буду держать в голове ничьих имен, лиц либо индивидуальных данных до очевидного согласия последних».
В избранное
Подписывайтесь на наш Дзен-канал: zen.yandex.ru/delovoymir.biz

Поделиться
0
Поделиться