Блог GDPR

Внедрение GDPR для чайников. I часть.

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

В последнее время я получаю кучу вопросов: как внедрить GDPR, нет ли знакомого юриста, который внедрит нам GDPR и т. д.  Ну и радостные кличи- вот мы нашли крутую сертифицированную GDPR адвокатскую контору, которая внедрит нам GDPR за стопятсот миллионов, дорого, но что делать. Ответ на эти вопросы примитивин, внедрять ничего не надо, надо просто привести свои бизнес- процессы в соответсвие с требованиями GDPR. Крутые сертифицированные адвокаты тоже не помогут, потому как не существуют никакого сертифицирующего органа GDPR и, как максимум можно привести компанию в соответсвии с ISO 27001 . И даже, если попадется грамотный юрист и сможет понять, как у вас работает бизнес и  настроить бизнес -процессы в соответствин с требованиями GDPR. Вероятность того, что через некоторое время после его ухода о его рекомендациях забудут или неправильно их поймут, и у вас пойдут нарушения, огромна. 

Что же далать -то?  А все просто, т.к. никто лучше вас  не знает, как все

 у вас в компании устроено, то вам достаточно понять требования GDPR и вуаля. 

Попробуем разобраться пошагово:

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. Т.е. ,нам нужно определиться, работаем ли мы с резидентами ЕС или нет. И, если мы банк, оператор связи, кто -то принимающий к оплате  платежные карты, туристическое агенство, то мы попадаем под GDPR. Если у нас есть сайт, и на нем есть куки, то мы подпадаем под GDPR. Если мы как-то связаны с еврозоной, то мы подпадаем под GDPR.  Итак, если мы не попали под GDPR, то дальше можем не читать, а вот если мы попали под его действие, то план действий такой. 

Итак, нужен нам  DPO (Data Protection Officer) ? Я бы сказал нет, т. к. хотя статья 27 и говорит на в своем первом пункте: что представители контролёров или обработчиков,  не учрежденных в Евросоюзе, должны в форме письменного документа назначить представителя в Евросоюзе.  Второй пункт уже дает нам послабление уточняя:

Обязательство, изложенное в параграфе 1 настоящей Статьи, не применяется:  в отношение: (a) к обработке, которая является единичной, не охватывает в больших масштабах обработку особых категорий данных, согласно Статье 9 (1),»

да для любопытных Статья 9 говорит нам о правилах обработки:

персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения, либо членство в профсоюзе, а также обработка генетических данных, биометрических данных для однозначной идентификации физического лица, данных касающихся здоровья, половой жизни или сексуальной ориентации физического лица».

Ну а что касается «обработки, которая является единичной», я бы отнес к ней все, ибо, что для европейцев большие объемы, для территории России единично. Короче, это понятие субъективное и каждый его понимает как хочет. 

Ура с DPO мы разобрались.  В следующей части определим дальнейшие шаги.

Search