GDPR-— Общий регламент защиты персональных данных. Защита данных GDPR в 2023 году

 

С мая 2018 года в Евросоюзе действует «Общий регламент о защите данных», или GDPR. Закон актуален для любых операторов, ведущих деятельность в странах Евросоюза.

Российские предприниматели должны учитывать, что соблюдение отечественного законодательства не означает автоматического соответствия нормам GDPR.

Мы, Open Academy, решили рассказать об уровне влияния GDPR на российские компании и о том, кому и как следует соблюдать нормы данного закона.

 

General Data Protection Regulation (Общий регламент о защите данных) — закон, принятый Европейским Союзом с целью урегулирования и обеспечения прозрачности процесса обработки персональных данных. Он содержит требования к обработке, нормы о передаче персональных данных, стандартах защиты и штрафах за нарушение правовых норм.

 

Под персональными данными GDPR подразумевает любые сведения, позволяющие идентифицировать пользователя. Например:

 

• имя и фамилия;
• данные документа, удостоверяющего личность;
• дата и место рождения;
• место проживания/регистрации;
• контактные данные;
• IP-адрес и параметры соединения.

 

Отдельно классифицируют «особо охраняемые данные». К ним относят такие критерии, как:

 

• национальная и расовая принадлежность;
• вероисповедание;
• политические взгляды;
• данные о здоровье (медицинские заключения, результаты анализов и т. п.);
• биометрические данные (запись голоса, отпечатки пальца и иные физические, физиологические или поведенческие признаки, пригодные для идентификации субъекта);
• сексуальная ориентация и т. д.

 

В соответствии с GDPR с информацией работают два типа операторов — обработчики и контролёры. Первые непосредственно обрабатывают данные, вторые — выступают источником данных и проверяют их корректность. При этом компания вправе одномоментно быть и обработчиком, и контролёром. К примеру, обрабатывать данные клиентов и мониторить обработку данных своих сотрудников.

  

Основные идеи регламента состоят в защите персональных данных, обеспечении прав и свобод людей в отношении защиты данных, ограничение свободного перемещения данных в рамках подконтрольной территории.

 

Среди основных целей закона можно выделить следующие:

 

• внедрить современные стандарты защиты данных;
• предоставить людям инструменты контроля над персональными данными;
• развить цифровое пространство по защите данных;
• обеспечить строго соблюдение утверждённых норм всеми участниками;
• создать правовую базу для международной передачи персональных данных.
• GDPR предусматривает, что операторы обязаны получать согласие на обработку данных, а пользователи вправе получать полную информацию о содержании данных и условиях обработки. Причём субъекты могут потребовать удаления своих данных, даже без объяснения причин, и компания обязана исполнить требование.

  

Действие GDPR распространяется на полностью либо частично автоматизированную обработку персональных данных граждан Евросоюза, как на территории ЕС, так и за его пределами.

Соблюдать закон обязаны физические и юридические лица, организации, государственные структуры и иные институты.

Любая деятельность, даже некоммерческая и безвозмездная, связанная с обработкой данной, попадает под влияние регламента.

 

Например, если сайт, доступный для граждан ЕС, собирает Cookies, то он попадает под действие закона. Когда в каком-либо сервисе зарегистрировался Гражданин ЕС и оставил свои персональные данные, тоже требуется соблюдение GDPR.

 

Частым заблуждением предпринимателей становится предположение, что соблюдения российского права вполне достаточно. В РФ действуют нормы, схожие с GDPR — ФЗ № 152 от 27.07.2006 «О персональных данных». Его цель также состоит в защите персональных данных при обработке.

 

Основное отличие ФЗ №152 в том, что он запрещает передачу данных другому оператору без согласия владельца. Он не требует уведомления пользователей и надзорных органов об утечке данных, что обязательно по стандартам GDPR. Но самое главное — он действителен только для операторов в пределах РФ.

 

GDPR актуален для российской организации, если она работает на территории ЕС и/или использует персональные данные европейских граждан. То есть, фактическое местонахождение организации и её юрисдикция значения не имеют.

 

К примеру, небольшая российская компания базируется в РФ и соблюдает российское законодательство. Она не имеет европейских филиалов, но в режиме онлайн оказывает Услуги гражданам из ЕС. Соответственно, эта компания обязана соблюдать GDPR.

