GDPR и все о нем

Что такое GDPR?

GDPR это общий регламент по защите персональных данных резидентов Евросоюза, который вступил в силу 25 мая 2018.

Для чего ввели GDPR?

Общий регламент по защите данных разработан и принят чтобы:

  • резиденты Евросоюза могли контролировать свои персональные данные в полном объеме;
  • унифицировать правила по обработке и защите персональных данных резидентов Евросоюза;
  • сократить расходы компаний на бюрократические процедуры, связанные с соблюдением законодательства страны Евросоюза;

Что GDPR дает для резидентов Евросоюза?

Резиденты Евросоюза по запросу в компанию могут:

  1. Получать любую информацию о своих персональных данных (место и цель, период, доступность третьим лицам, источник получении информации)
  2. Передавать свои персональные данные от одной компании к другой;
  3. Удалять свои персональные данные;

Какие данные относятся к персональным по новому закону GDPR?

К персональным данным относятся:

  1. Особая или конфиденциальная информация, которая раскрывает: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации
  2. Любая информация, по которой прямо или косвенно можно идентифицировать физическое лицо. А именно имя, местоположение, онлайн идентификаторы, а также факторы по которым можно определить физические, физиологические, генетические, умственные, экономические, социальные или культурные характеристики.
  3. Информация о поведении и активности субъекта данных в интернете, а также его субъективное отношение или предпочтение к чему-либо.

Что новый регламент GDPR требует от компаний обрабатывающих персональные данные жителей Евросоюза?

Общие требования к обработке персональных данных резидентов ЕС сформулирован в виде 6 основных принципов:

  • Законность, справедливость и прозрачность.

    Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.

  • Ограничение цели.

    Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).

  • Минимизация данных.

    Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.

  • Точность.

    Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).

  • Ограничение хранения.

    Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.

  • Целостность и конфиденциальность.

    При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Дополнительно компании, которые обрабатывают персональные данные, обязаны:

  • Своевременное уведомление о случаях нарушения GDPR.

    Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.

  • Получать очевидное согласие на обработку данных.

    Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя не может быть выражено в виде молчания или бездействия пользователя.

    Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

    Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.

На какие компании распространяется действие GDPR?

GDPR действие регламента по защите данных распространяется на все страны Европейского союза, а также на иностранные компании, чьи услуги и товары направлены на жителей Евросоюза и обрабатывают их персональные данные.

Как понять затрагивает ли новый закон GDPR мою компанию?

Ваша компания попадает под действие закона GDPR если:

  • товары/услуги переведены на один из национальных языков жителей ЕС;
  • товары/услуги можно оплатить в национальных валютах ЕС;
  • товары/услуги оказываются на национальных доменах верхнего уровня стран ЕС.

Что делать если компания входит в зону действия?

  1. Пересмотреть методы и средства обработки персональных данных и привести их в соответствие с новыми нормами GDPR.
  2. Пересмотреть политику конфиденциальности и соглашение пользователей на обработку персональных данных.
  3. Разработать внутреннюю политику по защите данных и продумать механизм реагирования на запросы европейских регуляторов.
  4. Назначить сотрудника ответственного за обработку данных.

Что будет если не соблюдать правила GDPR?

За невыполнение закона предусмотрен штраф в 4% от годового мирового оборота компании за предыдущий финансовый год или 20.000.000 ЕВРО!

GDPR это хорошо или плохо

Соблюдение единого набора правил вместо 28 национальных законодательств безусловный плюс GDPR, который направлен не только на ужесточение порядка обработки персональных данных, но и на сокращение расходов на бюрократические процедуры.

Вместо вывода

Считаю, что соблюдение правил GDPR является правилом хорошего тона любой уважающей себя и своих клиентов компании, вне зависимости от того попадаете ли ваша компания под юрисдикцию данного закона или нет.

Что относится к обработке персональных данных?

Сбор

Запись

Систематизация

Накопление

Хранение

Уточнение (обновление, изменение)

Извлечение

Использование

Передача (распространение, предоставление, доступ)

Обезличивание

Блокирование

Удаление

Уничтожение персональных данных.

Истоники:

https://habr.com/company/digitalrightscenter/blog/344064/

https://ru.wikipedia.org/

http://eur-lex.europa.eu/