Общий регламент по защите данных (GDPR)

Что такое GDPR?

Общее регулирование по защите данных (GDPR) — это комплекс правил, разработанных для улучшения личной защиты данных, установленных Европейским Союзом в 2016 году.

Полное название постановления: Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите лиц в отношении обработки персональных данных и о свободном движении таких данных, и отмене Директивы 95/46/EC (Общий регламент по защите данных).

GDPR устанавливает конкретные требования для бизнеса и организаций по сбору, хранению и управлению личными данными. Это правило распространяется как на организации внутри ЕС, обрабатывающие личные данные лиц, так и на те, что находятся за пределами ЕС, обрабатывающие данные резидентов ЕС.

Зачем был введен GDPR?

GDPR был введён для защиты основных прав и свобод физических лиц, особенно их права на защиту персональных данных. Он возник в ответ на растущую необходимость защиты данных пользователей цифровых технологий, интернета и социальных сетей. Единое законодательство в странах-членах ЕС обеспечивает равный уровень защиты данных, прозрачность и облегчает осуществление правосудия в случае нарушений безопасности данных.

Требования GDPR

Согласно статье 5 Общего регламента по защите данных, персональные данные должны:

• Обрабатываться законно, добросовестно и прозрачно;
• Собираться для конкретных, явных и законных целей и не обрабатываться далее таким образом, который несовместим с этими целями;
• Быть адекватными, актуальными и ограничеными тем, что необходимо в отношении целей, для которых они обрабатываются;
• Быть точными и, где это необходимо, обновляться или исправляться;
• Храниться в форме, которая позволяет идентифицировать субъекты данных в течение не более долгого срока, чем это необходимо для целей, для которых обрабатываются персональные данные;
• Обрабатываться таким образом, чтобы обеспечивать соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения.

Личные данные могут храниться в течение более длительных периодов для архивирования, статистических или исследовательских целей, при условии, что они адекватно защищены. Каждый контроллер данных в организации, ответственный за соблюдение требований, также должен иметь возможность демонстрировать их соблюдение, предоставлять точную информацию о статусе данных и документировать согласия пользователей. В случае отзыва согласия или его истечения контроллер отвечает за удаление данных из ресурсов организации.

Вызовы, которые GDPR ставит перед бизнесом

Некоторые ключевые проблемы, которые GDPR ставит перед бизнесом, включают:

• Получение четкого, информированного и явного согласия на обработку личных данных клиентов, сотрудников, кандидатов или пользователей, с возможностью легко отозвать согласие;
• Разработка эффективных методов для идентификации и удаления данных из всех систем, а также прав на доступ к данным, исправление или ограничение обработки данных;
• Внедрение мер защиты данных с этапа проектирования и по умолчанию для обеспечения высокого уровня защиты, таких как установление процедур для реагирования на инциденты безопасности;
• Обеспечение адекватного уровня защиты данных при передаче данных за пределы ЕС;
• Назначение Офицеров по защите данных, если осуществляется регулярный или систематический мониторинг физических лиц, или если обрабатываются категории чувствительных данных или данные в больших объемах.
• Постоянный мониторинг, оценка и обновление практик защиты данных для поддержания соответствия требованиям GDPR.

Чтобы справиться с этими вызовами, компаниями рекомендуют:

1. Применить комплексный подход и реорганизовать свои процессы в соответствии с регламентами;
2. Внедрить соответствующие политики безопасности данных и назначить ответственного за защиту данных, если это необходимо;
3. Использовать инструменты, которые обеспечивают соблюдение регламентов, такие как выбор HR платформы с соответствующими функциональными возможностями или программного обеспечения, которое позволяет шифровать данные и анонимизировать их;
4. Обучите своих сотрудников важности защиты персональных данных и соблюдения GDPR в повседневной деятельности.

Итоги

Общий регламент по защите данных представляет собой важный шаг в защите конфиденциальности, предполагая строгие положения, которые обеспечивают высокий уровень безопасности, повышают прозрачность корпоративных действий и предоставляют отдельным лицам больший контроль над своими данными.

Компании, которые соблюдают его положения, могут улучшить свою репутацию, так как безопасность данных является характеристикой, которая способствует доверию между компанией и её клиентами, сотрудниками и кандидатами.