За 3 місяці до GDPR - які наслідки, якщо цього не зробити; не готові

якщо

Габріель Авігдор

Відповідність GDPR ... ці слова лунають у наших головах так, ніби інших не було.

Дійсно, захист персональних даних став темою не лише в моді, але всі говорять про це, оскільки цей новий регламент виходить за межі правового ландшафту. У 2017 році GDPR швидко став однією з найбільш обговорюваних нормативно-правових тем на сьогоднішній день, і це ще більше зростатиме в найближчі місяці. Дата наближення наближається, і ми перебуваємо трохи більше 3 місяців 25 травня 2018 р, цей знаменитий термін, після якого Регламент (ЄС) 2016/679 (RGPD або GPDR) застосовуватиметься до всіх державних та приватних організацій, які підпадають під матеріальне (ст. 2) та територіальне (ст. 3) сферу дії цього Регламенту.

Захист даних та кібербезпека набуватимуть значущості завдяки масовим інформаційним кампаніям, важливості думати про захист даних від самого початку чи від проектування до будь-якої обробки даних (конфіденційність за дизайном) та неймовірному збільшенні кількості фахівців із захисту даних, що з'являться на глобальних рівня, виступаючи за цю сферу, яка, однак, не така нова.

У цій історичній гонці за дотриманням захисту даних Європейська Комісія оприлюднила свій новий веб-сайт із дуже вичерпними настановами щодо GDPR. Ця платформа розроблена дуже інтуїтивно зрозуміло, зрозуміло, просто і легко доступно. Зміст має кілька розділів, що охоплюють основні теми, що охоплюються GDPR, зокрема:

а також розділ інфографіки, що містить короткий зміст ключових сфер, пов’язаних з новим Регламентом, таких як права та обов’язки, організаційні правила, управління та наслідки недотримання. І часу залишається не так багато. На мало менше 3 місяців перед тим, як організації, які обробляють персональні дані, повинні продемонструвати владі, як вони дотримуються закону (принцип "відповідальності" або "підзвітності" англійською мовою - пункт 5 статті 2 GDPR).

________________

ЧОГО ОЧІКУВАТИ, ЯКЩО В ТРАВНІ 2018 РОКУ НЕ ВІДПОВІДАЄТЬСЯ RGDP?

На своєму новому веб-сайті Комісія нагадує про 4 ключові кроки до того, як наглядовий орган може накласти адміністративний штраф (ст. 83 GDPR) на компанії та організації, які порушують свої зобов’язання:

(1) УВАГА ⇨ (2) Згадайте замовлення ⇨ (3) ПРИПИНЕННЯ ОБРОБКИ ДАНИХ ⇨ (4) ШТРАБО

У Регламенті (ЄС) 679/2016 покарання мають бути виголошені таким чином, щоб вони "були ефективними, пропорційними та стримуючими" (пункт 1 статті 83 у штрафі RGPD). Крім того, режим санкцій дозволяє контролюючому органу накласти штраф на додаток до іншого заходу, наприклад, зокрема:

  • Увага (стаття 58 (2) (а) та вимога 150 GDPR);
  • відкликання сертифікації (стаття 58 (2) (h) GDPR); або
  • призупинення обробки даних (Стаття 58 (2) (j) та 83 (5) (e) GDPR).

________________

ВЛАДИ НЕ БУДУТЬ САНКЦІОНУВАТИ ВСІХ З 26 травня 2018 року

Стало звичним чути та читати багатьох людей та консалтингові фірми, які нізвідки вигукували у соціальних мережах та Інтернеті, що кінець світу призначений на травень 2018 року у випадку невиконання вимог. Реальність трохи складніша, ніж така, і такі твердження не відповідають дійсності. Це правда, що після 25 травня 2018 року захист даних зробить величезний стрибок уперед, і термін, яким повинні відповідати контролери даних, минув. Тому санкції можуть бути введені проти організацій, які не виконують вимоги. Добре, це теоретично вірно з дуже крутими штрафами.

Однак це повинно відбуватися лише після аналізу ситуації контролюючим органом, включаючи обмін повідомленнями, аудит, у тому випадку, якщо суб'єкт даних подає скаргу за порушення або неповагу його прав, або у разі вилучення правосуддя особою за порушення закону.

Якщо ви впевнені в одному, якщо вас ще немає, і ви думаєте, що підпадаєте під дію GDPR, краще негайно розпочніть роботу або підготуйте лінію захисту, щоб вказати, де ваш бізнес не застосовується. Однак, здається корисним нагадати кілька менш тривожних міркувань щодо режиму санкцій згідно з GDPR та щодо дотримання. Ось декілька:

Все це дозволяє дещо загартувати запал і усвідомити масштаби цього регулювання.

________________

ЗАГРОЗИ ТА РИЗИКИ, ОКРЕМ ШТОФИ

Компанії та організації, які обробляють персональні дані та підпадають під дію GDPR (менеджери та підрядники), не повинні зосереджуватися на штрафах. Штраф може бути ще одним поганим смаком і без того занадто солоного меню.

При обробці персональних даних мова також йде про врахування інших ризиків та загроз для бізнесу та бізнесу у разі їх недотримання. Ось кілька прикладів:

Безсумнівно, що всі компанії та організації у світі, які підпадають під дію GDPR, не будуть готові до 25 травня 2018 року. Відповідальні за обробку великих обсягів даних, що є чутливим до того, і створюють ризик для фізичних осіб, будуть у перехресті влади. Це очевидно. Цей так званий "Закон про Facebook" може спонукати владу зосередитись на GAFAM, BATX та їхніх контрактних партнерах, але це стосується всіх суб'єктів.

У цій статті я сподіваюся, що мені вдалося навести деякі підказки, що тривожність не є правильним підходом і не відповідає дійсності. До тих пір, поки компанія зможе продемонструвати свій прогрес у напрямку дотримання вимог, це є пріоритетом, що вона зробила кроки до досягнення відповідності якомога швидше, ця компанія йде правильним шляхом.

Будьте готові, не бійтеся. Зробіть GDPR можливістю для вашої компанії чи організації, а не блокуючим пунктом. Не бійтеся штрафу, але будьте готові продемонструвати, що ви відповідаєте чи дотримуєтеся.