  

Игнорирование норм GDPR может обернуться последствиями различного характера:

GDPR: правила обработки персональных данных в Европе

Страны Евросоюза приняли Регламент — General Data Protection Regulation, чтобы защитить личные данные граждан.

Постановление Евросоюза состоит из одиннадцати глав, которые включают:

• общие положения и принципы;
• права субъектов данных;
• обязанности контролёров;
• правила взаимодействия контролирующих госучреждений;
• условия ответственности и возможные санкции;
• специальные темы (передача информации третьим лицам и т. п.)

Генеральный регламент Евросоюза не должен рассматриваться как препятствие для экономики. Международный документ служит инструментом укрепления доверия потребителей. Особенно — на фоне участившихся в последнее время скандалов, связанных с масштабными утечками баз данных.

Общий регламент по защите данных вступил в силу 25 апреля 2016 года. Однако до 25 мая 2018 г. вводился переходный период для подготовки компаний к работе в новых условиях.

Начиная с 25 мая 2018 года молчаливого согласия на операции с личными данными уже недостаточно. Регламент усложнил работу компаний, возложив на них ряд обязательств:

• предоставлять пользователям информацию;
• разрабатывать процедуры обработки личных данных;
• нанимать сотрудника по защите данных и иные.

В то же время GDPR предоставил гражданам широкие привилегии в определении судьбы собственных личных данных.

Страны, на которые распространяется GDPR

Постановление Европарламента о защите персональных данных обязательно не только для стран Евросоюза.

Область применения постановления определена в первых статьях GDPR. Практически все отрасли и фирмы подчиняются действию правил, как только начинают взаимодействовать с приватными сведениями о людях, находящихся в ЕС.

Поэтому компании, которые не входят в ЕС, должны соблюдать GDPR при условии, что они в той или иной форме действуют в ЕС и обрабатывают соответствующие данные.

По этой причине Регламент должен расцениваться как актуальный правовой акт для компаний из США, Европы и Азии.

На кого распространяются положения GDPR

Соблюдение цифровой конфиденциальности обязательно для компании из любой страны мира, если она:

• имеет филиалы в ЕС;
• или взаимодействует с личной информацией граждан, находящихся на территории Евросоюза.

Новые правила относятся не только к крупным компаниям с многомиллионными оборотами, которые обрабатывают тысячи данных о клиентах. GDPR влияет на каждую компанию, независимо как от места нахождения, так и от размера капитала или иных характеристик.

Одно из важных нововведений заключается в том, что теперь каждая компания, которая обрабатывает данные от граждан ЕС, независимо от местоположения сервера, должна придерживаться строгих правил.

Любая компания, которая представлена в интернете и отслеживает поведение пользователей, размещает формы обратной связи с клиентами, отправляет рекламные электронные письма, заключает договоры, предлагает услуги или товары с реализацией на территории ЕС, обязана соблюдать новые требования.

По правилам GDPR новым условиям обязаны подчиняться не только коммерческие компании. В равной мере эта обязанность возложена на организации, которые не занимаются коммерцией, а также на органы государственной власти.

Соблюдение новых требований актуально и для владельцев сайтов, размещенных на европейских серверах или имеющих отношение к ЕС в любом виде.

Принципиальные условия по GDPR

Конфиденциальная информация может обрабатываться только в соответствии с принципами, утверждёнными Европарламентом:

1. Законность. Означает:
   • наличие правовых оснований для операций с данными;
   • определённые, чётко выраженные цели;
   • минимальный объём;
   • верность информации, при необходимости — обновление, уничтожение с учётом заявленных целей и иные требования.
2. Согласие. Обязанность подтвердить согласие лица на обработку данных лежит на контролёре. В определённых случаях согласие лица не требуется (п. 1 ст. 6 Регламента).
3. Особые условия в отношении несовершеннолетних. Если ребенок не достиг 16 лет, право на обработку его данных одобряют законные представители.

   Государство вправе установить меньший возраст для указанных целей, но не менее 13 лет.

4. Обработка данных специальной категории. Запрещено обрабатывать персональные сведения, которые раскрывают принадлежность к расе, этносу, биометрические, генетические данные.
5. Обработка данных, связанных с уголовным преследованием. Обработка информации о наказуемости и преступлениях возможна только под контролем официального учреждения или в случаях, которые разрешены актами Союза или государства — члена ЕС.
6. Обработка без необходимости идентификации. Если в целях обработки идентификация не требуется, контролёр не обязан сохранять, получать или обрабатывать информацию для идентификации.

