Посібник з відповідності RGPD для бізнесу у Франції

Name: LOCK.PUB
Author: LOCK.PUB

Загальний регламент захисту даних (GDPR), відомий у Франції як RGPD, діє з 2018 року, але багато компаній досі не досягли повної відповідності. Зі штрафами до 20 мільйонів євро або 4% світового річного обороту та посиленням контролю з боку французького регулятора CNIL, дотримання вимог стало обов'язковим.

Цей посібник охоплює основні зобов'язання та останні зміни, включаючи вимоги прозорості ШІ 2025 року.

Чому це серйозно

Тип порушення	Максимальний штраф
Технічні порушення	10 млн EUR або 2% обороту
Порушення прав	20 млн EUR або 4% обороту

CNIL наклала понад 400 мільйонів євро штрафів з моменту набуття чинності RGPD. МСП не звільнені — санкції від 50 000 до 500 000 EUR регулярно застосовуються до організацій будь-якого розміру.

7 основних зобов'язань

1. Інформована згода

Згода повинна бути:

Вільною — жодних попередньо відмічених полів
Конкретною — окрема згода на кожну мету
Інформованою — чітке пояснення використання даних
Однозначною — потрібна активна дія користувача

2. Реєстр обробки даних

Обов'язковий для організацій з понад 250 працівниками, але рекомендований для всіх. Має містити цілі обробки, категорії даних, одержувачів, строки зберігання та заходи безпеки.

3. Відповідальний за захист даних (DPO)

Обов'язковий для державних органів, організацій, що обробляють дані у великих масштабах, та тих, що працюють з чутливими даними. Навіть без обов'язку призначення DPO є найкращою практикою.

4. Оцінка впливу на захист даних (DPIA)

Необхідна, коли обробка може створити високий ризик для прав осіб. Приклади: відеоспостереження, профілювання, обробка медичних даних.

5. Повідомлення про порушення

При витоку даних:

72 години для повідомлення CNIL
Повідомлення постраждалих осіб при високому ризику
Документування кожного порушення, навіть незначного

6. Право на інформацію

Кожна особа має знати, які дані збираються, чому, як довго зберігаються, хто має доступ та як реалізувати свої права (доступ, виправлення, видалення, перенесення).

7. Прозорість ШІ (нове у 2025)

З 2025 року організації, що використовують ШІ для автоматизованих рішень, зобов'язані інформувати суб'єктів, пояснювати застосовану логіку та допускати оскарження рішень.

Безпечний обмін документами відповідності

Документи відповідності RGPD містять конфіденційну інформацію: реєстри обробки, оцінки впливу, аудиторські звіти, листування з регулятором.

Надсилання звичайною електронною поштою створює додаткові ризики. LOCK.PUB дозволяє створити захищене паролем посилання з автоматичним терміном дії для безпечного обміну документами з DPO, юристом чи CNIL. Надішліть посилання через Telegram — зручно та безпечно.

Безкоштовні інструменти CNIL

CNIL надає кілька безкоштовних інструментів:

PIA: програма оцінки впливу з відкритим кодом
Шаблон реєстру обробки (завантажити з cnil.fr)
Посібник для субпідрядників (обов'язки обробників)
Галузеві рамки (охорона здоров'я, HR, клієнти)

Чек-лист відповідності RGPD

Типові помилки

Плутати згоду та законний інтерес — це дві різні правові підстави
Надмірне зберігання даних — зберігати дані "про всяк випадок" незаконно
Забувати про підрядників — ви несете відповідальність за своїх обробників
Нехтувати безпекою — RGPD вимагає належних технічних заходів
Ігнорувати права суб'єктів даних — у вас є 1 місяць на відповідь

Висновок

Відповідність RGPD — це безперервний процес, а не разовий проєкт. Правила змінюються, CNIL посилює контроль, а очікування громадян щодо конфіденційності продовжують зростати.

Почніть з основ — реєстр, прозорість, безпека — та розвивайте далі. Коли потрібно передати конфіденційні документи відповідності, використовуйте LOCK.PUB.

Захист даних — це не лише юридичний обов'язок. Це зобов'язання перед клієнтами та працівниками.

Посібник з відповідності RGPD (GDPR) для бізнесу у Франції