Основные причины производственного травматизма и профзаболеваний

Травматизм и профессиональные заболевания на производстве.

По данным Всемирной организации здравоохранения, смертность от несчастных случаев на производстве занимает 3-е место после сердечно-сосудистых и онкологических заболеваний. Производственный травматизм считается «болезнью» XXIв.

Производственные травмы возникают под воздействием опасных производственных факторов. Они могут повлечь временную или постоянную потерю трудоспособности. При этом пострадавший может утратить общую трудоспособность или только профессиональную.

Травмы могут быть механическими (ушиб, порез, перелом, вывих и др.), термическими (ожог, обморожение), химическими (химический ожог), электрическими (ожог, металлизация кожи, электрический удар и др.), психологическими (нервный стресс, испуг и др.).

Неблагоприятные условия труда могут вызвать профессиональное и общее заболевания. Профессиональные заболевания возникают под действием вредных производственных факторов. Они могут вызвать временную, длительную или постоянную утрату трудоспособности (инвалидность).

Профессиональные заболевания по принципу происхождения подразделяют на вызванные действием физических факторов, пыли, химических веществ и биологических факторов.

К профессиональным заболеваниям, обусловленным физическими факторами, относят вибрационную болезнь, возникшую при воздействии на организм человека вибрации; пояснично-крестцовые радикулиты, возникающие при тяжелых физических работах, напряжениях, связанных с вынужденным положением тела или с частыми наклонами, а также с воздействием охлаждений; хронические артриты, остеохондрозы – при систематическом давлении и перенапряжении в области суставов, при резких сменах температур, длительном охлаждении и др.; снижение слуха при систематическом и интенсивном воздействии шума и др.

Профессиональные заболевания, вызываемые пылью, включают хронический профессиональный фиброз легких, известный под названием пневмокониоза, а также хронический пылевой бронхит и др.

К профессиональным заболеваниям, обусловленным воздействием химических веществ, относят острые и хронические отравления, острые и хронические заболевания кожи – дерматиты, экземы, конъюнктивиты и др.

Профессиональными заболеваниями, вызванными действием биологических факторов, являются инфекционные и паразитические заболевания, передающиеся человеку от больных животных (бруцеллез, сибирская язва и т.д.), а также аллергические заболевания (встречаются в основном в сельском хозяйстве).

Министерством здравоохранения Республики Беларусь утвержден список профессиональных заболеваний.

За последние пять лет по городу Новополоцку случаи профессиональной заболеваемости не зарегистрированы.

Причины производственного травматизма и заболеваний можно подразделить на следующие группы: технические, организационные, санитарно-гигиенические, психофизиологические, субъективные и экономические.

Важную роль в профилактике травматизма и профессиональных заболеваний играют пропаганда вопросов охраны труда, производственной санитарии. Мероприятия по улучшению условий труда, снижению производственного травматизма, заболеваний подразделены на законодательные, организационные, технические, медико-профилактические и экономические.

Законодательные мероприятия определяют права и обязанности, работающих в области охраны труда, режим их труда и отдыха, охрану труда женщин и молодежи, санитарные нормы на предельное содержание в рабочей зоне вредных веществ, льготы за работу во вредных условиях труда и др.

Организационные мероприятия предусматривают внедрение системы управления охраной труда, своевременное обучение работающих, обеспечение инструкциями по охране труда, организацию контроля за соблюдением требований охраны труда, аттестацию и паспортизацию условий труда рабочих мест, зданий, сооружений и т.д.

Технические мероприятия предполагают:

– разработку и внедрение комплексной механизации и автоматизации тяжелых, вредных и монотонных работ, установку предохранительных, сигнализирующих, блокировочных устройств;

– доведение параметров производственной среды до гигиенических нормативов, предупреждение образования и удалению из рабочей зоны вредных веществ, снижение уровня шума, вибрации, защиту от вредных излучений;

– созданию изолированных кабин для операторов, работающих во вредных условиях, или дистанционного управления; использование коллективных и индивидуальных средств защиты и др.

Медико-профилактические мероприятия включают:

– организацию предварительных и периодических медицинских осмотров работников;

– обеспечение лечебно-профилактическим питанием, аптечками первой помощи;

– проведение производственной гимнастики.

Экономические мероприятия предусматривают материальное стимулирование работ по предупреждению травматизма и улучшению условий труда и др.