Ответственность за соответствие требованиям GDPR несёт контролёр.

Права граждан

Политика Европейского Союза защищает основные права человека. В первую очередь, право на информационное самоопределение. Личная информация не может произвольно обрабатываться и должна строго охраняться от несанкционированного доступа.

Регламент закрепляет за пользователями:

1. Право на прозрачность информации. Гражданин вправе получать от контролёра в обзорной и легкодоступной форме информацию о контролёре, длительности хранения данных, своих правах.
2. Право доступа. Если сведения собираются от субъекта данных, в момент их получения контролёр обязан сообщить сведения для идентификации контролёра, его контактные данные, цели и иные сведения.

   При получении личной информации не от самого гражданина, контролёр обязан предоставить информацию субъекту в разумный срок, но не позднее месяца с момента получения.

   Каждый может сделать запрос контролёру, чтобы узнать, обрабатываются ли его конфиденциальные данные, в каких целях и получить к ним доступ.

3. Право на исправление. Субъект может требовать внести исправления, уничтожить или дополнить данные.
4. Право на забвение. Лицо вправе требовать удалить неактуальную информацию, при отзыве согласия и в ряде иных случаев.
5. Право на ограничение. Когда оспаривается правильность сведений либо обработка незаконно, вместо удаления данных по требованию лица можно ограничить их использование.
6. Право на перенос данных. Каждый имеет право беспрепятственно получить от контролёра предоставленные ему данные и передать их другому контролёру.
7. Право на возражение. Гражданин, руководствуясь личными причинами, вправе в любой момент заявить о несогласии с обработкой своих данных.

Персональные данные по GDPR

Персональные данные — это вся информация, которая позволяет идентифицировать личность:

Общие данные. Любая информация, которая относится к человеку: адрес, возраст, место рождения; номер телефона.

Физические характеристики лица. Пол; цвет и особенности кожи; цвет волос и глаз; рост, размер одежды.

Онлайн-данные. IP-адрес, данные о местонахождении, адрес электронной почты, данные аккаунта.

Идентификационные данные. Идентификационный номер налогоплательщика, номер водительского удостоверения; номер социального страхования; номер медицинской страховки; номер документа, удостоверяющего личность.

Характеристики собственности. Наличие автомобиля и номерные знаки; права на Недвижимость; записи в земельной книге, регистрационные данные.

Банковские реквизиты. Номера счетов; банковских карт; данные о средствах на счёте; кредитная информация.

Ценностные суждения о личности. Характеристики, рекомендации, отзывы.

Приведённый перечень не полон. Однако и он позволяет понять, что к защищаемой информации относятся любые сведения, хоть как-то относящиеся к личности.

Состав персональных данных, принятый в Евросоюзе, значительно шире, чем, например, в России.

Как соответствовать требованиям?

Даже небольшой бизнес или веб-сайт, на котором предусмотрена регистрация или рассылка читателям бюллетеней, должен следовать GDPR, чтобы не нарушить европейское законодательство.

Чтобы соответствовать требованиям Регламента, компаниям необходимо придерживаться правил:

1. Применять технические и организационные меры по защите информации, чтобы оградить их от потери, уничтожения или от несанкционированного доступа.
2. Иметь правовое основание: Договор или согласие. Если компания продаёт товар или оказывает услуги в рамках контракта, для исполнения обязательств требуются сведения о клиенте: имя, адрес, номер телефона.
   • Другие сведения (e-mail — чтобы рассылать рекламу, дата рождения – для поздравительных писем) для исполнения договора не нужны.
   • Чтобы получить данные о личности, без которых выполнить обязательства нельзя, согласие клиента не требуется.
   • Сбор необязательных для договора сведений возможен только в согласия клиента.
3. Хранение и удаление данных. По исполнении договора и при отсутствии оснований для хранения данных, например, в фискальных целях, данные должны быть уничтожены.
4. Отзыв согласия. В заявлении о согласии должна быть ссылка на возможность отзывать его в любое время. Также гражданина следует информировать о целях, в которых он предоставляет свои данные. Согласие должно быть задокументировано.
5. Информирование. Пользователя необходимо уведомлять об имени и контактах для связи ответственного лица, цели, правовой основе сбора данных и иной информации. Эта и иная необходимая информация должна быть предоставлена субъекту данных во время опроса.
6. Информация для посетителей сайта. Владелец веб-сайта обязан сообщить, какие файлы cookie использует сайт и отслеживаются ли действия пользователей страниц.
7. Защита данных работников. Данные о сотрудниках, которые находятся на территории Евросоюза, подпадают под требования GDPR.

