Как белорусским компаниям применять новое руководство по GDPR |
С 25 мая 2018 г. вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Все компании, которые обрабатывают (как внутри, так и за пределами ЕС) персональные данные граждан европейских стран, обязаны соблюдать требования этого документа.
С учетом того, что новые правила GDPR носят экстерриториальный характер, их соблюдение будет обязательным и для белорусских компаний, имеющих контакты с ЕС.
Новый GDPR вносит ряд изменений в правила, регулирующие защиту персональных данных, включая некоторые обязанности:
- учитывать правила защиты персональных данных на этапе планирования (например, ИТ-решений);
- документировать процессы обработки персональных данных;
- проводить оценку рисков, связанных с обеспечением неприкосновенности частной жизни;
- уведомлять надзорные органы в области защиты персональных данных об инцидентах, связанных с обеспечением безопасности персональных данных.
Европейские регуляторы представили собственный «контрольный список» действий, которые необходимо предпринять абсолютно всем:
- Назначить руководителя для присмотра за процессом. Поскольку это теперь проблема не только IT-департамента, надо назначать на эту должность руководителя высшего звена вплоть до директора.
- Пересмотреть действующую систему информационной и кибербезопасности, внести изменения в случае необходимости. Необязательно, что это потребует очень высоких затрат — главное, чтобы все было актуальным и соответствовало сложности вашей организационной структуры.
- Систематизировать данные. Это первое, что необходимо сделать перед оценкой, ведь это позволит вам узнать, какими данными вы вообще владеете, и что следует делать дальше.
- Пересмотреть контракты с клиентами, поставщиками и сотрудниками. Необходимо и здесь обеспечить комплайенс, четко понимать ваш статус и обязательства в отношении корпоративных данных и данных по вашим клиентам.
- Политика и процедуры в отношении защиты данных. GDPR вводит новый принцип «подотчетости», который означает, что всем организациям придется не просто обеспечить собственный комплайенс, но и продемонстрировать его.
- Обучение персонала. Не только ответственные лица должны досконально изучить требования Регламента, но и вообще все ваши сотрудники обязаны хотя бы просто понимать, что защита данных теперь касается всех и каждого.
<...>
Войдите в систему или
зарегистрируйтесь
Уже зарегистрированы? Тогда
авторизируйтесь!
Поделиться в соцсетях:
Читайте нас в Телеграм