Блог

Как создать Privacy Notice в соответствии с требованиями GDPR

Несмотря на множество споров вокруг Регламента, нужно признать, что GDPR (Общее положение о защите данных) не только приносит новую головную боль бизнесу, но и дает пользователям контроль над тем, как используются их личные данные.

Если ваша организация обрабатывает личные данные, Регламент требует, чтобы вы предоставляли субъектам данных определенную информацию. Это обычно принимает форму заявления о конфиденциальности данных или уведомления о конфиденциальности.

Что такое уведомление о конфиденциальности данных и что оно должно содержать? 

Уведомление о конфиденциальности - это документ, который организации предоставляют пользователям, чтобы объяснить, как обрабатываются их личные данные.
Есть две причины для этого. Во-первых, это гарантирует, что вы максимально прозрачны с субъектами данных. Это позволяет избежать путаницы в отношении использования личных данных и обеспечивает уровень доверия между организацией и отдельным лицом.
Во-вторых, это дает людям больше контроля над тем, как их данные собираются и используются. Если субъект данных не удовлетворен, он может запросить его через DSAR (запрос на доступ к субъекту данных) и, возможно, попросить организацию приостановить эту обработку.

Как написать уведомление о конфиденциальности

Ваше уведомление о конфиденциальности должно содержать как минимум следующие данные:

1) Контактные данные
Первое, что необходимо указать в уведомлении о конфиденциальности, - это имя, адрес, адрес электронной почты и номер телефона вашей организации.
Если вы назначили DPO (сотрудника по защите данных) или представителя ЕС, вы также должны указать их контактные данные.

2) Типы персональных данных, которые вы обрабатываете
Определение личных данных намного шире, чем вы думаете. Убедитесь, что вы включаете все, что собираете, и делайте это как можно точнее. Например, вместо того, чтобы просто сказать «финансовая информация», укажите, будут ли это номера счетов, номера кредитных карт и т. Д.
Вы также должны указать, где вы получили информацию, если она не была предоставлена ​​субъектом данных напрямую.
Будьте как можно точнее о типе информации, которую вы собираете, и о том, как вы ее получили.

3) Правовая основа для обработки персональных данных
В соответствии с GDPR организации могут обрабатывать персональные данные только при наличии законных оснований для этого. В вашей политике конфиденциальности должно быть указано, на какую из них вы полагаетесь для каждой цели обработки.
Кроме того, если вы полагаетесь на законные интересы, вы должны описать их. Если вы полагаетесь на согласие, вам следует заявить, что оно может быть отозвано в любое время.

4) Как вы обрабатываете персональные данные
Вы должны объяснить, будете ли вы передавать личные данные, которые вы собираете, третьим лицам.
Вы можете решить, будут ли данные предоставляться организациям, базирующимся за пределами ЕС.

5) Как долго вы будете хранить их данные
В GDPR говорится, что вы можете хранить личные данные только до тех пор, пока применима правовая основа для обработки.
В большинстве случаев это будет легко определить. Например, данные, обработанные для выполнения контрактов, должны храниться до тех пор, пока организация выполняет задачу, к которой относится контракт.

Более сложная ситуация складывается с согласием и законными интересами, так как нет четкой точки, в которой они больше не действительны. Рекомендуется проверять любую обработку, которая включает эти законные основания, по крайней мере, каждые два года.

Как вы видите, требования GDPR – достаточно жесткие. Во многих случаях без юридической консультации вы обойтись не сможете.
Обращайтесь к нам!

Свяжитесь с нами любым удобным способом:
+380 (50) 356 74 94
info@avitar.group
Made on
Tilda