Врач-гигиенист (заведующий) отдела гигиены

В.И.Сечко

Приемная главного врача
(+375 214) 50-62-70
(+375 214) 50-62-11 (факс)

Канцелярия
(+375 214) 50-15-39 (факс)

Травматизм и профессиональный заболевания на производстве

Производственные травмы. По данным Всемирной организации здравоохранения (ВОЗ), смертность от несчастных случаев на производстве занимает 3-е место после сердечно-сосудистых и онкологических заболеваний. Производственный травматизм считается «болезнью» XXI в.

Производственные травмы возникают под воздействием опасных производственных факторов. Они могут повлечь временную или постоянную потерю трудоспособности. При этом пострадавший может утратить общую трудоспособность или только профессиональную. При утрате профессиональной трудоспособности он не может работать по профессии, но может быть использован на других работах. При утрате общей трудоспособности пострадавший частично или полностью теряет возможность выполнять любую работу.

Травмы могут быть механическими (ушиб, порез, перелом, вывих и др.), термическими (ожог, обморожение), химическими (химический ожог), электрическими (ожог, металлизация кожи, электрический удар и др.), психологическими (нервный стресс, испуг и др.).

Заболевания на производстве. Неблагоприятные условия труда могут вызвать профессиональное и общее заболевания. Профессиональные заболевания возникают под действием вредных производственных факторов (профессиональных вредностей). Они могут вызвать временную, длительную или постоянную утрату трудоспособности (инвалидность). Частным случаем профессионального заболевания является профессиональное отравление (острое или хроническое).

Читайте также:
Как получить налоговый вычет за обучение

Профессиональные заболевания по принципу происхождения подразделяют на вызванные действием физических факторов, пыли, химических веществ и биологических факторов.

К профессиональным заболеваниям, обусловленным физическими факторами, относят вибрационную болезнь, возникшую при воздействии на организм человека вибрации; пояснично-крестцовые радикулиты, возникающие при тяжелых физических работах, напряжениях, связанных с вынужденным положением тела или с частыми наклонами, а также с воздействием охлаждений; хронические артриты, остеохондрозы – при систематическом давлении и перенапряжении в области суставов, при резких сменах температур, длительном охлаждении и др.; снижение слуха при систематическом и интенсивном воздействии шума и др.

Профессиональные заболевания, вызываемые пылью, включают хронический профессиональный фиброз легких, известный под названием пневмокониоза, а также хронический пылевой бронхит и др.

К профессиональным заболеваниям, обусловленным воздействием химических веществ, относят острые и хронические отравления, острые и хронические заболевания кожи – дерматиты, экземы, конъюнктивиты и др.

Профессиональными заболеваниями, вызванными действием биологических факторов, являются инфекционные и паразитические заболевания, передающиеся человеку от больных животных (бруцеллез, сибирская язва и т.д.), а также аллергические заболевания (встречаются в основном в сельском хозяйстве).

Острые профессиональные заболевания устанавливают врачи в амбулаторно-поликлинических и больничных учреждениях всех типов, а также при посещении больного на дому, хронические профессиональные заболевания – в клиниках профессиональных болезней научно-исследовательского и медицинского институтов, институтов усовершенствования врачей, а также в лечебно-профилактических учреждениях.

Министерством здравоохранения Республики Беларусь утвержден список профессиональных заболеваний. Он используется врачами для юридического признания заболевания профессиональным, а также при назначении пособий по временной нетрудоспособности, пенсий по инвалидности и при рассмотрении вопросов, связанных с возмещением предприятиями ущерба, причиненного здоровью работника.

Причины травматизма и заболеваний на производстве

Причины производственного травматизма и заболеваний можно подразделить на следующие группы: технические, организационные, санитарно-гигиенические, психофизиологические, субъективные и экономические.

Техническими причинами могут быть конструктивные недостатки машин, механизмов, инструментов, приспособлений или их неисправность; отсутствие, несовершенство, неисправность оградительных, блокировочных, вентиляционных устройств, зануления или заземления электроустановок; подтекание ядовитых жидкостей, газов через неплотности соединений трубопроводов, шлангов и др.

Организационные причины – это несвоевременное или некачественное проведение инструктажей и обучения по охране труда работающих, отсутствие инструкций по охране труда, недостаточный контроль за выполнением требований охраны труда работающими, неудовлетворительное содержание рабочего места, недостатки в организации коллективных работ, в обеспечении рабочих спецодеждой и другими СИЗ; использование техники, инструментов не по назначению, нарушение режима труда и отдыха, технологического процесса.

