Доклад был представлен на конференции GDPR Summit Ukraine 2021
В рамках GDPR Summit Ukraine 2021, который проходит в Киеве 7 октября и организованный Ассоциацией ЕМА и финтех-журналом PaySpace Magazine, управляющий партнер юридической компании VigoLex Анна Буяджи рассказала о том, в каком случае украинским компаниям необходимо соответствовать требованиям GDPR и как избежать штрафов за нарушение норм регламента.
Так, под требования регламента подпадают компании, которые зарегистрированы в ЕС или обрабатывают данные субъектов — граждан ЕС. Минимальной требуемой документацией для малого и среднего бизнеса, которые соответствуют данным критериям, являются:
- реестр обработки персональных данных
- политика конфиденциальности и оферты онлайн
- личные гарантии хранения ПД
- регламент реагирования на утечку ПД
- политика хранения ПД
- перечень сроков хранения персональных данных
- политика обеспечения прав субъектов ПД
- правила информационной безопасности.
Крупный бизнес, в свою очередь, должен проводить процедуру DPIA, назначить представителя в Европе, составить должностную инструкцию и назначить Data Processing officer, а также составить шаблоны корреспонденции с субъектами и регулятором.
Невыполнение предписаний GDPR может привести к таким штрафам:
- до 20 млн евро (или до 4% оборота для больших компаний)
- до 10 млн евро (или до 2% оборота для других компаний)
Одним из известных случаев, когда крупная компания была оштрафована за нарушение GDPR, является кейс WhatsApp. Расследование в отношении компании началось в 2018 году. DPC проверяла, выполнял ли мессенджер обязательства в отношении собственных пользователей. Кроме того, изучался вопрос обработки и передачи личных данных пользователей Facebook. Окончательное решение в этом деле было вынесено в прошлом месяце — WhatsApp был оштрафован на 225 млн евро.
ЧИТАЙТЕ ТАКЖЕ: Как подготовиться к утечке персональных данных: опыт МАУ