   На обработку персональных данных, которые не предусмотрены трудовым контрактом, требуется согласие.

8. Целостность и конфиденциальность. Обязанность компании — защитить информацию от утраты, уничтожения и несанкционированного доступа.
9. Срок хранения. Персональные данные могут храниться, пока это оправдано конкретной целью (например, для исполнения договора купли-продажи с клиентом).
10. Подотчётность организаций. Фирма должна иметь возможность доказать контролирующим органам, что она соблюдает требования GDPR.
11. Учёт операций по обработке. Организации с численностью персонала более 250 человек, обязаны в письменном виде вести учёт операций с данными (регистр). Регистр должен предъявляться по требованию надзорного органа.
12. Ответственный по защите персональных данных (DPO). При некоторых условиях организации придётся назначить сотрудника по защите данных.

Ответственность за невыполнение GDPR

С мая 2018 года к началу 2020 года было выявлено 160 тысяч нарушений и взыскано штрафов на сумму 114 млн евро.

В 2020 году компании продолжают нести экономические потери в виде штрафов из-за невыполнения Регламента:

• 01 октября Интернет-магазин H&M Hennes & Mauritz AB & Co. KG оштрафован на 35 258 708 евро за недостаточную правовую базу для обработки данных;
• 16 октября British Airways оштрафована на 22 046 000 евро за недостаточные меры безопасности данных;
• 7 декабря компания Amazon Europe Core оштрафована на 35 000 000 евро за размещение файлов cookie на компьютерах пользователей без их согласия;
• 11 декабря оштрафована на 5 000 000 Banco Bilbao Vizcaya Argentaria за невыполнение информационных обязательств;
• 14 декабря оштрафована на 1 900 000 Virgin Mobile Polska за недостаточное обеспечение информационной безопасности.

Ещё около трёхсот компаний оштрафованы в 2020 году на разные суммы.

Штрафы — не единственный вид наказания за нарушения. В арсенале надзорных органов, таких как ICO (Управление комиссара по информации), имеются и другие процедуры:

• выдача предостережений и предупреждений;
• введение временного или постоянного запрета на обработку данных;
• требование уточнить, ограничить или удалить данные;
• запрет — временный или постоянный, на передачу данных в третьи страны и иные меры.

Вывод

Генеральный регламент стандартизирует деятельность компаний, которые предлагают онлайн-услуги, обрабатывают данные посетителей веб-сайта или данные зарегистрированных пользователей.

Положение компаний, которые не учитывают в деятельности обновлённые правила сбора конфиденциальной информации, находится под угрозой. Ответственность за нарушения может оказаться компании не по силам и разрушить бизнес.

Только включение правил GDPR в рабочие процессы позволит организации стабильно продолжать предпринимательскую деятельность.

Распечатать Связаться с адвокатом

Рекомендуем почитать

• 

• 

• 

Информация о GDPR на русском языке

Перевод GDPR здесь GDPR Русская версия

GDPR  (General Data Protection Regulation)

GDPR переводится как Общий/Генеральный регламент по защите персональных данных.
25 мая 2018 года во всех государствах-членах Европейского Союза был введен новый закон о защите персональных данных. То, что часто называют Общим регламентом о защите данных ЕС, на самом деле является серией директив ЕС:

История принятия GDPR

Основные цели GDPR

• защита персональных данных
• защита прав и свобод людей в защите их данных
• ограничение перемещения персональных данных в рамках Евросоюза
• далее

Основные термины

• Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
• Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
• Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
• DPO (Data Protection Officer) — сотрудник по защите персональных данных.

Полный список.

Права граждан

GDPR усиливает существующие и вводит новые права гражданам ЕС, а также  дает гражданам больше контроля над своими личными данными:

• более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
• право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
• право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
• право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.

Кроме того GDPR предоставляет простые и рабочие инструменты гражданам ЕС для реализации своих прав, упрощая механизмы обращения в надзорные органы, например, жалобы в электронном виде.

Персональные данные

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.