Санитарно-гигиенические причины – неблагоприятные природно-климатические условия или микроклимат в помещениях, повышенное содержание в воздухе вредных веществ, высокий уровень шума, вибраций, излучений, нерациональное освещение, антисанитарное состояние рабочих мест и бытовых помещений, несоблюдение правил личной гигиены и др.

Психофизиологические причины – монотонность, высокая напряженность труда, несоответствие анатомо-физиологических и психологических особенностей организма условиям труда, усталость, неудовлетворительная психологическая обстановка в коллективе и др.

Субъективные причины – это личная недисциплинированность работника, невыполнение инструкций по охране труда, нахождение в состоянии алкогольного или наркотического опьянения, в болезненном состоянии и др.

Экономическими причинами могут быть стремление работающих обеспечить высокую выработку и заработную плату при пренебрежительном отношении к вопросам охраны труда, недостаточное выделение средств на мероприятия по улучшению условий труда и др.

Несчастный случай (травма, заболевание) может быть вызван какой-то одной, но чаще несколькими связанными или не связанными между собой причинами, создающими опасную ситуацию на рабочем месте. Опасная ситуация включает в себя опасные условия и опасные действия.

Опасные условия – состояние производственной среды, не соответствующее установленным нормам. Оно выражается в наличии на рабочем месте тех или иных опасных и вредных производственных факторов и является следствием многих причин.

Опасное действие – неправильное, непрофессиональное действие работника, являющееся следствием необученности, неумения, нежелания, неспособности, а в отдельных случаях – невозможности работающего правильно оценивать производственную обстановку и выполнять все требования норм и правил охраны труда. Опасные действия, как правило, субъективны, т.е. зависят от конкретного работающего.

Профилактика травматизма и профессиональных заболеваний

Важную роль в профилактике травматизма играют пропаганда вопросов охраны труда, внедрение новых, передовых методов организации безопасной работы на каждом производственном участке. Необходимо поддерживать рабочие места, производственную и технологическую дисциплину на таком уровне, который полностью исключает несчастные случаи и заболевания на производстве. Профилактика также предполагает переход от решения отдельных, случайных задач к комплексу взаимосвязанных нормативных, организационных, технических, санитарно-гигиенических и экономических задач. Все мероприятия по улучшению условий труда, снижению производственного травматизма, заболеваний могут быть подразделены на законодательные, организационные, технические, медико-профилактические и экономические. Однако эта классификация в некоторой степени условна, так как отдельные мероприятия могут быть одновременно отнесены к разным группам.

Читайте также:
Допустимая доля иностранных работников в 2022 году: есть ли изменения

Законодательные мероприятия определяют права и обязанности работающих в области охраны труда, режим их труда и отдыха, охрану труда женщин и молодежи, санитарные нормы на предельное содержание в рабочей зоне вредных веществ, возмещение ущерба пострадавшим при увечье или ином повреждении здоровья, их пенсионное обеспечение, льготы за работу во вредных условиях труда и др.

Организационные мероприятия предусматривают внедрение системы управления охраной труда, своевременное обучение работающих, обеспечение инструкциями по охране труда, создание кабинетов по охране труда, организацию всех видов контроля за соблюдением требований охраны труда, аттестацию и паспортизацию условий труда рабочих мест, зданий, сооружений и т.д.

Технические мероприятия предполагают:

§ разработку и внедрение комплексной механизации и автоматизации тяжелых, вредных и монотонных работ, создание безопасной техники и технологии; установку предохранительных, сигнализирующих, блокировочных устройств;

§ технические решения по нормализации воздушной среды, производственного освещения, предупреждению образования и удалению из рабочей зоны вредных веществ, снижению шума, вибраций, защите от вредных излучений;

§ созданию изолированных кабин для операторов, работающих во вредных условиях, или дистанционного управления; разработку и изготовление коллективных и индивидуальных средств защиты и др.

Медико-профилактические мероприятия включают:

§ организацию предварительных и периодических медицинских осмотров работников;

§ обеспечение лечебно-профилактическим питанием;

§ проведение производственной гимнастики; ультрафиолетового и бактерицидного облучения,

§ применение хвойных, соляно-хвойных и других ванн, массажа и т.п.

Экономические мероприятия предусматривают материальное стимулирование работ по предупреждению травматизма и улучшению условий труда, более рациональное распределение средств, выделяемых на охрану труда, наложение штрафов на административных работников за нарушение законодательства о труде, возмещение виновными материального ущерба, причиненного предприятию несчастными случаями, и др.

