Данные вашего предприятия в PayTraq и Европейская директива о защите персональных данных (GDPR)

Контролер данных ответственен, в частности, за соответствие следующим требованиям Директивы GDPR:

1) Персональные данные, которые хранит контролер данных, должны быть актуальными и точными. Обработка неточных персональных данных запрещена. Физическое лицо имеет право потребовать, чтобы устаревшие или неточные данные были исправлены.

2) Персональные данные могут собираться и храниться только в тех целях которые были объявлены, о которых физическое лицо (субъект данных) было проинформировано, и на которые дало свое действительное специальное информированное и активное согласие. Если цели, в которых были получены данные, изменяются или возникают какие-либо новые цели, согласие необходимо получить еще раз. Все предприятия, в соответствии с Директивой GDPR, должны убедиться, что они располагают действительными согласиями физических лиц в отношении собранных ранее данных, и в случае, если такого согласия нет, или оно относится не ко всем данным, то удалить такую персональную информацию.

3) Персональные данные должны иметь ограниченное время хранения. Время хранения персональной информации должно быть ограничено либо датой, либо моментом наступления определенного события. Если согласие на хранение персональной информации было отозвано или исчезло правовое обоснование ее хранения, то данные должны быть удалены (в некоторых случаях анонимизированны). В случае, если конкретный срок хранения персональной информации не может быть установлен, предприятие обязано проводить регулярные проверки сохраненной персональной информации на предмет наступления событий, которые должны ограничивают время ее хранения.

4) Любая обработка персональных данных – создание, изменение, просмотр, удаление, перенос, должна производиться только тогда, когда это действительно необходимо, и может проводиться исключительно специально авторизованными и обученными сотрудниками.

5) Физическое лицо должно быть проинформировано о собираемых о нем персональных данных, целях их использования, периоде хранения этих данных, а также о его правах как субъекта данных.

6) Любые заявления физических лиц в отношении их персональных данных должны быть рассмотрены в течение не более чем 30 дней, необоснованные задержки недопустимы.

7) Все предприятия использующие программное обеспечение PayTraq, являясь контролерами данных, которые они размещают в PayTraq, ответственны за обработку этих данных в соответствии с требованиями Директивы GDPR, а также за обоснованное хранение этих данных.

8) Все предприятия использующие программное обеспечение PayTraq, как контролеры данных, обязаны обеспечивать необходимую защиту этих данных при их обработке вне PayTraq.

Обратите внимание, что хранение особо конфиденциальных данных (относящихся к категории "специальных персональные данные", статья 9 Директивы GDPR "Обработка специальных категорий персональных данных") в PayTraq запрещено. К специальным персональным данным относятся данные о здоровье, сексуальной ориентации, расовом или этническом происхождении, политических мнениях, убеждениях или членстве в профсоюзах, также биометрические данные используемые для целей идентификации.

Директивы о Защите Персональных Данных (GDPR) предоставляет физическим лицам широкие права в отношении их персональных данных:

- Любое физическое лицо имеет право быть забытым. Контролер данных должен удалить или анонимизировать персональные данные если физическое лицо, субъект этих данных, запрашивает это, и дальнейшая обработка этих данных не имеет законных оснований.

- Персональные данные должны быть переносимы. Физическое лицо имеет право запросить копию его персональных данных и переместить их на к другому контролеру данных.

- Физическое лицо имеет право, в любое время, отозвать данное им согласие на использование его персональных данных, или ограничить их использование только такими целями которые минимально необходимы для получения услуги или приобретения товара.

Стоит обратить внимание, что несмотря на то, что Директива GDPR дает клиенту (физическому лицу) право потребовать удаление его персональной информации, предприятие имеет право сохранять ее в некоторых случаях, даже после получения требования об удалении. После получения подобного требования, имеет смысл убедиться, что клиент не имеет перед предприятием неоплаченных обязательств, так как наличие таких обязательств это законная причина для сохранения контактной информации клиента.

Отметим, что Директива GDPR регулирует исключительно обработку информации физических лиц, а не предприятий. Предприятия не имеет права требовать удаления их информации, хотя физические лица, являющиеся контактными лицами предприятия – имеют.

Стандартная функциональность PayTraq ориентирована на бухгалтерский учет, управление продажами, закупками и складскими запасами. PayTraq не предоставляет возможности для массовых рассылок по электронной почте или маркетинговые функции. Также PayTraq не собирает персональные данные – мы только предоставляем бизнес пользователям программное решение, которое может быть использовано для ввода и хранения данных. Поскольку у PayTraq нет доступа к персональной информации, которую хранят и обрабатывают бизнес-пользователи, мы не можем собирать или хранить согласия их клиентов для целей обработки персональных данных. Эта ответственность лежит на самих предприятиях.