То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

Примеры персональных данных:

• имя, фамилия
• номер паспорта или ИД удостоверения
• дата и место рождения
• место проживания, регистрация, прописка
• е-мейл, телефон, или другая контактная информация
• ИП-адрес и патаметры соединения
• дата и время посещения ресурса, история и параметры посещений, включая название браузера.

А также особо охраняемые данные:

• раса и национальность
• политические взгляды
• вероисповедание
• сексуальная ориентация
• биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
• данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
• генетические данные  – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

Принципы обработки данных по GDPR

Сфера действия GDPR

Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или  юридическими лицами,  государственными органами и  другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

Соответствие требованиям GDPR

Чтобы проверить соответствие вашего проекта требованиям GDPR следует:

• Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
• Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
• Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома.  Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
• Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
• Ведение необходимой отчетности, согласно положениям GDPR.

Подробнее о соответствии GDPR.

Несоблюдение норм GDPR

Утечка персональных данных

Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.

Что такое GDPR, и как это касается вашего бизнеса

Вы когда-нибудь замечали то, каким количеством личных данных вы поделились в интернете? Или что происходит с этой информацией? Мы говорим о банковской информации, контактах, адресах, сообщениях в социальных сетях и даже о вашем IP-адресе и сайтах, которые вы посетили, все эти данные хранятся в цифровом виде.

Компании сообщают вам, что они собирают такого рода информацию, чтобы усовершенствовать обслуживание, предлагать вам более целенаправленные и релевантные услуги, то есть предоставить вам лучший опыт работы с клиентами.

Но реально ли данные используются для этих целей? Этот вопрос задан Европейским Союзом еще много лет назад, но только в мае 2018 года было введено в действие европейское регулирование под названием GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент навсегда изменил способ сбора, хранения и использования вами в качестве бизнеса данных клиентов.

Итак, занимаетесь ли вы технологиями, путешествиями или розничной торговлей на международном уровне, мы в данной статье объясним, что такое GDPR и как это влияет на ваш бизнес. Также мы включим практические советы, как вы можете подготовиться к соблюдению GDPR.

Что такое GDPR

GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент включен во все местные законы «о конфиденциальности» во всех регионах Евросоюза. Также регламент распространяется на все компании, продающие или хранящие личную информацию о гражданах в Европе.

Другими словами, введение GDPR — это введение законодательства, которое бы адекватно защищало персональные данные граждан ЕС.

В соответствии с регламентом GDPR «персональные данные» — это любая информация, относящаяся к человеку, такая, как: имя, фотография, адрес электронной почты, банковские реквизиты, обновления на сайтах социальных сетей, сведения о местоположении, медицинская информация или IP-адрес компьютера.

8 основных прав GDPR

В соответствии с GDPR физические лица имеют:

1. Право на доступ. Это означает, что физические лица имеют возможность запрашивать доступ к своим персональным данным и спрашивать, как их данные используются компанией после того, как они были собраны. Компания должна предоставлять копию собранных персональных данных бесплатно и в электронном формате по запросу физического лица.
2. Право на удаление. Если потребители больше не являются клиентами или если они отзывают свое согласие у компании на использование своих персональных данных, то они имеют возможность на удаление своих данных.
3. Право на перенос данных. Физические лица имеют возможность передавать личные данные от одного поставщика услуг другому. И это должно происходить в широко используемом и машиночитаемом формате.
4. Право быть проинформированными. Это распространяется на любой сбор данных компаниями, где частные лица должны быть проинформированы ещё до сбора самих данных. Потребители должны согласиться на сбор своих данных, и согласие оформляется в четком виде.
5. Право на исправление информации. Это гарантирует то, что физические лица вправе обновлять личные данные, если они устарели, являются неполными или неверными.
6. Право на ограничение обработки. Физические лица вправе потребовать, чтобы их данные не использовались для обработки. Их запись может оставаться в системе, но не использоваться.
7. Право на возражение — это включает в себя возможность физических лиц на прекращение обработки их данных для любого рода маркетинга. Из этого правила нет исключений, и любая обработка должна быть прекращена, как только запрос получен.
8. Право на получение уведомления. В случае утечки данных, которая ставит под угрозу персональные данные физического лица, последнее имеет право быть проинформированным в течение 72 часов с момента, когда компании впервые стало известно об утечке.

Влияние GDPR на бизнес

Что ж, GDPR применяется ко всем предприятиям и организациям, созданным в ЕС, независимо от того, происходит ли обработка данных в ЕС или нет. Даже организации, не входящие в ЕС, попадают под действие GDPR, если бизнес предлагает товары и/ или услуги гражданам ЕС.

