Начало или приобретение нового бизнеса может быть захватывающим и напряженным временем. Учитывая такое количество деталей, требующих внимания, вы можете не помнить о своих обязанностях в отношении обработки персональных данных. До вступления в силу GDPR несколько лет назад большинство владельцев бизнеса предполагали, что они владеют собранными ими персональными данными. Они, по сути, были свободны использовать его по своему усмотрению и могли получать прибыль от его использования. Однако в GDPR твердо установлено, что персональные данные принадлежат субъектам данных, а не предприятиям. Таким образом, предприятия не могут передавать эти данные без разбора.
Обстоятельства, которые могут помешать передаче данных от продавца вам, включают:
До вступления в силу GDPR несколько лет назад большинство владельцев бизнеса предполагали, что они владеют собранными ими персональными данными. Они, по сути, были свободны использовать его по своему усмотрению и могли получать прибыль от его использования. Однако в GDPR твердо установлено, что персональные данные принадлежат субъектам данных, а не предприятиям. Таким образом, предприятия не могут передавать эти данные без разбора.
Обстоятельства, которые могут помешать передаче данных от продавца вам, включают:
- Политика конфиденциальности продавца не допускает продажу бизнеса или смену владельца.
- Субъекты данных дали свое согласие, но это согласие не может быть законно передано вам.
- Продавец обрабатывает данные от имени третьей стороны, а соглашения об обмене данными не допускают смену владельца или контроля.
Если вы объединяете бизнес в свой собственный, имейте в виду, что ваша существующая политика конфиденциальности может не применяться к новым данным, которые вы приобретаете. Вам также может потребоваться продлить согласие субъектов данных на дальнейшее использование их персональных данных после смены владельца.
Имеете ли Вы право использовать Персональные данные После передачи?
Законная передача данных — это одно, а ваше право на последующее использование этих данных — совсем другое. Вы должны убедиться, что у вас есть законное право использовать эти данные и понимать ограничения, которые к ним применяются. Подумайте, для каких целей вы используете эти данные, прежде чем начать их использовать.
Спросите себя, будете ли вы использовать данные для тех же целей, что и предыдущий владелец, и если нет, то есть ли у вас все еще законные основания для обработки данных. Кроме того, определите, подлежит ли передаче согласие субъектов данных, данное предыдущему владельцу бизнеса.
Где будут храниться данные и с кем они будут переданы, — это другие важные проблемы. Если данные хранятся за пределами ЕС, вы должны иметь их в стране, одобренной Европейской комиссией. Чтобы поделиться данными с другими, вам также необходимы соответствующие соглашения об обмене данными.
Каковы потенциальные обязательства?
Возможно, вы берете на себя обязательства продавца при покупке бизнеса. В этом случае вы должны иметь четкое представление об этих обязательствах, касающихся защиты и обработки данных. Проведение тщательного аудита поможет вам определить эти обязательства.
Аудит обработки данных предыдущим владельцем бизнеса может включать такие моменты, как:
- Точное отображение и каталогизация персональных данных
- Актуальные записи о действиях по обработке
- Полные и надежные DPIAS для наборов данных высокого риска
- Завершите оценку законных интересов
- Подробные записи о согласии
- Кому были предоставлены данные и обрабатывались ли другие обработчики должным образом
- Нарушения
- Запросы данных, на которые еще не получены ответы
- Ожидающие рассмотрения претензии или расследования, касающиеся защиты данных
Как вы должны обрабатывать персональные данные во время транзакции?
Защита данных должна быть предусмотрена в самом процессе слияния или транзакции. По мере продолжения процесса вы, продавец и ваши агенты будете иметь доступ к персональным данным во все большем масштабе, поэтому вы должны обеспечить принятие защитных мер для обеспечения соответствия.
Вам могут потребоваться соглашения о неразглашении с надежными положениями о защите данных, соглашениями об обмене данными и обновленными политиками конфиденциальности для процесса приобретения. Стороны также должны уделять особое внимание комнате данных, обеспечивая ее заполнение только необходимыми данными и доступ только к уполномоченным лицам.
Помня о защите данных
К сожалению, многие новые предприятия не учитывают защиту персональных данных. Большие объемы данных и сложность их обработки делают защиту данных сложным аспектом построения нового бизнеса. Если ваш бизнес достаточно велик, вам также может потребоваться сотрудник по защите данных (DPO) для контроля за деталями.
Использование аутсорсинговых услуг DPO может помочь вам стать и оставаться совместимым без дополнительных затрат. Помните о защите данных при создании своего нового бизнеса, и у вас будет меньше шансов столкнуться с проблемами позже.