Foto: Shutterstock
В новом году Латвию и весь ЕС ждет революция в области защиты личных данных: 25 мая 2018 года на всей территории Европейского союза вступит в силу Общий регламент о защите данных (General Data Protection Regulation - GDPR), выдвигающий новые требования к защите личных данных клиентов, партнеров и сотрудников предприятий.

Процесс внедрения нового регулирования непрост: он включает в себя решение довольно серьезных юридических вопросов, а также подготовку IT-систем. Delfi в сотрудничестве с юристом компании Squalio Мариной Кургаловой рассказывает, как новый регламент может коснуться каждого из нас.

Что такое GDPR?

В Латвии и сейчас действует закон о защите данных, исполнение которого отслеживает Государственная инспекция данных (ГИД). Однако законодательство не до конца учитывает все риски, которые могут возникнуть в момент сбора, хранения, обработки пользования и передачи личных данных. Цель нового регламента - борьба с необоснованным использованием и утечкой личных данных. В 2018 году ГИД планирует предпринимать активные меры по контролю за его исполнением.

Кроме того, GDPR дает возможность каждому человеку во всех подробностях узнать, какие данные о нем хранит предприятие, для каких целей оно использует эти данные и как долго. А также надежно ли хранятся личные данные, где хранятся, с какой целью и кому передаются. У человека появится полное право контролировать использование своих личных данных, запретить их использовать и даже требовать удалить их из баз данных.

Следовательно, новое регулирование коснется абсолютно всех предприятий Латвии, которые имеют персональные данные клиентов, партнеров или сотрудников. Неважно, в какой сфере занято предприятие, сколько у него сотрудников и клиентов. Важно только то, что если у компании есть хоть какая-то информация с личными данными, то оно автоматически попадает под действие нового регламента.

Грядущие изменения столь обширны, что многие даже не подозревают, сколько всего нового они внесут в нашу жизнь. Разберем на примерах.

Базы данных на предприятии

Например, у предприятия есть база данных клиентов, отзывов или анкет с предложениями, данные программы лояльности клиентов, письма электронной почты, фото, видео с камер наблюдения, или просто списки сотрудников с персональными данными (например, персональными кодами). В такую базу могут попасть:

  • Имя, фамилия, номер телефона, электронная почта, адрес проживания
  • Регистрационный номер автомобиля, марка автомобиля
  • Этническое происхождение, политические взгляды, религиозные убеждения, сексуальная ориентация
  • Номер банковского счета, номер банковской карты или срок ее действия
  • Данные об истории болезни, группе крови, информация о членах семьи
  • Внешний вид, фото, видео материалы, биометрические данные
  • Паспортные данные: номер паспорта, национальная принадлежность, персональный код, подпись
  • Уровень личных доходов, имеющееся имущество, денежные потоки
  • Информация о членах семьи: имена, фамилии детей и другая подобная информация

То есть это - фактически, любая информация о человеке. И ее нужно будет правильным образом хранить и защищать.

Карты лояльности: можно и без фамилий

У каждого из нас есть карты лояльности от торговых сетей. При их заполнении требуется заполнить анкету, где указывается имя и фамилия, персональный код, адрес, телефон и прочие личные данные. После введения нового регулирования эмитенты таких карт должны будут обосновать, зачем им нужно собирать личную информацию, и почему карта не может просто выдаваться ее держателю. По всей видимости, торговым сетям придется изменить форму и порядок выдачи карт лояльности, или же пойти на крайние меры - например, "привязать" скидки и акции к картам только с личной информацией, чтобы люди не отказывались указывать свои адреса и телефоны. Однако у покупателей есть полное право не предоставлять для получения карт свои личные данные.

"Холодные звонки": вне закона

Многим знакома ситуация, когда по личному телефону вам звонит некая компания и просит купить свои товары или услуги. При этом своего номера телефона вы этой организации не давали. Такие звонки, как правило, раздражают людей. Со вступлением в силу нового регулирования компания, которая не получала от вас согласия на использование личных данных, не имеет права вам звонить.

Сейчас личную информацию о клиентах такие предприятия получают, чаще всего перекупив базы данных у других предприятий. Например, списки людей, которые участвовали в какой-то лотерее. Но делать это впредь будет нельзя, если вы не давали на это своего согласия. Опять же, если такие звонки вам все таки будут поступать, у вас есть полное право запретить вам звонить и вычеркнуть ваши данные из базы данных предприятия.