Все организации и компании, работающие с персональными данными, должны назначать сотрудника/организацию по защите данных, которые должны отвечать за соблюдение GDPR.

Для тех компаний и организаций, которые не соблюдают требования GDPR, предусмотрены жесткие штрафы в размере до 4 % от годовой мировой выручки или 20 миллионов евро, в зависимости от того, что больше.

Подготовка к соблюдению GDPR

Первоначально необходимо, чтобы все отделы компании внимательно изучали свои данные и то, как они их обрабатывают. Есть много вещей, которые компания должна сделать, чтобы соответствовать требованиям GDPR. Если вам еще предстоит сделать следующий шаг на пути к соблюдению требований, то вот лишь несколько моментов, которые помогут вам начать:

Шаг 1. Сопоставьте данные вашей компании

Составьте карту, откуда берутся все персональные данные в вашем бизнесе, и задокументируйте, что вы делаете с этими данными. Определите, где хранятся данные, кто способен получить к ним доступ и существуют ли какие-либо риски для данных.

Шаг 2. Определите, какие данные должны оставаться

Не храните больше информации, чем необходимо, и удаляйте любые данные, которые вы не используете. Если ваш бизнес собрал много данных без какой-либо реальной выгоды и смысла, то сейчас самое время подумать, какие данные важны для вашего бизнеса, а какие в обязательном порядке необходимо удалить.

Шаг 3. Примите меры безопасности

Разработайте и внедрите меры безопасности во всей вашей инфраструктуре, чтобы помочь предотвратить любые нарушения/утечку данных. Помимо принятия мер безопасности для защиты от утечки данных, это в том числе включает в себя принятие быстрых мер для уведомления отдельных лиц и органов власти в случае, если нарушение произойдет.

Обязательно свяжитесь со своими поставщиками/партнерами. Аутсорсинг не освобождает вас полностью от возможной ответственности, и вам необходимо убедиться, что у ваших партнеров тоже есть действующие меры безопасности.

Шаг 4. Ознакомьтесь с вашей документацией

В соответствии с GDPR физические лица должны дать явное согласие на сбор и обработку своих данных. Предварительно установленные флажки или подразумеваемое согласие не являются приемлемыми. Вам придется просмотреть все ваши заявления о конфиденциальности и раскрытии информации и при необходимости скорректировать их.

Шаг 5. Установите процедуру обработки персональных данных

Как мы упоминали ранее, необходимо иметь в виду, что физические лица имеют 8 основных прав в соответствии с GDPR.

Заключение

Данные — ценная валюта в сегодняшнем мире. И хотя GDPR в самом деле создает проблемы и боль бизнесу, он в том числе создает и возможности.

Компании, которые демонстрируют, что ценят конфиденциальность отдельных лиц (помимо простого соблюдения законодательства), которые прозрачны в отношении того, как используются данные, которые разрабатывают и внедряют новые и усовершенствованные способы управления данными клиентов на протяжении всего времени работы с клиентом, укрепляют доверие и лояльность клиентов.

Также, обратив внимание на огромные штрафы, делаем вывод о том, что любой бизнес, не подстраивающийся под правила GDPR, рискует своим собственным положением.

Соответствие GDPR в России

Общий регламент о защите данных (General Data Protection Regulation)

В мае 2018 г. в Евросоюзе вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Закон расширил сферу действия европейского законодательства, детализировал права субъектов персональных данных и ужесточил обязанности операторов при обработке и защите данных с учетом современных технологий.

Теперь обязательства по соблюдению GDPR распространяются не только на компании, ведущие деятельность на территории 28 стран ЕС, но также и на любые компании вне зависимости от их местонахождения.

Российским компаниям стоит обратить внимание на то, что соответствие отечественному законодательству не обеспечивает автоматического соблюдения GDPR, так как многие процессы и требования введены европейским законом впервые.

Физическое лицо на территории ЕС автоматически имеет право на защиту своих персональных данных по GDPR вне зависимости от гражданства. Мы рекомендуем российским компаниям, ведущим деятельность на территории ЕС или сотрудничающим с европейскими партнерами, провести оценку применимости GDPR.

GDPR применим, если для компании выполняется хотя бы один из критериев:

Мы разработали короткий тест, чтобы помочь вам определить, обязана ли ваша компания соблюдать требования GDPR.