Состояние условий труда на производстве

Согласно данным государственной статистической отчетности
4-охрана труда (Минтруда и соцзащиты) «Отчет по условиям и охране труда» в организациях республикипо состоянию на 1 января 2019 года по сравнению с 1 января 2018 года количество рабочих мест с вредными и (или) опасными условиями труда в организациях, представляющих отчет, уменьшилось с 607 831до 547 112.

В организациях республики в течение 2018 года приведены в соответствие с требованиями гигиенических нормативов 29 862 рабочих места для 37 503 работников (улучшены условия труда на 18 583 рабочих местах с вредными и (или) опасными условиями труда для
29 012 работников).

Количество рабочих мест с вредными и (или) опасными условиями труда

Информация о GDPR на русском языке

GDPR (General Data Protection Regulation)

  • Регламент (EU) 2016/679 (Русская версия, English version)
  • Директива (EU) 2016/680 (Русская версия, English version)

Основные цели GDPR

  • защита персональных данных
  • защита прав и свобод людей в защите их данных
  • ограничение перемещения персональных данных в рамках Евросоюза
  • далее

Основные термины

  • Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
  • Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
  • Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
  • DPO (Data Protection Officer) — сотрудник по защите персональных данных.

Права граждан

GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:

  • более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
  • право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
  • право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
  • право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.

Персональные данные

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.

Читайте также:
Увольнение по состоянию здоровья – положены ли выплаты и компенсации по ТК РФ

То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

Примеры персональных данных:

  • имя, фамилия
  • номер паспорта или ИД удостоверения
  • дата и место рождения
  • место проживания, регистрация, прописка
  • е-мейл, телефон, или другая контактная информация
  • ИП-адрес и патаметры соединения
  • дата и время посещения ресурса, история и параметры посещений, включая название браузера.

А также особо охраняемые данные:

  • раса и национальность
  • политические взгляды
  • вероисповедание
  • сексуальная ориентация
  • биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
  • данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
  • генетические данные – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

Принципы обработки данных по GDPR

Сфера действия GDPR

Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

Соответствие требованиям GDPR

  • Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
  • Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
  • Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома. Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
  • Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
  • Ведение необходимой отчетности, согласно положениям GDPR.

Несоблюдение норм GDPR

Утечка персональных данных

Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.

Что такое GDPR

И как он влияет на российский бизнес

Суть регламента, советы по внедрению + шаблоны документов

С мая 2018 года в Евросоюзе действует «Общий регламент о защите данных», или GDPR. Закон актуален для любых операторов, ведущих деятельность в странах Евросоюза. Российские предприниматели должны учитывать, что соблюдение отечественного законодательства не означает автоматического соответствия нормам GDPR. Мы, Open Academy, решили рассказать об уровне влияния GDPR на российские компании и о том, кому и как следует соблюдать нормы данного закона.

Что такое GDPR

General Data Protection Regulation (Общий регламент о защите данных) — закон, принятый Европейским Союзом с целью урегулирования и обеспечения прозрачности процесса обработки персональных данных. Он содержит требования к обработке, нормы о передаче персональных данных, стандартах защиты и штрафах за нарушение правовых норм.

Под персональными данными GDPR подразумевает любые сведения, позволяющие идентифицировать пользователя. Например:

  • имя и фамилия;
  • данные документа, удостоверяющего личность;
  • дата и место рождения;
  • место проживания/регистрации;
  • контактные данные;
  • IP-адрес и параметры соединения.

Отдельно классифицируют «особо охраняемые данные». К ним относят такие критерии, как:

  • национальная и расовая принадлежность;
  • вероисповедание;
  • политические взгляды;
  • данные о здоровье (медицинские заключения, результаты анализов и т. п.);
  • биометрические данные (запись голоса, отпечатки пальца и иные физические, физиологические или поведенческие признаки, пригодные для идентификации субъекта);
  • сексуальная ориентация и т. д.

В соответствии с GDPR с информацией работают два типа операторов — обработчики и контролёры. Первые непосредственно обрабатывают данные, вторые — выступают источником данных и проверяют их корректность. При этом компания вправе одномоментно быть и обработчиком, и контролёром. К примеру, обрабатывать данные клиентов и мониторить обработку данных своих сотрудников.

Читайте также:
Средняя зарплата пожарного в России, в Москве

Что важно знать об отличиях российских и западных клиентов

Узнаете, чем отличается российский клиент от западного. Поймёте, почему нужно адаптировать западные технологии продаж под российский рынок.