Можно ли хранить CV?

Обычная ситуация: компания ищет работников и подает объявление на вакансию, после чего претенденты присылают свои CV. По новому регулированию, полученные CV нужно будет правильно хранить. Прежде всего предприятие должно будет получить от претендентов согласие на хранение анкет, и скорей всего, уже в объявлении о работе просить претендентов указывать - как долго предприятие собирается хранить их CV, а также сообщать о праве работника стереть анкету из базы данных предприятия по первому же его требованию.

Чип-карты: только с шифрованием

Часто предприятия "привязывают" чип-карты для входа в офис к конкретному человеку, указывая на ней имя и фамилию, название предприятия и даже фото сотрудника. После введения GDPR делать это можно будет и дальше, но уже не просто так, а с обоснованием. А именно: действительно ли нужно персонализировать чип-карту, а не просто выдать электронное устройство на вход и выход из помещения. Часто предприятия привязывают чип-карту к конкретному работнику, чтобы отслеживать время его пребывания на рабочем месте. В будущем предприятие должно обосновать эту необходимость и получить согласие работника. И даже если такое согласие получено, то личные данные работника все равно придется шифровать, поскольку использовать прямую личную информацию на карте больше будет нельзя.

Дни рождения - в секрете

Многие предприятия поздравляют своих работников с днем рождения и именинами. Впредь делать это можно будет только после получения особого разрешения работника, поскольку фактически это является распространением личных данных работника, пусть и в пределах предприятия. То же самое касается права работников на его фотографирование (например, на корпоративный сайт), видеосъемку и публикации.

Еще один важный момент - информация о родственниках. Некоторые предприятия просят сотрудников предоставить телефоны родственников, чтобы в случае какого-то несчастья информировать их о случившемся. Согласно GDPR, работник имеет право отказаться предоставлять такую информацию.

К визиткам - с особой осторожностью

Если на визитной карточке работника значится только его имя, фамилия, должность, название должности и предприятия, рабочий телефон, электронная почта предприятия или рабочая электронная почта - все в порядке! Эти сведения не могут квалифицироваться как личная информация.

Однако нужно быть внимательным, если у предприятия нет корпоративной электронной почты или телефонной линии, и предприятие пользуется номером телефона и электронной почтой работника. Если на визитке указывается еще и мобильный телефон или личная электронная почта - это уже личные данные. Перед тем, как напечатать такую визитку, надо будет получить разрешение работника.

То же самое касается и хранения полученных визитных карточек - их рекомендуется хранить в надежном месте, чтобы не допустить утечки информации. То же самое касается и рабочих записей, например, на бумаге или в рабочей тетради.

Список контактов в телефоне и видеорегистратор

Тут следует разделить. Если речь идет о списке контактов физического лица в личном телефоне – регламент не относится к такой обработке данных, так как такая обработка является обработкой личного характера. Регламент относится к случаям, когда работник хранит список деловых контактов в личном или рабочем телефоне. Чтобы такое хранение отвечало требованиям регламента, компании необходимо предусмотреть такой вид обработки в разработанных внутренних правилах, а так же позаботиться о мерах безопасности такой обработки, установить ее сроки и цели.

И еще один момент - это видеорегистратор в автомобиле. Если записи видеорегистратора хранятся на жестком диске или в памяти устройства, то никаких проблем не возникнет. Но как только они попадают куда-то в другое место, где к ним могут иметь доступ другие лица, то это уже нарушение закона о защите данных. Речь идет не только о выставлении записей видеорегистратора в социальных сетях, но даже о хранении записей где-то на облачных носителях и в других местах.

Что произойдет, если нарушить закон?

Последствия для работодателя могут быть самыми серьезными - прежде всего в финансовом плане. Регламент определяет штрафы за неисполнение его нормативов в размере до 20 млн евро или же до 4% от глобального годового оборота компании за предыдущий финансовый год.

Что делать? Сначала можно изучить, какие риски есть у вашей компании (например, воспользовавшись тестом). Пакет юридических документов можно загрузить отсюда. А затем разобраться с IT-решениями, которые обеспечат надежную и автоматизированную работу с персональными данными.

Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!