Защита персональных данных в Испании

В начале 2018 все были засыпаны письмами на тему "нам необходимо от Вас согласие на использование Ваших данных, иначе мы не сможем Вам больше ничего отправлять"... Наступило 25 мая 2018 года, вступил в действие новый закон о защите персональных данных RGPD, письма все приходили, но реже... Прошел почти год. Предлагаю всем, у кого есть свой бизнес в Испании, проверить, все ли условия выполнены.

Проверяем:

1. Реестр различных видов обработки данных. В данном реестре должны быть описаны все точки соприкосновения с персональными данными - клиенты, поставщики, сотрудники, кандидаты, присылающие резюме, видеонаблюдение и тд... По каждому из видов контрагентов нужно указать тип данных, который обрабатывается, цель, политика получения, хранения, использования и уничтожения, а также описать кому и в каких объемах передаются данные (например, в асесорию передаются данные о сотрудников для номин, или фактуры клиентам / от поставщиков).
2. Контракты с третьими сторонами, которые используют данные, которые Вы им передаете. Вы должны убедиться, что они тоже используют все методы для защиты персональных данных в соответствии с законом. Проверьте контракты с Вашими поставщиками услуг - асесория, банк, компания, которая предоставляет Вам программное обеспечение, если Вам кажется, что недостаточно прописано с их стороны о том, как они защищают передаваемые данные, подпишите дополнительно контракт об использовании данных, как третьих лиц, вовлеченных в обработку данных.
3. Соглашения о неразглашении сотрудниками персональных данных, которые они используют в работе, а также они должны быть информированы о том, какие у Вас методы защиты данных (желательно под подпись), а также от них должны быть получены разрешения на обработку их данных (для номин и тд).
4. Согласие на обработку данных от клиентов. Как на сайте, так и физически в Вашем офисе. Проверьте, написано ли согласие простым языком, нет ли случайно каких-то согласий "по умолчанию". Лучше всего будет, если каждый такой вопрос, который подразумевает согласие, оформлять как "да/нет".
5. Сайт. Думаю, у всех есть, но проверить нужно, точно ли есть Aviso legal, Politica de privacidad, Politica de cookies.
6. Анализ рисков. Это документ, в котором Вы должны проанализировать, какие могут быть риски, связанные с обработкой персональных данных. По каждому типу обработки необходимо сделать полный анализ рисков. В случае, если рисков много, необходимо провести оценку воздействия рисков. Этот анализ должна проводить внешняя фирма.
7. В случае утечки или потери данных необходимо информировать агентство по защите данных, а также тех, чьи данные подверглись воздействию в течение 72 часов. На этот случай у Вас должны храниться бланки для информирования.
8. В некоторых случаях необходимо назначить контроллера по защите данных. Он может быть как сотрудником компании, так и внешним контроллером. Он не подчиняется никому в компании, его нельзя уволить. Это персона, на которую нельзя надавить для раскрытия персональных данных, его контролирует только агентство по защите данных.