Узнаете, чем отличается российский клиент от западного. Поймёте, почему нужно адаптировать западные технологии продаж под российский рынок.

Основные идеи и цели регламента

Основные идеи регламента состоят в защите персональных данных, обеспечении прав и свобод людей в отношении защиты данных, ограничение свободного перемещения данных в рамках подконтрольной территории.

Среди основных целей закона можно выделить следующие:

  • внедрить современные стандарты защиты данных;
  • предоставить людям инструменты контроля над персональными данными;
  • развить цифровое пространство по защите данных;
  • обеспечить строго соблюдение утверждённых норм всеми участниками;
  • создать правовую базу для международной передачи персональных данных.
  • GDPR предусматривает, что операторы обязаны получать согласие на обработку данных, а пользователи вправе получать полную информацию о содержании данных и условиях обработки. Причём субъекты могут потребовать удаления своих данных, даже без объяснения причин, и компания обязана исполнить требование.

Что и кто попадает под действие GDPR

Действие GDPR распространяется на полностью либо частично автоматизированную обработку персональных данных граждан Евросоюза, как на территории ЕС, так и за его пределами. Соблюдать закон обязаны физические и юридические лица, организации, государственные структуры и иные институты. Любая деятельность, даже некоммерческая и безвозмездная, связанная с обработкой данной, попадает под влияние регламента.

Например, если сайт, доступный для граждан ЕС, собирает Cookies, то он попадает под действие закона. Когда в каком-либо сервисе зарегистрировался гражданин ЕС и оставил свои персональные данные, тоже требуется соблюдение GDPR.

Как GDPR влияет на российский бизнес

Частым заблуждением предпринимателей становится предположение, что соблюдения российского права вполне достаточно. В РФ действуют нормы, схожие с GDPR — ФЗ № 152 от 27.07.2006 «О персональных данных». Его цель также состоит в защите персональных данных при обработке.

Основное отличие ФЗ №152 в том, что он запрещает передачу данных другому оператору без согласия владельца. Он не требует уведомления пользователей и надзорных органов об утечке данных, что обязательно по стандартам GDPR. Но самое главное — он действителен только для операторов в пределах РФ.

GDPR актуален для российской организации, если она работает на территории ЕС и/или использует персональные данные европейских граждан. То есть, фактическое местонахождение организации и её юрисдикция значения не имеют.

К примеру, небольшая российская компания базируется в РФ и соблюдает российское законодательство. Она не имеет европейских филиалов, но в режиме онлайн оказывает услуги гражданам из ЕС. Соответственно, эта компания обязана соблюдать GDPR.

Чем грозит несоблюдение GDPR российским компаниям

Игнорирование норм GDPR может обернуться последствиями различного характера:

  • Экономические. За несоблюдение GDPR органы власти могут наложить на компании-нарушителей штрафы размером до 4 % от годового оборота. При этом сумма взыскания варьируется в зависимости от тяжести нарушения, его продолжительности и последствий. К примеру, французские власти присудили компании Google штраф в размере 50 млн евро за то, что пользователей мобильного приложения не уведомляли должным образом о порядке обращения с их персональными данными. Дополнительные финансовые последствия для нарушителей могут быть выражены исками от непосредственных владельцев данных.
  • Репутационные. Нежелание соблюдать GDPR может стать причиной негативного мнения о компании. Люди будут опасаться взаимодействия с компанией из-за отсутствия защиты данных. Партнёры будут избегать сотрудничества из-за плохой репутации.
  • Коммерческие. Если выяснится, что компания не соблюдает GDPR, клиенты могут уйти к конкурентам. Заключать договоры с другими компаниями будет сложнее. Всё это сильно повлияет на доходы.

Может показаться, что российскому бизнесу бояться нечего: где Россия, а где та Европа. Но действие регламента о защите данных экстерриториально. Если компания работает на европейском рынке, но зарегистрирована в России, её, может быть, и не накажут напрямую. Однако есть и иные способы влияния, помимо штрафов. Например:

  • ограничат доступ к сайтам на территории ЕС;
  • примут меры в отношении гендиректора (запрет на въезд и т. п.);
  • наложат арест на зарубежные счета и прочее.

Кроме того, есть риски и в работе с российскими партнёрами. К примеру, компания-партнёр активно сотрудничает с европейцами и ей важно поддержание хорошей репутации относительно защиты данных. Вряд ли такой компании нужны деловые отношения с сомнительными партнёрами.

