Практические Рекомендации по выполнению Регламента № 2016/679 "О защите физических лиц при обработке персональных данных и о свободном обращении таких данных" |
В 2019 году заканчивается переходный период, в течение которого контролирующие органы стран ЕС выполняли роль консультанта, а предприятия должны были сделать все необходимое для выполнения директивы о GDPR. Например, В Латвии уже начато более 30 дел об административном нарушении за несоблюдение директивы ЕС о GDPR и, как показал опрос, полное юридическое соблюдение требований директивы ЕС обеспечили пока всего 39,3% опрошенных предприятий, а 60,7% латвийских предприятий подвержены риску получения штрафа за несоблюдение директивы.
Предприниматели все еще ошибочно считают, что директива касается только крупных предприятий с большим числом работников или хранящих большие базы данных клиентов. Однако директива распространяется на все предприятия, даже такие, где работают всего несколько человек, и деятельность которых не связана с хранением большого объема информации.
Ассоциация белорусских банков совместно с европейскими экспертами подготовила Рекомендации для банков по соблюдению требований GDPR
Рекомендации для банков по выполнению требований Регламента № 2016/679 Европейского Парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)», Брюссель, 27.04.2016 (далее – Регламент)
1. Провести анализ локальных нормативных правовых актов банка на соответствие нормам Регламента
Такой анализ необходим, прежде всего, для того, чтобы установить, в каких процессах возможны нарушения по защите персональных данных в результате отсутствия соответствующих требований в ЛПНА. Кроме того, закрепление во внутренних документах, регламентирующих порядок работы, мер по исполнению норм Регламента будет являться положительным аргументом при проведении процедуры доказательства их реализации. В этой связи целесообразным является также выполнение второго пункта Рекомендаций.
2. Разработать внутренний Регламент по защите персональных данных
Его разработка будет способствовать адаптации действующих положений по защите и обработке персональных данных к требованиям Регламента с учетом специфики деятельности банка.
3. Назначить ответственное лицо по защите персональных данных
Назначение специалиста по защите данных (Data Privacy Officer) с точно определенными задачами и полномочиями повысит эффективность выполнения подразделениями банка требований по их защите. Следует провести обучение данного специалиста(-ов). Он(-и) должен(-ы) разбираться в законодательной базе и быть способным(-и) работать с обращениями граждан и надзорными органами. Также стоит учесть, что согласно Регламенту организация должна опубликовать информацию о таком сотруднике и направить ее национальному регулятору по защите персональных данных соответствующей страны Европейского Союза.
4. Провести полную инвентаризацию (учет) персональных данныхклиентов – граждан ЕС, которыми располагает банк
Проведение инвентаризации поможет определить масштаб дальнейших работ, необходимых для выполнения требований Регламента на практике. Для этого требуется создать реестр всех персональных данных европейских граждан, хранимых в настоящий момент, и поддерживать его в актуальном состоянии. В реестре укажите формат персональных данных граждан ЕС (бумажный или электронный носитель), дату и источник их получения, цель сбора/хранения и период, их значимость и т.д.
5. Провести инвентаризацию процессов, в ходе которых банк получает персональные данные граждан ЕС, и оценить данные процессы
Составьте перечень бизнес-процессов, в рамках которых происходит сбор персональных данных. Выявите процессы обработки данных, представляющих высокий риск в отношении прав и свобод их субъектов, а также трансграничные потоки персональных данных и данных, обрабатываемых с привлечением сторонних организаций.
6. Выполнить проверку процессов обработки персональных данных и набора получаемых данных с точки зрения соблюдения принципов их обработки согласно Регламенту
Принципами обработки персональных данных в соответствии с Регламентом являются:
Подробнее читайте в статье.
<...>