GDPR і все про нього

Що таке GDPR?

GDPR це загальний регламент щодо захисту персональних даних резидентів Євросоюзу, який набув чинності 25 травня 2018.

Для чого ввели GDPR?

Загальний регламент щодо захисту даних розроблений і прийнятий щоб:

  • резиденти Євросоюзу могли контролювати свої персональні дані в повному обсязі;
  • уніфікувати правила по обробці та захисту персональних даних резидентів Євросоюзу;
  • скоротити витрати компаній на бюрократичні процедури, пов’язані з дотриманням законодавства країни Євросоюзу;

Що GDPR дає для резидентів Євросоюзу?

Резиденти Євросоюзу за запитом в компанію можуть:

  1. Отримувати будь-яку інформацію про свої персональні дані (місце і мету, період, доступність третім особам, джерело отримання інформації)
  2. Передавати свої персональні дані від однієї компанії до іншої;
  3. Видаляти свої персональні дані;

Які дані відносяться до персональних за новим законом GDPR?

До персональних даних належать:

  1. Особлива або конфіденційна інформація, яка розкриває: расове або етнічне походження, політичні погляди, релігійні або філософські переконання і членство в профспілках. Крім того, до цієї групи належать генетичні, біометричні дані, які використовуються для ідентифікації фізичної особи, дані про стан здоров’я, відомості, що стосуються сексуального життя або сексуальної орієнтації
  2. Будь-яка інформація, по якій прямо або побічно можна ідентифікувати фізичну особу. А саме ім’я, місце розташування, онлайн ідентифікатори, а також фактори за якими можна визначити фізичні, фізіологічні, генетичні, інтелектуальні, економічні, соціальні або культурні характеристики.
  3. Інформація про поведінку і активності суб’єкта даних в інтернеті, а також його суб’єктивне ставлення або перевагу до чого-небудь.

Що новий регламент GDPR вимагає від компаній обробних персональні дані жителів Євросоюзу?

Загальні вимоги до обробки персональних даних резидентів ЄС сформульовано у вигляді 6 основних принципів:

  • Законність, справедливість і прозорість.

    Будь-яку інформацію про цілі, методи та обсяги обробки персональних даних слід викладати максимально доступно і просто.

  • Обмеження мети.

    Дані повинні збиратися і використовуватися виключно в тих цілях, які заявлені компанією (онлайн-сервісом).

  • Мінімізація даних.

    Не можна збирати особисті дані в більшому обсязі, ніж це необхідно для цілей обробки.

  • Точність.

    Особисті дані, які є неточними, повинні бути видалені або виправлені (на вимогу користувача).

  • Обмеження зберігання.

    Особисті дані повинні зберігатися в формі, яка дозволяє ідентифікувати суб’єктів даних на термін не більше, ніж це необхідно для цілей обробки.

  • Цілісність і конфіденційність.

    При обробці даних користувачів компанії зобов’язані забезпечити захист персональних даних від несанкціонованої або незаконної обробки, знищення та пошкодження.

Додатково компанії, які обробляють персональні дані, зобов’язані:

  • Своєчасне повідомлення про випадки порушення GDPR.

    Компанії зобов’язані повідомляти регулюючі органи (а в деяких випадках і суб’єктів даних) про будь-які порушення, пов’язаних з персональними даними протягом 72 годин після виявлення такого порушення.

  • Отримувати очевидне згоду на обробку даних.

    Згода особи на одне обробку його персональних даних має бути виражене у формі затвердження або у формі чітких активних дій користувача не може бути виражено у вигляді мовчання або бездіяльності користувача.

    Згода на обробку персональних даних буде недійсна, якщо у користувача не було вибору або не було можливості відкликати свою згоду без шкоди для самого себе. Інформація про порядок відкликання згоди на обробку персональних даних повинна бути розміщена таким чином, щоб користувач міг легко її знайти.

    Якщо користувач дав згоду на обробку своїх персональних даних, контролер повинен мати можливість продемонструвати це.

На які компанії поширюється дія GDPR?

На які компанії поширюється дія GDPR? GDPR дію регламенту щодо захисту даних поширюється на всі країни Європейського союзу, а також на іноземні компанії, чиї послуги і товари спрямовані на жителів Євросоюзу і обробляють їх персональні дані.

Як зрозуміти чи зачіпає новий закон GDPR мою компанію?

Ваша компанія потрапляє під дію закону GDPR якщо:

  • товари / послуги переведені на одну з національних мов жителів ЄС;
  • товари / послуги можна сплатити в національних валютах ЄС;
  • товари / послуги надаються на національних доменах верхнього рівня країн ЄС.

Що робити якщо компанія входить в зону дії?

  1. Переглянути методи і засоби обробки персональних даних та привести їх у відповідність з новими нормами GDPR.
  2. Переглянути політику конфіденційності і угода користувачів на обробку персональних даних.
  3. Розробити внутрішню політику щодо захисту даних і продумати механізм реагування на запити європейських регуляторів.
  4. Призначити співробітника відповідального за обробку даних.

Що буде якщо не дотримуватися правил GDPR?

За невиконання закону передбачений штраф в 4% від річного світового обороту компанії за попередній фінансовий рік або 20.000.000 ЄВРО!

GDPR це добре чи погано

Дотримання єдиного набору правил замість 28 національних законодавств безумовний плюс GDPR, який спрямований не тільки на посилення порядку обробки персональних даних, а й на скорочення витрат на бюрократичні процедури.

Замість висновку

Вважаю, що дотримання правил GDPR є правилом хорошого тону будь-якої поважаючої себе і своїх клієнтів компанії, незалежно від того чи потрапляєте ваша компанія під юрисдикцію даного закону чи ні.

Що відноситься до обробки персональних даних?

Збір

Запис

Систематизація

Накопичення

Зберігання

Уточнення (оновлення, зміна)

Витяг

Використання

Передача (поширення, надання, доступ)

Знеособлення

Блокування

Видалення

Знищення персональних даних.

Джерела:

https://habr.com/company/digitalrightscenter/blog/344064/

https://ru.wikipedia.org/

http://eur-lex.europa.eu/