10 шагов по защите персональных данных (GDPR) в судоходстве 05.05.2021

10 шагов по защите персональных данных (GDPR) в судоходстве

Общее положение о защите персональных данных (GDPR) вступило в силу в Европе 25 мая 2018 года. В первую очередь GDPR направлен на защиту прав и свобод человека и его частной жизни. Штрафы за нарушение регламента могут достигать до 20 млн. евро или составлять 4% от общего оборота компании. Также нарушения в области GDPR могут сильно отразиться на репутации организации.


ПОЧЕМУ GDPR ВАЖЕН ДЛЯ СУДОХОДСТВА?

Несмотря на то, что защищать персональные данные обязаны абсолютно все компании, для судоходной отрасли GDPR является особенно важным. На это есть ряд причин:

· Судоходные компании обрабатывают персональные данные своего экипажа ежедневно. Как правило, процедура обработки данных проходит в промежутке между посадками или после последней дебаркации (выгрузки товаров/высадки людей с судна на берег), в связи с чем требует от исполнителя повышенной внимательности и ответственности.

· Предоставляемые личные данные включают в себя:

- документы, удостоверяющие личность;

- банковские реквизиты;

- проездные документы;

- документы об образовании;

- медицинские заключения

и другие.

· Судоходные компании получают персональные данные из разных источников, включая третьи лица. К таким источникам относятся: сами физические лица, агенты по подбору персонала, портовые агенты и т.д.

· Собранные персональные данные судоходные компании рассылают портовым агентам, туристическим агентствам и клубам P&I (агентам морского страхования).

·       Морские юрисдикции стран требуют разный пакет персональных данных, в зависимости от местного законодательства и условий сотрудничества между государствами.

 

10 ШАГОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В СУДОХОДСТВЕ


1. ПОВЫСИТЬ ОСВЕДОМЛЕННОСТЬ О GDPR

Важно, чтобы судоходные компании повышали осведомленность топ-менеджмента о GDPR: основные требования, возможные риски, последствия. Необходимо выделить ресурсы и время на формирование культуры компании в отношении прав и свобод человека и его частной жизни.

 

2. СОБРАТЬ КОМАНДУ

Руководству компании необходимо собрать многопрофильную команду для управления проектом. Команда должна учесть все условия местного законодательства, возможности IT-технологий и просчитать вероятные риски организации. При необходимости рекомендуется назначить должностное лицо, ответственное за защиту персональных данных. Также судоходные компании могут обратиться за помощью к консультантам, которые уже имеют опыт работы с GDPR и помогут сэкономить время.

3.ОПРЕДЕЛИТЬ ЭТАПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Необходимо определить этапы обработки персональных данных в компании, начиная от сбора информации до полного ее уничтожения. Следует также определить ответственных за данную процедуру.

 

4. ПРОАНАЛИЗИРОВАТЬ СЛАБЫЕ МЕСТА

Компаниям потребуется найти слабые места, оценить риски и составить практический план действий по минимизации этих рисков. Чтобы определить слабые места, рабочей группе нужно обратить внимание на политику компании, текущее соответствие всем требованиям (например, ISM, MLC и т.д.), рассмотреть инструменты, при помощи которых она работает (включая юридические документы), а также IT-среду.

 

5. НАЧАТЬ ДЕЙСТВОВАТЬ

После того как разработан план действий, можно переходить к его реализации. Обычно план включает в себя внесение изменений в политику конфиденциальности компании, работу с агентами по подбору персонала, клубами P&I (агентами морского страхования), портовыми агентами, персоналом и экипажем. Составляются соответствующие формы согласия между двумя сторонами. Также изменения могут касаться IT-безопасности, условий труда и форс-мажорных обстоятельств.

 

6. РАЗРАБОТАТЬ ПЛАН ДЕЙСТВИЙ ПРИ ФОРС-МАЖОРНЫХ ОБСТОЯТЕЛЬСТВАХ

Крайне важно, чтобы компании разработали план действий при форс-мажорных обстоятельствах, если такого нет. В случае утечки персональных данных уведомление в Надзорный орган должно быть направлено в течение 72 часов с момента инцидента. В плане необходимо отразить четкий алгоритм действий, ответственных, а также указать требования к процессу расследования дела (для выяснения обстоятельств утечки информации), инструкцию по работе со СМИ, шаблоны сообщений для всех пострадавших и т.д. Кроме того, судоходные компании должны вести журнал с отметками всех форс-мажорных обстоятельств. В нем необходимо подробно фиксировать всю информацию о происшествии и раскрытии дела.

 

7. ОЦЕНИТЬ УЯЗВИМОСТЬ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ

Компаниям необходимо оценить, насколько уязвимы их данные при принятии важных стратегических решений. Требования к защите персональных данных должны прописываться в каждом проекте еще на стадии его проектирования. Например, заключая сделку с иностранным агентом по подбору персонала, не входящим в состав Евросоюза, необходимо оценить, насколько данные будут уязвимы при их передаче за рубеж. Такая мера поможет избежать заключения сделок с высокорискованными деловыми партнёрами.

 

8. ПРОВЕСТИ ОБУЧЕНИЕ ДЛЯ СОТРУДНИКОВ

Когда план по защите и обработке персональных данных полностью завершен, следует провести обучение по GDPR для всех сотрудников и работающих бригад. Личные данные экипажа, как правило, хранятся на борту судов, поэтому важно, чтобы обучение проходило для всех, включая офицеров.

 

9. НЕ ЗАБЫВАТЬ ПРО МОНИТОРИНГ ДАННЫХ

Как и все, судоходные компании должны постоянно проверять и обновлять персональные данные. Нужно показать, что организация соответствует всем требованиям GDPR, по необходимости может изменить политику компании, обучает сотрудников и экипаж, обновляет официальные документы и соглашения (если они имеют отношение к защите персональных данных). Также судоходным компаниям рекомендуется проводить тестирование операционной эффективности.

 

10.РАЗВИВАТЬ КУЛЬТУРУ ВНУТРИ КОМПАНИИ

Независимо от того, насколько хорошо в вашей организации развита система обработки и защиты персональных данных, важным элементом остается человеческий фактор. Руководству необходимо знать, насколько сотрудники понимают и реализуют ценности компании. Создание и поддержание соответствующей культуры внутри организации позволит людям относиться к защите своих персональных данных более внимательно и ответственно.

 

 


Возврат к списку




Моор СТ- независимая группа компаний со стопроцентным российским участием.