Что такое GDPR и действует ли он в России
Что такое GDPR? Новый европейский закон о конфиденциальности и безопасности данных включает множество требований для организаций по всему миру. Разберемся, что это за закон, как его соблюдать и каким российским компаниям следует внимательно относится к GDPR.
General Data Protection Regulation
Общий регламент по защите данных (GDPR) — это регламент Евросоюза, определяющий порядок обработки персональных данных организациями.
Он является самым жестким законом о конфиденциальности и безопасности в мире. Несмотря на то, что его разработали и приняли в ЕС, он налагает обязательства на организации в любом месте, которые собирают данные или предоставляют услуги/товары для европейских граждан.
По мере развития технологий и изобретения Интернета Евросоюз признал важность современной защиты. В 1995 году он принял Европейскую директиву о защите данных, устанавливающую минимальные стандарты конфиденциальности и безопасности данных. GDPR вступил в силу в 2016 году после принятия Европейским парламентом, и от 25 мая 2018 года компании должны соответствовать этим требованиям.
За нарушение введенных стандартов GDPR налагает огромные штрафы, размеры которых могут составлять десятки миллионов евро.
GDPR определяет множество юридических терминов
1. Персональные данные
Это любая информация, относящаяся к физическому лицу, которая может быть идентифицирована прямо или косвенно. Существует 2 типа данных – персональные и конфиденциальные.
Допустим, имена, дата рождения и адреса электронной почты являются личными данными. Информация о местоположении, этническая принадлежность, пол, биометрические данные, религиозные убеждения, cookie-файлы и политические мнения также могут являться личными данными. По GDPR закодированная или «анонимная» информация также может относиться к персональным данным при условии, если она связана с физическим лицом.
2. Обработка данных
Это любое автоматическое или ручное действие, выполняемое с данными.
3. Субъект данных
Лицо, чьи данные обрабатываются. К ним можно отнести клиентов или посетителей сайта.
4. Контролер данных
Лицо, которое решает, почему и как будут обрабатываться персональные данные. Если вы являетесь владельцем или сотрудником организации, которая занимается обработкой данных, значит это вы.
5. Обработчик данных
Третья сторона, обрабатывающая персональные данные от имени контроллера данных. В GDPR предусмотрены особые правила для физических лиц и организаций.
Принципы защиты данных
Обработка персональной информации должна происходить в соответствии с 7 принципами защиты и подотчетности:
1. Законность, справедливость и прозрачность. Обработка должна быть законной, справедливой и прозрачной для субъекта данных.
2. Ограничение цели. Вы должны обрабатывать данные в законных целях, явно указанных субъекту данных при их сборе.
3. Минимизация данных. Надо собирать и обрабатывать такое количество данных, которое необходимо для указанных целей.
4. Точность. Вы должны сохранять персональные данные точными и актуальными.
5. Ограничение на хранение. Вы можете хранить персональные идентификационные данные только до тех пор, пока это необходимо для указанной цели.
6. Целостность и конфиденциальность. Обработка должна выполняться таким образом, чтобы обеспечить надлежащую безопасность, целостность и конфиденциальность (например, с использованием шифрования).
7. Подотчетность. Контролер данных несет ответственность за возможность продемонстрировать соответствие принципам GDPR.
Основные требования GDPR
· Подотчетность
В GDPR говорится, что контроллеры данных должны иметь возможность доказать, что они соответствуют нормам GDPR. Методы, благодаря которым ваша организация сможет соответствовать требованиям GDPR:
1. Назначьте обязанности по защите данных для своей команды.
2. Ведите подробную документацию о собранных данных, как они используются, где хранятся, и какой сотрудник за них отвечает.
3. Обучите своих сотрудников и примите технические и организационные меры безопасности.
4. Заключите соглашения об обработке данных с третьими лицами, с которыми вы заключаете контракты на обработку данных для вашей компании.
