Практические советы по защите персональных данных

Карантин продлен еще на 2 недели, все ленты пестрят перепостами экономических мер, которые предлагает правительство, до конца не зная даже, как они работают и что нужно для того, чтобы эти меры применить. Предлагаю заняться полезным. Например, давайте проверим, все ли в порядке с защитой персональных данных у вашей фирмы или аутономо. Даже если вы сейчас закрыты, то есть время сделать ревизию того, что есть или сформировать комплект документации, если нет ничего.

Я уже писала ранее, что нужно проверить, а сегодня я хочу дать несколько практических советов для небольших организаций (pymes) и ИП (autónomos), как приготовить комплект документов, не прибегая к платным услугам.

1. На сайте aepd.es в разделе Guías y herramientas -> Herramientas есть система помощи небольшим предприятиям самостоятельно сделать всю документацию, называется Facilita RGPD.

Перейдя по ссылке, вы попадаете в опросник, который нужно пройти, отмечая вашу область деятельности, тип собираемых данных, тип анализа персональных данных. Если на все эти вопросы вы ответили отрицательно (отвечать, конечно же, нужно честно), то вам предлагается перейти к заполнению данных о фирме и контрагентах (в данном случае контрагенты - это те, кто может иметь доступ к персональным данным ваших клиентов и сотрудников, например, асесория, банк…).

Бояться заполнять эти данные не нужно, так как они нужны для того, чтобы по результатам этого вы уже получили готовый файл со всеми необходимыми договорами, журналами регистрации и т.д., уже заполнены. Если страшно, то просто вводите любые буквы и цифры, потом вручную поменяете на данные своих контрагентов. Соответствующие файлы посылаете на подпись в асесорию и другим контрагентам, так вы имеете у себя подтверждение, что они (контрагенты) относятся к вашим данным с должным вниманием. Также подписываете все с сотрудниками, распечатываете журналы, таблички о видеонаблюдении. В предложенной документации будет раздел с ссылками на все, что касается кибербезопасности, в зависимости от необходимости можно углубиться и в эту тему.

2. Если хочется побольше поковыряться и сделать все более персонализировано, то для помощи можно использовать сайт ayudaleyprotecciondatos.es и их раздел LOPDGDD para empresas -> RGPD.

Это полная и всеобъемлющая инструкция по выполнению требований законов о персональных данных с шаблонами, моделями, а также с практическим разбором того, что необходимо для различных отраслей.

Например, есть разбор для:

• Агентств недвижимости
• Туристических агентств
• Парихмахерских и салонов красоты
• IT компаний
• Психологов
• Компаний, занимающихся досугом
• И многих других…

Эти практические примеры находятся в разделе  LOPDGDD para empresas -> GUIA.

Например, если у вас туристическое агентство (оно тем более сейчас закрыто и есть время проинспектировать систему защиты персональных данных), то основными действиями, которые необходимо сделать, будут следующие:

1. Сделать журнал регистрации всех возможных случаев использования персональных данных
2. Подписать контракты с третьими лицами, которые могут использовать данные ваших клиентов и сотрудников (например, асесория, банк..)
3. Добавить / проверить все юридические тексты на сайте
4. Запросить согласия от клиентов
5. Подписать соглашения с сотрудниками
6. Выполнить анализ рисков
7. Назначить делегата по защите данных (для данного типа деятельности не обязательно)

Далее на странице расшифровывается каждый пункт, как и что нужно сделать, даны модели для скачивания.

Но скажу сразу, информации так много (хоть она и очень хорошо структурирована), что без бутылки не разобраться, а в период карантина это достаточно опасно, да и одной может не хватить, так что советую эту информацию употреблять дозировано, по чуть-чуть, а также вести журнал тех документов, которые вы скопировали и используете для своих нужд.

Глоссарий:

• Tratamiento - это любое действие с персональными данными (сбор, хранение, использование, утилизация)
• Responsable del tratamiento - это вы, как тот, кто эти персональные данные использует
• Encargado  del tratamiento - это ваши контрагенты, которые могут использовать персональные данные ваших клиентов и сотрудников, например, асесория начисляет зарплату сотрудникам, или страховая компания получает данные вашего клиента
• Brecha de seguridad - утечка персональных данных
• ARCO - acceso, rectificación, cancelación, oposición - это система прав по управлению своими данными - права на доступ, изменение, уничтожение и возражение.