Еженедельная газета «Юридическая практика»
Сегодня 23 февраля 2019 года, 03:37

Генеральный партнер 2018 года

Адвокатское Бюро Гречковского - генеральный партнер газеты Юридическая практика в 2015 году
Еженедельная газета «Юридическая практика»
← Лента новостей

LHS: как компаниям соответствовать требованиям GDPR

Субботнее утро в Legal High School началось с мастер-класса «12 шагов к соответствию требованиям GDPR», который провел Станислав Коваленко, офицер по защите данных авиакомпании «Международные авиалинии Украины».

Cначала спикер рассказал слушателям, что такое GDPR и сфера его действия. General Data Protection Regulation (GDPR) в переводе с английского — Общий регламент о защите данных. GDPR вступил в действие 25 мая 2018 года, заменив Директиву 95/46/ЕС о защите физических лиц применительно к обработке персональных данных и свободном движении таких данных. Предметом регулирования GDPR являются персональные данные, т.е. любая информация, позволяющая идентифицировать физическое лицо (субъект данных). Г-н Коваленко отметил, что к персональным данным относятся как общие, так и специальные персональные данные, а также информация о судимости и уголовных преступлениях или о связанных с этим мерах безопасности. Специальными данными принято считать информацию о расовом и этическом происхождении, политические взгляды, данные о здоровье и другие.

Далее в ходе тренинга эксперт представил к вниманию перечень рекомендуемых мероприятий для соответствия GDPR, среди которых проведение аудита в виде интервью с работниками, задействованными в бизнес-процессах и с участием сотрудника IТ. Также необходимо провести инвентаризацию информационных систем и баз персональных данных, проанализировать интерфейсы IТ и сайта компании, организации.

Г-н Коваленко посоветовал разработать и опубликовать политику конфиденциальности (Privacy Policy) и политику использования файлов cookie (Cookie Policy). Внедрение таких политик необходимо с целью выполнения требований GDPR относительно законности и прозрачности обработки персональных данных.

Важно получить «правильное» согласие на обработку персональных данных. GDPR требует «свободного конкретного информационного и однозначного» пользовательского согласия. Согласно п.171 Преамбулы GDPR нет необходимости в получении нового согласия, если ранее полученное согласие на обработку персональных данных соответствует соответствующим требованиям. По мнению спикера, для того чтобы получить «правильное» согласие на обработку персональных данных, стоит учитывать следующие ключевые моменты: согласие не должно быть предварительным условием получения услуги, за исключением случаев, когда это необходимо для данной услуги. Кроме того, эксперт посоветовал вести записи, чтобы при необходимости продемонстрировать субъекту персональных данных, что он дал согласие, в т.ч. когда и каким образом.

Говоря о принципах GDPR, спикер обратил внимание на то, что существует всего семь основоположных принципов, которые необходимо соблюдать, в их числе — прозрачность и законность обработки данных, наличие целевого назначения сбора таких данных. Собирать и хранить следует только минимальное количество персональных данных, достаточных для указанной цели. Необходимо обеспечить точность персональных данных, возможность их редактирования и удаления, а также их конфиденциальность. И, конечно же, контролер должен быть готовым продемонстрировать соблюдение вышеуказанных принципов. Статьи 13, 14 Регламента GDPR содержат перечень информации, которую необходимо предоставить субъекту данных. Сбор и обработка данных должна сопровождаться приведением всех процессов в соответствие с концепциями privacy by design & by default, что регулируется статьей 25 (1, 2) Регламента.

Одним из таких шагов является создание и обновление (при необходимости) учетных записей об обработке персональных данных. В учетных записях контролера данных и его представителя ЕС необходимо отобразить наименование и контакты контролера, его представителя в ЕС, цель обработки персональных данных, описание категорий субъектов данных, состав обрабатываемых персональных данные и некоторую другую информацию.

В завершение тренинга спикер рассказал о представительстве в ЕС. Компании, организации, не учрежденные в ЕС, на которые распространяется действие Регламента, должны назначить своего представителя в случае, если они обрабатывают персональные данные специальных категорий в больших масштабах, данные о судимости и уголовных преступлениях, если есть вероятность риска для прав и свобод физических лиц. Представителя в ЕС необходимо назначить на основании письменного поручения контролера или действовать от его имени в контексте его обязательств по Регламенту.

 



Присоединяйтесь к обсуждению!

Автор *
E-mail
Текст *
Осталось
из 1000 символов
* - Поля, обязательные для заполнения.

№ 8 (1104) от 19/02/19 Свежий номер

Гражданское право и процесс

№ 8 (1104)
Государство и юристы

Вернуть потраченное

Отрасли практики

Коллективное сознательное

Тема номера:

Первый встречный

Частная практика

Представительский класс

Новый Закон Украины «Об обществах с ограниченной и дополнительной ответственностью»…

качественно и эффективно регулирует отношения участников

реальных проблем не решает

окончательно нивелирует необходимость Хозяйственного кодекса Украины как правового акта

Ваш собственный вариант ответа или комментарий Вы можете дать по электронной почте voxpopuli@pravo.ua.

  • aequo
    Antika
  • АФ «Династия»
"Юридическая практика" в соцсетях
Заказ юридической литературы

ПОДПИСКА