5. Назначьте сотрудника, ответственного за обеспечение защиты данных
· Безопасность персональных данных
Вы обязаны безопасно обрабатывать данные, применяя соответствующие технические и организационные меры. К техническим мерам относится многое: от требований для сотрудников по использованию двухфакторной аутентификации в их учетных записях, где хранятся персональные данные, до заключения контрактов с облачными провайдерами, использующих сквозное шифрование.
К организационным мерам относится обучение персонала, добавление политики конфиденциальности данных в корпоративное руководство или ограничение доступа к персональным данным для сотрудников, которые не нуждаются в этом.
При нарушении защиты данных есть 72 часа, чтобы сообщить субъектам данных о нем или понести наказание. Требование об уведомлении пользователя может быть отменено, если вы используете технологические меры предосторожности, такие как шифрование.
· Согласие субъекта данных на обработку
1. Согласие должно быть “ конкретным, информированным и недвусмысленным”.
2. Запросы о согласии должны быть “четко отделимы от других вопросов” и представлены “ясным и понятным языком”.
3. Субъекты данных могут отозвать ранее данное согласие, когда захотят, а их решение должно быть обязательно соблюдено.
4. Дети в возрасте до 13 лет могут давать согласие только с разрешения своих родителей.
5. Вам необходимо сохранить документальное подтверждение согласия.
Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.
· Права субъекта данных (физического лица)
В GDPR закреплены права граждан и резидентов ЕС. Клиенты, сотрудники, деловые партнеры, подрядчики, учащиеся, поставщики и т. д. имеют следующие права по контролю своих персональных данных:
1. Право на получение информации об использовании данных
2. Право на доступ
3. Право на исправление неточных данных
4. Право на удаление
5. Право на ограничение обработки
6. Право на переносимость данных
7. Право на возражение
8. Права в отношении автоматизированного принятия решений и профилирования.
· Право на переносимость данных
Данное право заключается в том, что по требованию самого субъекта персональных данных компании обязаны бесплатно предоставлять электронную копию персональных данных другой компании.
Пример. Читатель (Субъект данных) использует сервис “Электронная книжка”. Однажды он решает перейти на платформу “Читай онлайн”. В этой ситуации право позволяет передать персональные данные человека другому сервису.
Что делать компаниям
При входе компании в зону действия нового европейского регламента о защите данных или при предоставлении услуг и товаров в Евросоюзе, рекомендуется:
1. провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR.
2. пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей.
3. разработать внутренние политики защиты данных, обучать персонал, проводить регулярные проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности.
4. назначить сотрудника по обработке и защите персональных данных с учётом характера и объёмов обрабатываемой информации.
Как в России действует GDPR
Регламент Евросоюза применим к компаниям, собирающим и обрабатывающим данные как на территории ЕС, так и за ее пределами. Российские компании также ответственны за соблюдение положений «Общего регламента защиты данных». Они должны проводить аудиты в соответствии с федеральным законом №152, регулирующим деятельность по обработке персональных данных.
Согласно первому пункту статьи 4 ФЗ «О персональных данных», российское законодательство также основывается на международных договорах. И хотя Россия не входит в ЕС, действие стандартов GDPR может распространяться на компании внутри страны.
GDPR в России относится к юридическим лицам (отдельный филиал или представительство), работающим в одной из европейских стран.
Общий европейский регламент действует в России, если:
· юридическое лицо имеет доступ к персональным данным европейских граждан;
· сама компания работает на территории одного из государств в составе ЕС;
· если в компании работают сотрудники или контрагенты из стран Европейского союза
Тогда GDPR Regulation будут проводить европейские страны, включая Европарламент, Совет Евросоюза и Еврокомиссию.
Вывод
Мы рассмотрели основные положения постановления GDPR, требующего внимательного изучения и соблюдения. Сбор, анализ и перемещение персональных данных приобрели огромное экономическое значение.
Если деятельность вашей компании связана с GDPR, мы настоятельно рекомендуем соблюдать положения, представленные в европейском регламенте. Филиалы или представительства российских организаций на территории ЕС также должны будут соответствовать новым требованиям.