В целом, исполнение GDPR полезно. Бизнес, соблюдающий регламент, соответствует большинству международных требований и ему гораздо проще выйти на западные рынки.

Читайте также:
Какая средняя зарплата в Санкт-Петербурге, в Питере

С чего начать внедрение GDPR в своём бизнесе

В первую очередь внимательно изучите регламент и выделите моменты, которые могут относиться к вашему бизнесу. Далее следует провести детальный аудит процессов, связанных с данными:

  • Установите, какие персональные данные собирает ваш проект, где и как они хранятся.
  • Выясните, как, когда, кем и зачем обрабатывают персональные данные.
  • Разработайте механизмы защиты данных. Обеспечьте защиту от взлома. Пропишите политику доступа к обработке данных. Ограничьте круг лиц, которые вправе работать с данными.
  • Назначьте ответственного сотрудника по защите персональных данных. В идеале он должен хорошо разбираться в GDPR и его применении на практике.

Что нужно сделать для соблюдения GDPR

На самом деле чтобы соблюсти требования GDPR, нужно просто уважать права пользователей. Но среди прочих дел можно и забыть о чём-то важном. Поэтому представляем вам тот минимум, который надлежит выполнить:

  1. Разместите на своём ресурсе информацию о сборе персональных данных. Объясните, что и зачем вы собираете. Любому новому пользователю показывайте уведомление о сборе данных и предлагайте ознакомиться с политикой. Например, можно сделать это посредством всплывающего окна.
  2. Спрашивайте пользователей о согласии на обработку данных. Желательно получать активное согласие, когда пользователь совершает действие для подтверждения. К примеру, проставляет галочку в чек-боксе «Я согласен с условиями обработки данных».
  3. Применяйте double opt-in (двойное подтверждение). Это пункт касается email-рассылки. Перед началом отправки рассылки новому подписчику попросите его подтвердить согласие путём перехода по ссылке в приветственном письме.
  4. По первому требованию пользователя предоставляйте и удаляйте данные. Помните, что владелец данных не обязан объяснять причину, достаточно его пожелания.
  5. Уведомляйте об утечке данных владельцев и органы контроля. Если произошла утечка данных, вне зависимости от причин, уведомите об этом пользователей. И непременно известите надзорные органы, одновременно предоставив план мер по исправлению ситуации.

Применение GDPR для российского бизнеса может и не потребоваться, если компания не планирует выход на европейские рынки или работу с гражданами ЕС. Однако добровольное соблюдение регламента положительно повлияет на репутацию, повысит прозрачность деятельности для клиентов и партнёров, увеличит уровень лояльности и доверия со стороны общества.

GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка

В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.

Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.

Кто в зоне действия GDPR?

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.

Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:
Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.

Должна ли такая организация соблюдать GDPR?
Да.

Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что:

— услуги/товары адаптированы на местные языки жителей ЕС;
— услуги/товары оплачиваются в местных валютах ЕС;
— услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.

Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.

Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).

Читайте также:
Отчётность в военкомат — до какого числа сдается

Мониторинг может включать:

— отслеживание резидента ЕС в интернете;
— использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.

Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.

Что подразумевается под персональными данным в GDPR?

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.

Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).

6 принципов обработки данных по GDPR

Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:

1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Ключевые требования

Уведомление о случаях нарушения GDPR
Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.

Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.

Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).

Права субъекта данных (физического лица)

GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.

В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.

Читайте также:
Job offer – пример, что это такое

Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.

Право на переносимость данных

Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.

Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).

Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.

Согласие на обработку

GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.

Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

Особая защита детей

Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).

Назначение ответственного за защиту персональных данных

Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.

В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.

Что делать?

Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).

Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.

Читайте также:
Как писать докладную записку: образец

Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).

Вывод

GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.

«Игнорировать GDPR будет сложно всем»: что нужно знать о новом регламенте

Исполнительный директор Digital Contact

25 мая вступает в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными в Европейском союзе.

Ольга Кутейникова, исполнительный директор Digital Contact, отвечает на шесть самых распространенных вопросов о GDPR.

1. Что такое GDPR

Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.

Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.

Принципы GDPR:

  • Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.
  • Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.
  • Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.
  • Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.
  • Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.
  • Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.

2. Кого коснется

GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.

3. Почему мне это нужно знать

Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.

4. Что грозит тем, кто не выполняет требования

За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.

Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

5. Что нужно сделать прямо сейчас

Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.

Читайте также:
Как написать заявление на материальную помощь - образец

Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.

6. Где почитать больше по теме

Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.

