Первые шаги по работе с персональными данными при релокейте

Если вы планируете или уже осуществили релокейт бизнеса, то рекомендуем вам интервью с Сергеем Воронкевичем, ведущим консультантом и тренером по GDPR, а так же (в этом контексте важно!) основателем компании Data Privacy Office.

Штрафы за нарушения правил безопасности персональных данных растут во всем мире. Какие вопросы приватности первоочередные при релокейте и что делать тем, у кого сейчас нет трудовых ресурсов на внедрение приватности — читайте ниже.

— На каком этапе процесса релокейта бизнесу следут задуматься о защите персональных данных?

Ответ прост: как только у вас началась работа с персональными данными, советую сразу же начинать думать про защиту. А именно про выполнение требований информационной приватности. Особенно необходимо это сделать, когда вы публично сообщаете о том, что у вас этот сервис, эта услуга теперь предоставляется от имени нового юрлица. С этого момента не только вы знаете о том, что вы работаете с персональными данными, теперь это знают и субъекты, и, потенциально, надзорный орган.

— Что в таком случае необходимо сделать по защите персональных данных бизнеса в первую очередь?

Независимо от того, куда релоцируете свой бизнес, и является ли эта страна членом ЕС, у вас будут основные три момента, которыми необходимо заняться.

Первое — это прозрачность. Это новый формат уведомления, которое вы делаете в адрес субъектов данных. Возможно, потребуются изменения в политике приватности (как минимум, изменение названия компании).

Далее — это трансграничная передача данных. Этот процесс обычно не возникает, если компания переехала целиком и на территории страны, откуда вы уехали, больше не осталось сотрудников и мощностей. Но, если у вас там остались сотрудники, вероятно, у вас остались там мощности. И вот в момент до того, как вы их перевезете, до того, как вы отключите там сервера и перейдете на новые, но уже после того, как вы переоформили всю свою деятельность на новое юридическое лицо, у вас появилась трансграничная передача. Формально, это новая компания. Допустим, вы переехали в Чехию и экспортируете данные за пределы Евросоюза в российскую компанию. Фактически это и есть трансграничка. Этим нужно особо заниматься: оформлять и находить механизм для трансграничной передачи данных, делать оценку рисков DPIA, что в текущих условиях может быть не очень просто.

Третий момент, который появляется — это правовые основания. В каждой юрисдикции есть свой набор правовых оснований: там, где вы привыкли брать согласие, возможно у вас появится легитимный интерес или публичный интерес, или требования закона, или контрактные обязательства.

В общем, три момента: прозрачность,трансграничная передача, правовые основания — это то, с чего нужно начинать начинать.

В случаях других юрисдикций от вас еще потребуется назначение DPO при достижении определенного количества сотрудников, либо в целом по 37 статье GDPR.

В некоторых юрисдикциях, не в Евросоюзе, понадобится регистрация систем обработок персональных данных. Это такое уведомление надзорного органа о том, что вы существуете. Другие требования, начиная от оптимизации, заканчивая своевременным удалением данных, тоже подтянутся. Но это уже можно будет делать чуть позже, первые и самые приоритетные задачи я уже назвал.

Многие говорят, что в текущий момент в регионе СНГ спрос на приватность падает. Действительно, когда у компании ситуация с разрушенной инфраструктурой, с разорванными цепочками поставщиков, или с санкциями, или с ограничениями финансовой деятельности и другими моментами, которые невозможно перечислить, конечно, вопросы защиты персональных данных отойдут на второй план. Но не для тех компаний, которые в качестве своей стратегии выживания и развития выбрали релокацию.

Для них спрос на приватность будет расти, именно из-за того, что объем работы по защите персональных данных резко увеличится. Помимо того, что наверняка еще и ужесточаются требования. Нужно будет выполнять правила той страны, откуда компания переехала, к которым добавляются требования и особенности в новой юрисдикции. Возможно, это потребует пересмотра всего процесса защиты персональных данных, возможно, понадобится более строгий подход.

— Что делать бизнесу, если на данный момент нет человеческих ресурсов на внедрение принципов приватности?

Нужно начинать с экспресс-аудита и с инвентаризации обработок персональных данных.

Кроме того, мы своим клиентам предлагаем такой комплексный продукт GDPR Roadmap, который включает не только первоначальную настройку, но и внедрение процессов по защите персональных данных в вашу компанию: как в новую компанию, так и в старую. Что при этом замечательно? То, что центр компетенций останется у вас, поскольку он включает в себя и обучение по программе, адаптированной под локальное законодательство и регулирование.

0
Комментарии
-3 комментариев
Раскрывать всегда