Защита данных
Защита персональных данных касается каждой компании и учреждения, которые обрабатывают персональные данные клиентов, работников, пользователей или партнеров по сотрудничеству. Требования вытекают прежде всего из Общего регламента по защите данных (GDPR) и Закона Эстонии о защите персональных данных.
Обработка персональных данных должна иметь ясное правовое основание и быть понятной человеку. Для компании это означает, среди прочего, продуманную политику конфиденциальности, решение для согласия на использование файлов cookie, договоры об обработке данных, внутренние правила и рабочий порядок ответа на запросы субъекта данных.
Проблемы в области защиты персональных данных часто возникают в связи с сайтами, онлайн-магазинами, клиентскими базами, данными работников, прямым маркетингом, камерами, облачными сервисами и внешними поставщиками услуг. Риск заключается не только в возможном штрафе. Обработка данных, не соответствующая требованиям, может привести к надзорному производству, договорным спорам, требованиям о возмещении вреда и ущербу репутации.
Адвокатское бюро Namm помогает компаниям и учреждениям привести обработку данных в соответствие с требованиями, а также консультирует людей, чьи права были нарушены при обработке персональных данных. Работаем на эстонском, русском и английском языках.
Как мы помогаем в области защиты персональных данных
- Консультирование по вопросам GDPR и Закона о защите персональных данных
- Подготовка и проверка политики конфиденциальности
- Консультирование по информации о cookie и механизмам получения согласия
- Подготовка и проверка договоров об обработке данных (DPA)
- Аудит защиты персональных данных и оценка соответствия
- Консультирование по обработке персональных данных работников
- Консультирование по обработке персональных данных клиентов и пользователей
- Консультирование по прямому маркетингу, рассылкам и согласиям
- Консультирование по действиям при утечке персональных данных и обязанности уведомления
- Консультирование по ответам на запросы субъекта данных
- Представительство в производствах Инспекции по защите данных Эстонии
- Консультирование по международной передаче данных
- Подготовка внутренних правил и процедур по защите персональных данных
- Разрешение споров, связанных с персональными данными
Часто задаваемые вопросы
Должна ли моя компания вообще соблюдать правила защиты персональных данных?
Как правило, да. Если ваша компания обрабатывает любые персональные данные, например данные клиентов, работников или партнеров по сотрудничеству, применяются правила защиты персональных данных. Это не зависит от размера компании. Разница скорее в том, какие именно обязанности применяются к конкретной компании с учетом объема и характера обрабатываемых данных.
Нужна ли мне политика конфиденциальности и что она должна содержать?
Если Вы собираете данные людей, например через сайт, онлайн-магазин или услугу, политика конфиденциальности на практике необходима. Она должна понятно объяснять людям, какие данные собираются, с какой целью, как долго они хранятся и какие права есть у человека. Слишком общая или вводящая в заблуждение политика конфиденциальности может не соответствовать требованиям.
Могу ли я отправлять клиентам рекламу и рассылки?
Для отправки прямого маркетинга, например рекламы и рассылок, как правило, требуется согласие человека или иное правовое основание. Существующим клиентам при определенных условиях можно предлагать похожие товары или услуги, но человеку всегда нужно дать простую возможность отказаться от рассылки. Несоблюдение правил может привести к жалобам и надзорному производству.
Клиент требует удалить свои данные. Должен ли я это сделать?
У человека в определенных случаях есть право требовать удаления своих данных, но это право не является неограниченным. В некоторых случаях компания имеет право или даже обязанность хранить данные, например по причинам бухгалтерского учета или требований закона. Каждый запрос нужно оценивать отдельно и отвечать в разумный срок.
Что делать, если произошла утечка персональных данных?
При утечке персональных данных нужно быстро оценить, какие данные затронуты, сколько людей затронуто и каков риск для их прав. Часто возникает обязанность уведомить Инспекцию по защите данных Эстонии в короткий срок, а при необходимости также затронутых людей. В такой ситуации важно действовать быстро и при необходимости обратиться за консультацией к адвокату, поскольку правильная реакция помогает уменьшить вред.
Какими могут быть последствия нарушения требований защиты персональных данных?
Нарушение требований защиты персональных данных может привести к предписаниям и значительным штрафам, а также к требованиям о возмещении вреда и ущербу репутации. Серьезность последствий зависит от характера и масштаба нарушения, а также от того, как компания отреагировала. Предварительное обеспечение соответствия обычно обходится существенно дешевле, чем последующее устранение нарушения.
Нужно ли получать согласие на использование файлов cookie на сайте?
Для использования многих файлов cookie, прежде всего аналитических и маркетинговых cookie, как правило, требуется согласие посетителя. Для технически необходимых cookie согласие может не требоваться. Важно, чтобы механизм cookie давал человеку реальный и свободный выбор, а согласие не считалось данным автоматически.
Нужен ли мне специалист по защите данных?
Назначение специалиста по защите данных (DPO) обязательно только в определенных случаях, например если основная деятельность компании предполагает масштабное или систематическое наблюдение за данными либо обработку особых категорий персональных данных. На многие небольшие компании эта обязанность не распространяется. Мы поможем оценить, есть ли такая обязанность в конкретном случае.
Что такое договор об обработке данных и когда он нужен?
Договор об обработке данных (DPA) заключают, например, когда одна компания обрабатывает персональные данные от имени другой компании, например поставщик ИТ, бухгалтерских или маркетинговых услуг. Такой договор определяет, как данные можно обрабатывать и как их нужно защищать. Наличие такого договора во многих случаях является обязательным.
Как долго можно хранить персональные данные?
Персональные данные, как правило, можно хранить столько, сколько необходимо для достижения цели, для которой они были собраны, или до тех пор, пока закон требует их хранения. Хранение данных на неопределенный срок на всякий случай не допускается. Разумно установить четкие сроки хранения и после их истечения удалить или обезличить данные.
Разрешена ли передача данных за пределы Европейской экономической зоны?
Передача данных за пределы Европейской экономической зоны возможна, но к ней применяются дополнительные условия, которые должны обеспечивать достаточную защиту данных. Часто для этого используются стандартные договорные положения или другие предусмотренные меры защиты. Перед использованием таких услуг или партнеров стоит проверить, организована ли передача данных надлежащим образом.
Инспекция по защите данных Эстонии начала производство в отношении нас. Что делать?
Рекомендуем относиться к производству серьезно и отвечать на запросы своевременно и продуманно. Важно понять, что именно проверяется, и корректно представить свои позиции и пояснения. Мы помогаем общаться с инспекцией в ходе производства, готовить ответы и представлять вас на протяжении всего производства.