  • С официальным текстом регламента по защите персональных данных можно ознакомиться здесь. На сайте Еврокомиссии также можно найти интересную информацию о том, почему так важно было разработать новый регламент: чем это хорошо для резидентов ЕС, какие выгоды получит бизнес, и как новые правила помогут компаниям сэкономить деньги, используя единый закон во всех странах ЕС.
  • Коротко на русском языке основная информация по GDPR показана в презентации PwC «GDPR: что нужно знать российскому бизнесу». В ней также есть детальное сравнение GDPR и российского 152-ФЗ.
  • Институт Исследований Интернета подготовил «Анализ возможных последствий и влияния GDPR на бизнес российских операторов персональных данных» и бонусом добавил перевод текста регламента на русский язык.

Общий регламент по защите данных (GDPR): что нужно знать российским онлайн-продавцам

25 мая 2018 года начал действовать Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), новый закон о защите персональных данных всех граждан Европейского союза.

Даже если вы продаете только по России, нельзя быть уверенным, что в ваш не попадет гражданин Евросоюза. Он вводит свой email при покупке или подписывается на рассылку, и вы тут же попадаете под действие регламента. Тем, кто не соблюдает правила, грозит штраф до 20 миллионов евро или от 2 до 4% годового глобального дохода компании.

Рассказываем, что делать, чтобы не было проблем с GDPR. Требования регламента могут меняться в зависимости от бизнеса, если вы уже продаёте свои товары в Европу, проконсультируйтесь с юристом.

Как работает GDPR

Общий регламент по защите данных дает гражданам Европейского союза право полностью контролировать данные, которые собирают и другие

Теперь при сборе персональных данных европейцев компания обязана получить на это явное разрешение от пользователей, предоставить информацию о собранных данных, исправить, удалить их и ограничивать к ним доступ по первому требованию пользователя.

Что понимают под личными данными в GDPR?

Любая информация, с помощью которой можно напрямую или косвенно идентифицировать человека: имя, email, дата рождения, пол, возраст, место жительства, Если вы собираете данные, которые относятся к личной, профессиональной или общественной жизни человека, вы должны соблюдать требования GDPR.

Как GDPR повлияет на мой бизнес?

Вы несете полную ответственность за личные данные граждан ЕС, которые они вам предоставляют, а также обязаны обеспечить им возможность контролировать то, как эта информация используется.

  • Вы должны всегда получать согласие на сбор любых данных пользователей, для чего бы они вам не понадобились: маркетинг, продажи, бухгалтерский учет и так далее.
  • Вы должны обеспечить покупателям простой способ доступа, изменения и удаления информации, которой они с вами поделились.
  • Вы (или ваш сотрудник) становитесь ответственны за хранение данных, сообщение информации об утечке данных и нарушениях GDPR в Международную организацию по сертификации.

Нарушение GDPR может стоить вам целое состояние (до 20 миллионов евро или 4% от годового мирового оборота компании). С другой стороны, практика исполнения решений ЕС в РФ развита не очень хорошо. Если Комиссия ЕС наложит штраф на российскую компанию, возможно до его реального исполнения не дойдёт. Но на территории ЕС работа будет затруднена.

Нельзя быть уверенным на 100%, что ни один гражданин ЕС не зайдет на ваш сайт или мобильное приложение. Поэтому стоит позаботиться о таком способе сбора и хранения личных данных, который удовлетворяет требование регламента. Есть вероятность, что другие страны (в том числе Россия) в будущем придут к тем же правилам. В этом случае вы уже будете готовы.

Как соответствовать GDPR

Если у вас есть клиенты из ЕС, проконсультируйтесь с юристом. Если таких клиентов пока нет, но вы не хотите переживать GDPR, выполните наши рекомендации:

Сообщите сотрудникам об изменениях

Разошлите всем эту статью и проинструктируйте каждого, кто связан с личными данными.

Проверьте досконально, какие данные вы собираете

Вы должны записать все до мелочей: как данные покупателей поступают в вашу организацию, как используются и как покидают её. Документируйте:

  • Какие личные данные вы храните (например, имена, электронные адреса).
  • В каком формате данные поступают к вам (например, онлайн или на бумаге).
  • Откуда они к вам поступают (например, по телефону, через услуги третьих лиц, соцсети).
  • Как вы их храните (например, в облачном хранилище, пользуетесь услугами третьих лиц, в своем офисе).
  • Как вы их используете (например, как долго они хранятся, с кем вы ими делитесь).
Читайте также:
Как на работе отметить день рождения с коллегами

Это необходимо, чтобы понять, кто несет ответственность за данные покупателей на каждой стадии. Ревизия информации поможет вам оценить все риски, связанные с потоком данных.

