Технические решения при выполнении требований GDPR
Общий регламент по защите данных (GDPR) по части защиты данных устанавливает требования, которые на сегодняшний день невозможно выполнять лишь с помощью навыков руководителей, юристов или других работников, не обладающих техническими знаниями. Люди, обладающие техническими знаниями, – прежде всего, по части инфотехнологических и технических решений – играют крайне важную роль при выполнении этих требований.
GDPR поспособствовал развитию различных технические решений, способных повысить эффективность и ускорить связанные с данными действия, а также автоматизировать часть действий и улучшить защиту данных. ИТ-предприятия тоже все четче осознают необходимость в ходе развития обращать внимание в том числе на аспекты защиты данных.
Технические решения помогают отслеживать ситуацию с защитой данных и приводить ее в соответствие с требованиями. Учитывая, что у коммерческих объединений данные зачастую разбросаны по разным местам, может возникнуть необходимость использования ряда различных вспомогательных средств. Различные решения предлагают OneTrust, Oracle, Veritas, Microsoft и еще ряд инфотехнологических предприятий. Поэтому следует изучить, как можно упростить сложную ситуацию.
При этом инфотехнологические средства помогают выполнять требования субъектов данных, право на предъявление которых они имеют исходя из регламента по защите данных. Например, выполнение требования субъекта данных удалить все связанные с ним личные данные может занять недели, если не месяцы, если делать это вручную. Однако благодаря исправному отслеживанию данных и техническим решениям – например, соответствующей функции информационной системы или какой-либо дополнительной программе – можно существенно сократить затраченное на это время.
Также технические решения применимы при запрашивании согласий субъектов данных. А именно, GDPR возлагает на обработчика данных обязательство, согласно которому тот должен быть способен доказать, что лицо дало согласие. Зачастую, когда речь идет о покупке электронных услуг или о заключении между ними сделок по приобретению товаров, все общение ведется в электронном виде и ни одна подпись не ставится непосредственно. Тогда при подтверждении наличия согласия могут помочь технологические решения, которые запечатлевают, кто, когда и на что дал согласие.
Соответствия требованиям GDPR невозможно достичь лишь путем составления различных юридических документов – защиту данных следует рассматривать шире. Необходимые решения могут означать потребность как в соответствующей документации, так и в техническом развитии. Развитие может заключаться в усовершенствовании своих имеющихся информационных систем, а также в использовании дополнительных программ. Поэтому во время анализа своего процесса обработки данных надо оценивать, что нужно изменить и можно ли в технической части комбинировать коробочные продукты или необходима и более выгодна разработка собственной системы.
Autor: КАТРИН САРАП СИИРИ КУУСИК Адвокатское бюро Njord