Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
ООО "ЛИГА ЗАКОН"
Что такое GDPR и как быть украинским Saas-компаниям

GDPR (General data protection regulation) – это Общий регламент защиты данных (далее – Регламент), который с 25 мая 2018 года будет регулировать сбор, унификацию и использование персональных данных в странах ЕС. Действие данного Регламента будет распространяться и на компании за пределами ЕС, поэтому предприятия, осуществляющие деятельность на территории Евросоюза или в процессе своей деятельности собирающие данные граждан ЕС, должны отвечать требованиям GDPR.

Соблюдение указанных правил имеет большое значение, в частности, для Saas-компаний, работающих с данными клиентов со всего мира. За нарушение Регламента компании придется заплатить до 20 млн евро или 4 % годового дохода.

К новым правилам готовы не все

GDPR регулирует работу с личными данными, хранящимися как на электронных носителях информации, так и в другом виде. Согласно нормам Регламента персональные данные – это все данные, касающиеся конкретного лица, по которым оно может быть идентифицировано (имя, IP, адрес электронной почты и т. п.).

Введение Регламента в действие создает очень неприятную ситуацию для компаний – ни у кого не имеется опыта внедрения его правил и норм. Крупные фирмы будут вынуждены нанимать команды юристов, а остальным придется тщательно изучать опыт и надеяться, что проверка соблюдения требований GDPR их обойдет.

Европейцы получат право не только на защиту данных, но и на работу с ними

Нормами GDPR предусматривается, что собирать персональную информацию можно лишь в случае, если пользователь дал явное и обоснованное согласие на это. Пользователю также должен быть предоставлен доступ к его персональных данных, которые он может удалить или получить в машиночитанном формате для передачи третьей стороне, например, в целях пересылки информации медицинской карты из одной больницы в другую.

Регламент делит всех, кто работает с данными, на контролеров, собирающих данные, и тех, кто эти данные обрабатывает. Saas-компании в осносном только обрабатывают информацию, но также обладают и некоторыми функциями контролера (например, собирают данные, регистрируя пользователей). Согласно GDPR, компаниям разрешается собирать и сохранять данные, являющиеся ключевыми для бизнеса, после рассмотрения интересов вовлеченных лиц.

Что делать, чтобы стать GDPR-совместимым?

1. Проинформируйте всех работников о нормах GDPR.

2. Работайте с информацией, имеющейся у вас, – пересмотрите потоки данных. Не стоит собирать ненужные данные, а устаревшую информацию лучше удалить. Ваши контрагенты также должны быть готовы к введению GDPR и отвечать положениям этого Регламента.

3. Обновите политику конфиденциальности – лучше, чтобы она была простой и понятной.

4. Убедитесь, что вы предоставляете возможность просматривать, менять и удалять данные. Когда пользователи удаляют свои данные, они также должны быть удалены у всех, кому вы их передавали или кто имел к ним доступ.

5. Выберите процедуру, в соответствии с которой компания будет реагировать на запросы пользователей по вопросам персональных данных.

6. Обоснуйте свою позицию относительно персональных данных: в политике конфиденциальности должно быть указано, какие данные собираются и для чего.

7. Вы должны получать от других четкое согласие на сбор информации. Фиксируйте, когда и при каких условиях это согласие было получено.

8. Запретите пользоваться своим сервисом детям из ЕС возрастом до 16 лет.

9. Определите процедуру, согласно которой информация о нарушении будет передана пользователям и соответствующим агентствам ЕС.

10. Защищайте данные от похищения.

11. Назначьте сотрудника, который будет заниматься защитой данных, предотвращая конфликты интересов.

12. Побеспокойтесь о потенциальной необходимости отвечать на запросы пользователей всеми официальными языками ЕС.

Пока вы обдумываете шаги на пути к GDPR-совместимости, можете разместить информацию на сайте о том, что ваша компания готовится или уже готова к нормам Общего регламента защиты данных, ведь до введения его в действие осталось менее трех месяцев.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание Вестник МСФО
Контакты редакции:
ifrs@ligazakon.ua
 
Данный функционал доступен подписчикам в электронном издании.
Если Вы еще не выписываете издание, закажите бесплатный доступ к демо-номеру
или подпишитесь на издание Вестник МСФО