GDPR: полное руководство по требованиям и документации для защиты персональных данных

EU GDPR (General Data Protection Regulation) — это Общий регламент по защите данных Европейского Союза, вступивший в силу в 2018 году.

Основные положения GDPR:

1. Защита персональных данных – регулирует сбор, хранение и обработку данных граждан ЕС.
2. Права субъектов данных – включает право на доступ, исправление, удаление данных («право на забвение») и перенос данных.
3. Согласие на обработку – должно быть добровольным, явным и легко отзываемым.
4. Обязанности организаций – требуют прозрачности, минимизации данных, защиты от утечек и назначения DPO (Data Protection Officer) при необходимости.
5. Штрафы за нарушения – до €20 млн или 4% от глобального оборота компании.

GDPR применяется ко всем компаниям, обрабатывающим данные граждан ЕС, даже если они находятся за пределами ЕС.

Основные требования чек-листа обязательной документации по EU GDPR включают:

1. Обязательные документы и записи:
   • Политика защиты персональных данных (Статья 24(2)): Демонстрирует приверженность компании соблюдению GDPR.
   • Уведомление о конфиденциальности (Статьи 12, 13, 14): Информирует субъектов данных об обработке их персональных данных.
   • Политика конфиденциальности для веб-сайта (Статьи 12, 13): Описывает обработку данных на веб-сайте.
   • Политика хранения данных (Статьи 5(1)(e), 13(1), 17, 30): Устанавливает правила хранения персональных данных.
   • График хранения данных (Статья 30): Определяет сроки хранения данных.
   • Описание должности DPO (Статьи 37, 38, 39): Обязательно при определенных условиях (например, крупномасштабная обработка данных).
   • Политика использования cookie (Статьи 12, 13): Информирует о файлах cookie на веб-сайте.
   • Реестр обработки данных (Статья 30): Обязателен для компаний с более чем 250 сотрудниками или при определенных рисках.
   • Формы согласия и отзыва согласия (Статьи 6(1)(a), 7, 9(2)): Должны быть простыми и доступными.
   • Реестр DPIA (Статья 35): Требуется для обработки с высоким риском для прав субъектов данных.
   • Стандартные договорные условия (Статья 46(5)): Используются для передачи данных за пределы ЕЭЗ.
   • Соглашение об обработке данных с поставщиками (Статьи 28, 32, 82): Регулирует отношения между контроллерами и обработчиками.
   • Процедура реагирования на утечки данных (Статьи 4(12), 33, 34): Документирует действия при утечках.
   • Реестр утечек данных (Статья 33(5)): Фиксирует все инциденты.
   • Формы уведомлений об утечках (Статьи 33, 34): Для информирования надзорных органов и субъектов данных.
2. Условия обязательности:
   • Назначение DPO обязательно для государственных органов, компаний с крупномасштабной обработкой данных или обработкой специальных категорий данных.
   • Реестр обработки данных обязателен для компаний с более чем 250 сотрудниками или при определенных рисках.
3. Рекомендуемые (необязательные) документы:
   • Включают политики безопасности, процедуры запросов субъектов данных, планы аварийного восстановления и другие инструменты для обеспечения соответствия GDPR.
4. Ключевые принципы:
   • Прозрачность: Информирование субъектов данных об обработке.
   • Подотчетность: Демонстрация соответствия требованиям GDPR.
   • Минимизация данных: Хранение только необходимых данных.
   • Безопасность: Защита данных от утечек и несанкционированного доступа.

Чек-лист помогает организациям систематизировать документацию и обеспечить соответствие требованиям GDPR.