Обновите свою Политику конфиденциальности

Регламент обязывает написать Политику конфиденциальности простым и понятным языком и дать доступ к ней на вашем сайте.

Документ должен быть обязательно, а вот объяснить его смысл покупателям можно разными способами, например, с помощью видео:

Интересный подход к обновлению Политики конфиденциальности от ASOS: видео, в котором объясняется, какие данные покупателей используются и зачем

Вот что нужно написать в Политике конфиденциальности, чтобы она соответствовала GDPR (распишите все как можно подробнее):

  • Какие данные вы собираете.
  • Почему они вам нужны (на законных основаниях, например, для информированного согласия).
  • Как вы их получаете (по телефону, по электронной почте и так далее, вручную или автоматически).
  • Как долго вы будете их хранить (на законных основаниях, например, пока не истечет срок действия гарантии товара).
  • С кем вы ими делитесь (включая любые сторонние службы).
  • Как пользователи могут получать доступ к своим данным, изменять или удалять их.
  • Как они могут отказаться от вашей рекламной рассылки.

Вы должны уведомить покупателей обо всех изменениях в Политике конфиденциальности (например, с помощью рассылки). Не забывайте сообщать об обновлении документа и вашим сотрудникам.

Получите явное согласие покупателей на сбор и обработку их данных

На странице подписки на рассылку, в корзине разместите форму с галочкой. В ней должно быть четко прописано, на что пользователи дают согласие, и кому они его дают.

Нельзя ставить галочку в форме по умолчанию, пользователь должен кликнуть на неё сам.

Регистрируя почтовый ящик на Яндексе, пользователь видит, на что дает согласие, и должен поставить эту галочку сам

Чтобы добавить форму согласия в используйте инструкцию.

Дайте пользователям возможность получать доступ к своим персональным данным, изменять и удалять их

В соответствии с GDPR, вы должны предоставить клиентам копию их личных данных, которые храните. Это касается не только но и всех сервисов, которые вы используете. Например, сервис почтовой или смс рассылки.

Данные клиентов своего вы можете найти в панели управления. В случае дополнительных вопросов от пользователей Эквид предоставит вам информацию, которую хранит.

У вас должна быть возможность быстро исправить неточные данные клиента и позволить клиентам обновлять свои предпочтения обмена данными. Например, отписаться от вашей рассылки должно быть легко. Добавьте ссылку «Отписаться» в каждое ваше письмо. Оперативно реагируйте на прямые запросы: если клиент просит вас обновить свою фамилию или email в вашей почтовой базе, вы должны сделать это в течение 30 дней.

Если пользователь просит удалить его данные, по GDPR вы также обязаны это сделать.

Обеспечьте безопасность данных

Данные пользователей, которые хранятся в Эквиде, защищены. Вам не нужно о них беспокоиться. Однако, есть несколько мер предосторожности:

  1. Никогда не сообщайте свой логин и пароль от другим людям. Если вам нужно открыть доступ, используйте Аккаунты сотрудников. Все пароли должны быть надежными.
  2. Прежде чем добавить на ваш сайт, убедитесь, что он использует протокол HTTPS и сквозное шифрование данных.

Пользуйтесь услугами только тех сервисов и сторонних приложений, которые соответствуют требованиям GDPR. Если вам стало известно об утечке персональных данных, сообщите об этом своим клиентам в течение 72 часов.

Как Эквид подготовился к GDPR

Эквид собирает, хранит, обрабатывает и делится личными данными, основываясь на рекомендациях GDPR. Для соблюдения регламенты мы сделали следующее:

  • назначили инженера по защите данных, он отвечает за безопасность информации в Эквиде;
  • обучили команду, как работать в соответствии с GDPR;
  • научили команду обрабатывать запросы на предоставление данных пользователям и удаление данных;
  • разработали методы обнаружения, исследования и устранения проблем с персональными данными;
  • работаем только с партнерами, которые могут обеспечить сохранность данных.

Если вы используете надежные облачные сервисы, как Эквид, соответствовать GDPR будет проще. Тем, кто полагается на внутренние серверы или заказное программное обеспечение, придется самим организовывать весь процесс хранения данных.

Мы постарались привести Эквид в полное соответствие GDPR, чтобы помочь вам подготовить свой к переменам.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: