Каждая компания обрабатывает персональные данные и обязана соблюдать GDPR. Узнайте, как подготовить реестр операций, информационные оговорки и базовые процедуры защиты данных.
Защита персональных данных – это обязанность, которая касается практически каждого предпринимателя, независимо от размера компании или отрасли. GDPR, то есть Регламент Европейского парламента и Совета (ЕС) 2016/679, действует в Польше с мая 2018 года, и тем не менее многие малые и средние компании до сих пор не выполнили даже его базовых требований. В этой статье мы объясняем, с чего начать, какие документы необходимы и как избежать наиболее распространённых ошибок. Мы также покажем, каким образом бухгалтерское бюро может поддержать предпринимателя в части кадровой и финансовой документации, связанной с GDPR.
GDPR регулирует принципы сбора, хранения и обработки персональных данных – то есть любой информации, позволяющей идентифицировать конкретное физическое лицо. Это касается в том числе данных клиентов, сотрудников, контрагентов и пользователей веб-сайта. Обязанности, вытекающие из GDPR, распространяются на: • индивидуальных предпринимателей (JDG), • sp. z o.o. и другие хозяйственные общества, • ассоциации, фонды и иные субъекты. Минимального порога численности персонала или оборота не существует – если вы обрабатываете персональные данные в профессиональных целях, GDPR обязателен для вас. Несоблюдение требований может повлечь штраф до 20 млн евро или 4% годового глобального оборота, а также требования со стороны лиц, данные которых были обработаны.
Каждая операция по обработке персональных данных должна иметь правовое основание. GDPR предусматривает шесть таких оснований, из которых в деловой практике чаще всего применяются: 1. Исполнение договора – данные клиентов, обрабатываемые в целях выполнения заказа или оказания услуги. 2. Юридическое обязательство – данные сотрудников, обрабатываемые в кадровых, расчётных и налоговых целях. 3. Законный интерес администратора – например, прямой маркетинг в отношении действующих клиентов. 4. Согласие лица – требуется, в частности, при рассылке newsletter или обработке чувствительных данных. Выбор надлежащего правового основания имеет ключевое значение – он влияет на объём информационных обязанностей и сроки хранения данных. Неверная квалификация основания является одной из наиболее распространённых ошибок, выявляемых Управлением по защите персональных данных (UODO).
Реестр операций по обработке данных (RCP) – это внутренний документ, описывающий, какие данные компания собирает, с какой целью, на каком правовом основании и как долго хранит. Ведение реестра обязательно для администраторов данных (то есть для подавляющего большинства компаний). Реестр должен содержать: • наименование и контактные данные администратора, • цели обработки (например, обслуживание клиентов, трудоустройство, бухгалтерский учёт), • категории субъектов и данных (например, сотрудники – кадровые и расчётные данные), • получателей данных (например, бухгалтерское бюро, ZUS, US), • планируемые сроки удаления данных, • описание технических и организационных мер безопасности. Реестр не обязан быть сложным – достаточно наглядной таблицы в Excel или специализированного инструмента. Важно, чтобы он был актуальным и доступным на случай проверки UODO.
Информационная обязанность – один из ключевых принципов GDPR. Администратор обязан уведомить лицо, чьи данные он собирает, о следующем: кто является администратором, с какой целью и на каком основании обрабатываются данные, кому они передаются и как долго хранятся. Информационные оговорки необходимо применять, в частности: • в анкетах при найме на работу (для кандидатов), • в договорах с клиентами и контрагентами, • на веб-сайте (контактные формы, подписка на newsletter), • при заключении трудовых договоров или договоров подряда. Оговорка должна быть написана простым языком – понятным рядовому читателю, а не только юристу. Избегайте копирования готовых шаблонов без адаптации к специфике вашей компании, поскольку они зачастую слишком общие или устаревшие.
Если вы передаёте персональные данные другому субъекту, который обрабатывает их от вашего имени, необходимо заключить договор о поручении обработки данных (UPP). Это касается, в частности, следующих ситуаций: • вы пользуетесь услугами бухгалтерского бюро (доступ к данным сотрудников и клиентов), • вы используете внешнее программное обеспечение CRM или кадрово-расчётную систему в облаке, • вы поручаете IT-обслуживание внешней компании, • вы сотрудничаете с маркетинговым агентством, управляющим почтовой базой. UPP должен быть заключён в письменной форме (или в электронном виде) и определять, в частности, предмет, срок действия, характер и цель обработки. Отсутствие такого договора является серьёзным нарушением GDPR – как со стороны администратора, так и со стороны обработчика.
В ходе проверок UODO и внутренних аудитов чаще всего выявляются следующие нарушения: 1. Отсутствие или устаревший реестр операций по обработке данных. 2. Применение одной общей информационной оговорки для всех целей. 3. Отсутствие договоров о поручении с бухгалтерским бюро, поставщиками IT или агентствами. 4. Хранение данных дольше, чем это необходимо (например, резюме кандидатов спустя несколько лет). 5. Незащищённые бумажные документы или отсутствие политики чистого стола. 6. Отсутствие процедуры реагирования на нарушения защиты данных. Хорошая новость: большинство этих ошибок можно устранить достаточно быстро, установив чёткие процедуры и закрепив ответственность за конкретными сотрудниками компании. Внедрение GDPR не обязательно должно быть дорогостоящим – прежде всего оно требует времени и системного подхода.
Внедрение GDPR в компании – это не разовая задача, а непрерывный процесс: документы необходимо обновлять, а сотрудники должны знать основные принципы защиты данных. Если вы ведёте JDG или sp. z o.o. и хотите убедиться, что ваша кадрово-расчётная документация и сотрудничество с бухгалтерским бюро отвечают требованиям GDPR, свяжитесь с Danexis. Наши специалисты помогут вам организовать документацию и определить, какие шаги предпринять в первую очередь. Позвоните по номеру +48 780 760 666 или напишите на kontakt@danexis.pl.