Основная ошибка при внедрении GDPR — это рассчитывать на силы и ресурсы только одного человека. Распространенная практика — ожидать от юриста самостоятельной работы по Регламенту. В такой ситуации, если он не будет обладать достаточно серьезным весом в организации и не сможет убедить коллег в необходимости общей слаженной работы, то все сведется к подготовке бесполезных шаблонов документов, которые не будут защищать компанию.
Еще хуже, если это будет даже не юрист. Отдав GDPR-вопросы копирайтеру или маркетологу, вы можете получить шаблонную политику приватности (политику конфиденциальности) у себя на сайте. Вы же помните, почему это плохо? В такой политике ваши пользователи не увидят, зачем при подписке на email-рассылку вы взяли их номера телефонов. А потом будут удивлены, получив звонок с предложением товара или услуги. Итог: двойная жалоба за прямой маркетинг и политику приватности.
Мораль: соблюдение требований GDPR — это командная работа. Отдел compliance, юристы, отдел информационной безопасности или IT-инфраструктуры, маркетинг и продажи, HR-отдел (если есть сотрудники в Европейском союзе), производственные и функциональные отделы — dream team при внедрении Регламента.
Узкая фокусировка на новшествах в ущерб рассмотрению GDPR в целом — частая ошибка. Начиная составлять политику приватности или оформлять согласие на обработку персональных данных, компании часто забывают о правилах, что существуют уже десятилетиями. Правилах, которые перекочевали из старой Директивы 95/46/ЕС в GDPR. Если вы читали лишь краткие обзорные публикации о новшествах GDPR, то о таких правилах вы, скорее всего, не знаете. Между тем, GDPR не отменяет правила Директивы, о чем прямо говорит в 94-й статье и 171-й преамбуле. Штрафы за невыполнение тех или иных правил одинаково велики.
И делайте это повсеместно. GDPR перевел защиту персональных данных с рельсов чек-листов на пути оценки рисков. На основе анализа рисков вам необходимо самостоятельно разработать документы и определить, какие меры следует принимать. Вместе с тем, Регламент не расписывает результат, к которому вас приведет оценка рисков. Есть вероятность, что успешные и эффективные в одной компании меры будут неактуальны для другой. Только исходя из уровня рисков и характеристик конкретной угрозы вы сможете подобрать меры для своей компании.
Так, например, для вашей компании не актуален риск передачи конкуренту базы персональных данных подкупленным сотрудником. При этом вполне вероятно, что компания-подрядчик, обрабатывающая данные, допустит нарушение с негативными последствиями по отношению к тем, кто эти данные доверил. Ваша задача — проследить выполнение GDPR подрядчиками, которых вы привлекли к обработке персональных данных. Об этом вы могли и не услышать от приятеля из другой компании (хорошо, что можно услышать от нас).
GDPR не реализовать в одиночку
Еще хуже, если это будет даже не юрист. Отдав GDPR-вопросы копирайтеру или маркетологу, вы можете получить шаблонную политику приватности (политику конфиденциальности) у себя на сайте. Вы же помните, почему это плохо? В такой политике ваши пользователи не увидят, зачем при подписке на email-рассылку вы взяли их номера телефонов. А потом будут удивлены, получив звонок с предложением товара или услуги. Итог: двойная жалоба за прямой маркетинг и политику приватности.
Мораль: соблюдение требований GDPR — это командная работа. Отдел compliance, юристы, отдел информационной безопасности или IT-инфраструктуры, маркетинг и продажи, HR-отдел (если есть сотрудники в Европейском союзе), производственные и функциональные отделы — dream team при внедрении Регламента.
Изучайте требования комплексно
Узкая фокусировка на новшествах в ущерб рассмотрению GDPR в целом — частая ошибка. Начиная составлять политику приватности или оформлять согласие на обработку персональных данных, компании часто забывают о правилах, что существуют уже десятилетиями. Правилах, которые перекочевали из старой Директивы 95/46/ЕС в GDPR. Если вы читали лишь краткие обзорные публикации о новшествах GDPR, то о таких правилах вы, скорее всего, не знаете. Между тем, GDPR не отменяет правила Директивы, о чем прямо говорит в 94-й статье и 171-й преамбуле. Штрафы за невыполнение тех или иных правил одинаково велики.
Оценивайте риски
И делайте это повсеместно. GDPR перевел защиту персональных данных с рельсов чек-листов на пути оценки рисков. На основе анализа рисков вам необходимо самостоятельно разработать документы и определить, какие меры следует принимать. Вместе с тем, Регламент не расписывает результат, к которому вас приведет оценка рисков. Есть вероятность, что успешные и эффективные в одной компании меры будут неактуальны для другой. Только исходя из уровня рисков и характеристик конкретной угрозы вы сможете подобрать меры для своей компании.
Так, например, для вашей компании не актуален риск передачи конкуренту базы персональных данных подкупленным сотрудником. При этом вполне вероятно, что компания-подрядчик, обрабатывающая данные, допустит нарушение с негативными последствиями по отношению к тем, кто эти данные доверил. Ваша задача — проследить выполнение GDPR подрядчиками, которых вы привлекли к обработке персональных данных. Об этом вы могли и не услышать от приятеля из другой компании (хорошо, что можно услышать от нас).
site6893
какая-то очень слабенькая статья.