29 ноября государственный секретарь Министерства юстиции Райвис Кронбергс участвовал в организованном Латвийской торговой и промышленной камерой (LTRK) и предприятием информационных технологий “Squalio” семинаре «Как малому бизнесу подготовиться к регуле защиты данных лиц», чтобы наметить значение Общей регулы защиты данных (далее – Регула) и рассказать об изменениях за последние 20 лет в области защиты данных физических лиц.
Государственный секретарь Министерства юстиции Райвис Кронбергс отмечает: «После вступления в силу Регулы в 2016 году у каждой организации было 2 года, чтобы внутри предприятия произвести критический пересмотр обработки данных лица и устранить констатированные несоответствия. На данный момент у предпринимателей еще 6 месяцев, чтобы завершить эту работу. Я абсолютно уверен, что, выполнив соответствующие предварительные работы и при соблюдении ниже упомянутых рекомендаций, любое предприятие, организация или учреждение могут достаточно хорошо подготовиться к внедрению новой Регулы. Важно упомянуть также, что позиция соответствующих учреждений, Министерства юстиции и Государственной инспекции данных, по этому вопросу – сначала консультировать и только потом наказывать, но к вопросу нужно подойти с ответственностью, поэтому призываю предприятия по возможности быстрее оценить, осуществляемая ими обработка данных соответствует правилам Регулы».
Обучение работников – в большинстве случаев в Латвии не хватает понимания в том, что такое личные данные, какие основные принципы защиты личных данных. Эти вопросы Регула значительно не меняет. Вместе с тем, перед тем, как начать подготовку к исполнению требований Регулы, нужно провести обучение для работников – и тех, рабочие обязанности которых уже сейчас связаны с использованием личных данных, и тех, кто будет вовлечен во внедрение Регулы.
Понимание сложившейся ситуации, снижение объема данных – после того, когда вовлеченным в процесс станет ясно, какой порядок выполнения действий устанавливает Регула, необходимо изучить все потоки данных. Необходимо идентифицировать, от каких лиц, какие данные и для какой цели получают их, а также какие данные, для каких лиц и с какой целью передаются. Это предпосылка, чтобы понять, какие анкеты, договоры, формы заявлений нужно менять. Это позволит также сделать вывод, обрабатываются ли личные данные, которые не нужны или больше не нужны для достижения правовой цели. Например, работодателю не нужно от работника получать адрес задекларированного и фактического места жительства. Вместе с тем эти лишние личные данные нужно будет удалять, таким образом снижая объем защищаемых личных данных.
Нужно менять анкеты, формы заявлений, значки о видеонаблюдении – Регула предусматривает более строгие требования к согласию как основанию с обработкой личных данных. Вместе с тем изменения нужно будет внести в различные формы заявлений, например, в анкеты, которые используются для получения карты клиента, в анкетах, которыми лицо выражает согласие участвовать с изучении клиентов или получать рекламу.
Изменения в договорах с поставщиками услуг и проверка предоставляемых ими гарантий – чтобы выполнить требования Регулы, нужно будет менять также договоры, которые заключаются с поставщиками внешних услуг, если эти услуги включают обработку данных, так как Регула устанавливает содержание этого договора. Например, если используются услуги сервера другого предприятия, другое предприятие выполняет расчет зарплаты работников вашего предприятия, подготавливает и рассылает вашим клиентам счета или выполняет уничтожение документов вашего предприятия, то эти договоры нужно будет дополнить установленным в Регуле содержанием.
Защитные мероприятия должны соответствовать рискам – Регула предусматривает, что технические и организаторские мероприятия и процедуры защиты данных нужно внедрять в соответствии с возможными рисками в области прав и свобод физических лиц, и их степенью. Вместе с тем после изучения потока данных нужно оценить риски (риски разной степени тяжести), которые создает обработка данных. Особое внимание нужно обращать на уничтожение, утрату, преобразование, неразрешенное разглашение случайно или незаконно отправленных, хранящихся или иначе обработанных личных данных или на доступ к ним. Нужно осознать вероятность наступления риска, виды и размеры негативных последствий, и необходимо обеспечить их управление.
Организация внедрения Регулы – принимая во внимание то, что внедрение новых требований – это трудоемкий и ответственный процесс, предприятия и учреждения уже сейчас должны назначить ответственных за внедрение Регулы работников. Целесообразнее всего создать группу работников разных компетенций, объединив в ней юристов и IT специалистов, специалистов управления персоналом и работников с опытом оценки риска и управления проектами. Также целесообразно оценить привлечение компетентных специалистов со стороны, которые быстро и, возможно, намного эффективнее могут помочь в подготовке к исполнению новых требований.
Дополнительная информация:
25 мая 2018 года будет начато применение Регулы, которая предусматривает единое регулирование по всей территории ЕС. Уже сейчас действует Директива 95/46, которая в каждой стране введена национальными правовыми актами, то Регула является непосредственно применяемой, и она имеет ту же самую силу, как любой другой латвийский закон. Правила Регулы применяются к государственному и частному сектору.
Требования защиты данных существуют в латвийском регулировании уже сейчас. С 2000 года действует Закон о защите данных физических лиц, который устанавливает обязанности для управляющих (организации, которые обрабатывают, (т.е., собирают, хранят, используют, передают, обмениваются) личные данные (имя, фамилия, адрес, персональный код, номер телефона, семейное положение, данные о здоровье, собственности и др.)) и субъектов правовых данных (людей, данные которых обрабатываются). Регула уточняет существующие правила и приспосабливает их к новым технологиям, позволяя человеку контролировать, что происходит с его данными.