Пройти тест

Требования GDPR распространяются не только на операторов в ЕС, но и на компании в любой стране, деятельность которых направлена на физических лиц в ЕС. GDPR не требует принятия законов на национальном уровне и действует на операторов напрямую.

Принцип «защищенность по умолчанию» обязывает операторов учитывать требования GDPR на этапе дизайна процессов обработки данных. Для соблюдения принципа «запланированной защищенности» операторы должны контролировать соблюдение GDPR при управлении изменениями в бизнес-процессах и информационных системах.

GDPR накладывает на операторов обязанность документировать и обеспечивать наличие доказательств исполнения требований по обработке и защите данных.

Согласие является одним из законных оснований обработки персональных данных. При его использовании оператор должен обеспечить, чтобы согласие было свободно данным, конкретным, информированным и недвусмысленным. В отдельных случаях оператор обязан проинформировать субъекта о рисках планируемой обработки данных и о предпринятых мерах их смягчения.

GDPR обязывает операторов уведомлять субъектов персональных данных и надзорные органы при возникновении инцидентов, связанных с нарушением безопасности персональных данных. Срок уведомления должен быть обоснованным, на уведомление надзорных органов отводится 72 часа с момента обнаружения инцидента.

GDPR определил случаи обработки персональных данных, при планировании которых оператор обязан провести оценку рисков нарушения защищенности данных (DPIA). Если по результатам DPIA обработка данных связана с высоким риском для субъектов, оператор обязан проконсультироваться с надзорными органами перед началом обработки.

Максимальные штрафы за нарушение требований GDPR выросли до 20 млн евро или 4 % от годового оборота компании, в зависимости от того, какая сумма выше.

С вступлением в силу GDPR у физических лиц появилось больше возможностей по управлению своими персональными данными. GDPR определил законные права субъекта, связанные с обработкой персональных данных, которые субъект может реализовать, подав запрос оператору.

Подробнее

GDPR ввел новые принципы обработки и защиты персональных данных: «запланированная защищенность» и «защищенность по умолчанию». Эти принципы требуют от компаний пересмотреть свой подход к выбору технологий обработки данных, процессам их внедрения и управлению изменениями.

Подробнее

Наша команда выполняет проекты по GDPR для российских и зарубежных компаний. Мы оказываем следующие услуги в области GDPR:

Определение области применимости GDPR
Мы проведем анализ бизнес-процессов компании, внутренних документов и применяемых технологий, связанных с обработкой персональных данных, и оценим применимость требований GDPR к компании.

Минимизация области применимости GDPR
Мы определим пути уменьшения области применимости требований GDPR, опираясь на процессы и технологии обработки персональных данных, выявленные на этапе обследования, а также с учетом специфики бизнеса компании.

Оценка соответствия требованиям GDPR
Мы проведем оценку процессов обработки персональных данных на предмет выполнения требований GDPR. Мы выявим ключевые риски, связанные с GDPR, и определим их приоритетность для компании. По результатам оценки мы разработаем рекомендации по устранению выявленных несоответствий.

Обучение
Мы проведем обучающие мероприятия для работников и руководителей компании об основах GDPR и важности его соблюдения, а также семинаров по отдельным вопросам, актуальным для компании.

Экспертная поддержка при трансформации компании
Мы оказываем экспертную поддержку компаниям, которые планируют или уже находится в процессе трансформации бизнес-процессов в соответствии с GDPR.

Мы помогаем планировать и проводить мероприятия по повышению осведомленности сотрудников, разрабатывать внутренние документы и договоры с третьими лицами, а также внедрять изменения в технологии обработки персональных данных.

Поддержка процессов обработки и защиты персональных данных
Мы окажем консультационную поддержку в ходе выполнения работниками процессов обработки и защиты данных. Мы проводим разовые или периодические проверки соблюдения GDPR и можем разработать план внутреннего аудита в части выполнения требований.

Разработка дорожной карты по приведению в соответствие GDPR
Мы подготовим дорожную карту с необходимой степенью детализации, которая будет описывать дальнейшие шаги по приведению процессов обработки персональных данных в соответствие с требованиями GDPR. По желанию клиента, дорожная карта может содержать оценку сроков выполнения работ, ответственных лиц, а также приоритетность рекомендуемых мероприятий.

Мы в социальных сетях