Правила и инструкции не могут обеспечить соответствие GDPR, если их применять неправильно
С момента вступления в силу Общего регламента по защите данных (GDPR) прошло уже больше трёх месяцев. Мы предполагаем, что те из вас, кто ведёт бизнес, уже пересмотрели свою работу и внутренние процедуры, и привели их в полное соответствие с комплексными требованиями GDPR. Скорее всего, вы уже выяснили, в каком объёме GDPR применим к вашей компании. Возможно, вы определили фактическую ситуацию, провели аудит, написали внутренние инструкции и сохранили их в соответствующих папках.
Если все вышеуказанное верно, то это уже является отличным результатом, и вы уделяете этому вопросу столько внимания, сколько он действительно заслуживает. Однако мы хотели бы отметить, что соответствие GDPR – это не только лишь формальность. Защита личных данных должна стать неотъемлемой частью ежедневных операций компании.
Инструкции являются бессмысленными, если никто не знает, как ими пользоваться!
Процессы и инструкции по защите личных данных не имеют смысла, если их не применять, или применять их неправильно. Ваши сотрудники, работающие с личными данными, должны быть ознакомлены с данными документами. Под словом «ознакомлены» мы подразумеваем не только формальное получение подписи сотрудника под инструкцией, но и действительное обучение своего персонала. Результатом такого обучения станет то, что сотрудники будут не просто следовать инструкциям, а будут понимают, как защитить личные данные, сумеют распознать потенциальные ситуации, когда может произойти утечка личных данных, и не допустить этого. Это позволит защитить и ваш бизнес в целом – данные о клиентах, конфиденциальную информацию, и т.д., так как сотрудники станут более аккуратны и внимательны в отношении того, какие действия они производят с полученной рабочей информацией.
Также мы советуем обратить вам особое внимание на то, как ваша компания не только информирует и обучает своих сотрудников о защите личных данных в целом, но и о том, какие личные данные о самих сотрудниках и для каких целей вы обрабатываете как работодатель, например, о доступе работодателя к компьютерам сотрудников, и т.д.
Руководство может провести обучение и информировать сотрудников самостоятельно, либо попросить помощи специалиста.
HR-специалисты, внимание!
GDPR применима и к личным данным сотрудников. Это налагает дополнительные обязанности на HR-специалистов компании, а именно: сотрудники должны иметь возможность узнать у вас, какие личные данные работодатель обрабатывает о них и почему. Например, если сотруднику не нравится его фото на домашней странице компании, он имеет полное право потребовать его удалить. То же самое действует в отношении любой другой опубликованной личной информации о сотруднике, например, об уходе сотрудницы в декрет. При этом сотрудник может ссылаться на GDPR, и HR-специалист должен всегда быть готовым предоставить ответ на подобный запрос.
Также важно понимать, как и какая именно информация (личные данные) может быть предоставлена сотруднику и в какой форме, чтобы обеспечить, что личные данные остаются в безопасности и не выдаются третьим лицам.
Только лишь факт наличия у вашей компании правил и инструкций не гарантирует защиту личных данных, а так как утечка данных может произойти способом, который не всегда возможно предугадать, сотрудники должны быть проинформированы о данных вопросах настолько подробно и хорошо, насколько это возможно.
Обязательно свяжитесь с нами в случае дополнительных вопросов.