В этой статье я расскажу о том, что же нужно предпринимать собственнику бизнеса при введении в действие GDPR. Стоит ли бояться? Что такое такое GDPR в принципе?
В этой статье я расскажу о том, что же нужно предпринимать собственнику бизнеса при введении в действие GDPR. Стоит ли бояться? На самом деле самым страшным в этой теме является только то, как ее преподносят.
Что такое такое GDPR в принципе? Это Общий регламент ЕС по защите персональных данных (General Data Protection Regulation), который вступил в действие 25 мая 2018 года, заменив Директиву 95/46/ЄС по защите персональных данных, которая действовала с 1995 г., при этом значительно дополнив требования к учету персональных данных и расширил границы ответственности компаний, которые в своей работе имеют дело с персональными данными своих клиентов.
Как становится понятно из определения GDPR, его предметом регулирования являются персональные данные физических лиц. К таким данным относятся любые данные, которые могут способствовать определить такое физическое лицо прямо или косвенно.
Эти данные, помимо имени физического лица, почтового адреса, идентификационных данных, могут также включать в себя данные о его местоположении и другие факторы характерные для любого вида идентичности данного лица.
Следует подчеркнуть, что персональные данные могут быть только у физических лиц. То есть, особое внимание вопросу применения GDPR следует уделить тем, собственникам бизнеса, компании которых работают с конечными потребителями физическими лицами. Однако собственникам.
Несмотря на то, что регламент по защите персональных данных является документом Европейского союза, следует отметить, что документ имеет экстерриториальный принцип действия. Это значит, что в некоторых случаях его действия распространяется и на компании, которые не являются резидентами стран Евросоюза.
Несколько случаев прямо определено в самом GDPR. Это случаи, когда компания поставляет товары, работы или же предоставляет услуги на территории ЕС или для граждан ЕС, а также когда компания проводит мониторинг поведения субъектов данных, если такое поведение происходит на территории ЕС.
Под мониторингом имеется в виду отслеживание действий физического лица - резидента ЕС в сети интернет, проведение профилирования пользователей с помощью сбора персональных данных, анализ их поведения или оценка их реакций на что-либо. Обычно такие действия проводятся компаниями с целью анализа личных предпочтений пользователей в отдельности или пользовательских групп для дальнейшего прогнозирования их действий.
Данный пункт особенно важен для компаний, которые занимаются маркетингом или продвижением товаров и услуг, позиционированием бренда, проведением социологических опросов и т.д. для рынка ЕС.
Однако, следует обратить внимание, что даже если компания не ставит своей целью при проведении мониторинга получить данные граждан ЕС, но технически такая возможность присутствует, то компания находится в зоне риска применения GDPR.
Еще одним случаем, сформулированным из практики применения регламента является случай, когда компания имеет доступ к персональным данным субъектов из ЕС. Это может быть в случае трудоустройства гражданина ЕС на должность в компанию или же привлечение фрилансера из ЕС для выполнения каких-либо работ или услуг.
Многие компании при проведении аудита деятельности с целью определить распространяется ли на их деятельность GDPR считают, что если их компания не зарегистрирована на территории ЕС и не ведет свою деятельность в ЕС, то требования GDPR не распространяются на них.
Аудит на предмет применения требований GDPR не должен ограничиваться только вопросами регистрации компании и территориальностью ее деятельности. Во время аудита следует обратить внимание на ведение деятельности в странах, где имплементировано законодательство ЕС. Если страна не входит в ЕС, но обязалась в международных договорах следовать нормам права ЕС, то требования GDPR будут применимы в таких странах.
Далее, следует обращать внимание на целевую аудиторию компании. Присутствуют ли среди клиентов компании граждане ЕС, предлагает ли компания таким гражданам свои услуги, собирает ли компания персональные данные таких граждан.
На практике сбор персональных данных граждан ЕС возможен через специальные куки, которые размещаются на сайтах с целью сбора информации о посетителях. И если, к примеру сайт имеет англоязычную версию, то вполне реально, что при просмотре результатов поиска по какому-либо поисковому запросу гражданин ЕС может попасть на сайт компании.
А это уже говорит о том, что компания обязана соблюдать требования GDPR.
Однозначно утверждать о том, что для компании вопрос применения GDPR является неактуальным можно только в случае, если технически исключена возможность случайной обработки персональных данных граждан ЕС.
К таким техническим возможностям относятся блокировки посещений сайтов по геолокации, ограничения в сборе данных при первичном посещении сайта и прочее.
Комплексный аудит компании для определения необходимости применения GDPR включает в себя идентификацию имеющихся персональных данных, анализ бизнес процессов, которые касаются обработки персональных данных (в частности путем проведения опросов ключевых сотрудников и отделов), инвентаризацию информационных систем и баз персональных данных, проверку договорных обязательств по обработке персональных данных с партнерами и контрагентами.
Проведение аудита деятельности компании позволит предотвратить нежелательные последствия для компании, которые могут возникнуть вследствие целенаправленной или случайной обработки данных своих клиентов.
