Права субъектов персональных данных согласно GDPR

С вступлением в силу GDPR, у физических лиц появилось больше возможностей по управлению своими персональными данными. GDPR определил законные права субъекта, связанные с обработкой персональных данных, которые субъект может реализовать, подав запрос оператору.

Закон предоставляет оператору 1 месяц на выполнение запроса и устанавливает требования к содержанию и формату ответа. Для подготовки ответа оператор должен найти персональные данные, проанализировать их и выполнить запрашиваемые операции. Выполнение запросов на перенос или на доступ к данным потребует их извлечения из информационных систем и приведения к структурированному и читаемому формату.

Как компаниям построить процесс управления запросами чтобы не быть застигнутыми врасплох? Мы обращаем ваше внимание на 5 важнейших факторов, которые сделают этот процесс проще.

5 факторов успеха при реагировании на запросы субъектов персональных данных

1. Разработать процедуру реагирования

Мы рекомендуем разработать управляемую процедуру реагирования на запросы субъектов, в которой будут установлен порядок действий, ответственные лица и промежуточные сроки предоставления данных. Это позволит работникам компании запланировать ресурсы, необходимые для выполнения запросов, и организовать взаимодействие между подразделениями для своевременного предоставления информации.

Подробнее

2. Выявить персональные данные в бизнес-процессах

Для выполнения запроса компании необходимо знать, в каких бизнес-процессах обрабатываются персональные данные, попадающие под действие GDPR. Мы рекомендуем поддерживать в актуальном состоянии перечень информационных систем, в которых обрабатываются персональные данные, и сведения о составе и объеме данных. Это позволит компании подготовиться к запросам и предоставить субъектам полную и точную информацию об обработке.

Подробнее

3. Подготовить технологические инструменты обработки данных

Компания должна обладать инструментами для поиска и выполнения операций с персональными данными, запрашиваемых субъектом. Для этого в информационных системах, обрабатывающих персональные данные, должны быть предусмотрены механизмы поиска, извлечения, блокирования и удаления данных. Продуманное использование технологических средств или встроенного функционала в системах позволит компании снизить время и ресурсы на выполнение запросов.

Подробнее

4. Разработать форму предоставления данных, удобную для субъекта

Компания должна предоставить субъекту информацию в понятной и удобочитаемой электронной форме. Мы рекомендуем проанализировать формат данных, выгружаемых из информационных систем, и разработать автоматизированные формы выгрузки, соответствующие требованиям GDPR. Разработка шаблона формы ответа на запрос субъекта позволит компании снизить риск ошибок и несоблюдения сроков выполнения запроса.

Подробнее

5. Обеспечить конфиденциальность персональных данных

Компания обязана удостовериться, что субъект данных может воспользоваться своим правом на получение сведений о персональных данных или на принятие решений об операциях с ними. Для этого в процессе реагирования должны быть предусмотрены процедуры по идентификации субъекта, направившего запрос.

Подробнее

Как подготовиться к реализации прав субъектов данных

В зависимости от сложности и объема запросов, процессы реагирования на них могут потребовать разного объема ресурсов компании. При разработке процесса реагирования мы рекомендуем:

  • заранее оценить объем и характер запросов, которые компания может получить;
  • провести анализ имеющихся в компании инструментов и полностью использовать их функциональность, наращивая возможности по мере необходимости;
  • сосредоточиться на отслеживании всех действий и связей в процессе получения, обработки и выполнения запросов, чтобы их было легко документировать и контролировать.

{{filterContent.facetedTitle}}

{{contentList.loadingText}}

Контакты

Виталий Соколов

Виталий Соколов

Партнер отдела анализа и контроля рисков, лидер практики по оказанию услуг в области кибербезопасности и непрерывности бизнеса, PwC в России

Тел: +7 (495) 967 6153

Евгений Гук

Евгений Гук

Старший юрист, практика по оказанию услуг в области интеллектуальной собственности, информационных технологий и защиты данных, PwC Legal, PwC в России

Тел: +7 (495) 967 6000, доб. 4961

Артем Дмитриев

Артем Дмитриев

Старший юрист, PwC в России

Тел: +7 (495) 967 6000, доб. 4315

Михаил Курзин

Михаил Курзин

Директор, практика по оказанию услуг в области кибербезопасности и непрерывности бизнеса, PwC в России

Тел: +7 (495) 223 5040

Елизавета Дмитриева

Елизавета Дмитриева

Старший консультант, услуги в области обработки и защиты персональных данных, PwC в России

Тел: +7 (495) 967 6000, доб. 3821

Мы в социальных сетях