Европейский Общий регламент по защите данных (GDPR) – самое важное изменение в области регулирования защиты персональных данных (ПД) за последние 20 лет. GDPR применяется ко всем компаниям, обрабатывающим и хранящим ПД людей, проживающих в Европейском союзе, независимо от местонахождения компании. По сути, это означает, что правила «следуют» за данными, а не ограничиваются территорией ЕС. GDPR распространяется на организации, которые контролируют и обрабатывают ПД за пределами ЕС в связи с предложением товаров или услуг (даже если они бесплатные) либо с мониторингом поведения граждан ЕС. Данный регламент касается и вашей организации и будет применяться в обязательном порядке.

Главная цель GDPR – укрепить контроль и повысить уровень безопасности в отношении информации, хранимой и обрабатываемой той или иной организацией.

В рамках GDPR предусматривается следующее: крупные административные штрафы; назначение лица, ответственного за организацию обработки персональных данных (DPO); внедрение политики безопасности и защитных процедур; уведомления о любых нарушениях, связанных с ПД; принцип «единого окна», направленный на защиту прав субъектов ПД; введение более строгих правил в отношении деятельности несовершеннолетних в социальных сетях.

Несмотря на то, что компании, обрабатывающие ПД, применяют множество бизнес-моделей, – как с использованием локальных серверов, так и через поставщиков «облачных» услуг, – в отношении всех них будут распространяться те же положения касательно обработки ПД клиента.

Переработанное определение «персональных данных»

«Персональные данные» – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект ПД»); идентифицируемое физическое лицо –  это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального определения этого физического лица.

Ответственное лицо (DPO)

Назначение DPO в некоторых случаях станет обязательным. Роль DPO определяется компаниями, контролирующими и обрабатывающими ПД, и должна обеспечить соблюдение их программы отчётности и оценку воздействия на личность высокорискованных методик по обработке ПД (Privacy Impact Assessments). Наличие DPO обязательно для всех государственных органов или служб. В частном секторе – для компаний со штатом 250 или более сотрудников либо организаций, для которых обработка данных – основная деятельность. Группа компаний вправе назначить одно лицо в роли DPO. Данный сотрудник будет нести ответственность по всем вопросам, связанным с защитой данных в вашей компании.

Согласие на обработку ПД

Общие правила для получения действительного согласия субъектов ПД претерпели изменения и были усложнены. Серьёзные дебаты ведутся по поводу предоставления родительского согласия на получение информационных услуг ребёнком. Компромисс, предусматривающий, что государства-члены ЕС могут снизить возраст согласия с 16 до 13 лет, может привести к недостаточной унификации регламента.

Принцип «единого окна»

GDPR вводит принцип «одного окна». Контролирующие и обрабатывающие ПД компании, которые осуществляют свою деятельность сразу в нескольких странах ЕС, подчиняются одному «ведущему» DPO, контролирующему всю трансграничную деятельность данной компании. В настоящее время каждое государство ЕС имеет свой собственный государственный орган, который несёт ответственность за мониторинг обработки ПД и обеспечение соответствия национальному законодательству. При этом каждая страна использует только местные следственные ресурсы, а какие-либо соглашения о сотрудничестве между странами отсутствуют.

«Право на забвение»

При определённых условиях субъекты ПД будут иметь право потребовать от компаний, контролирующих ПД, незамедлительно удалить информацию о них, и компании обязаны это сделать. При этом компания, сделавшая личные данные того или иного лица общедоступными, обязана проинформировать остальные компании, обрабатывающие эти ПД, о необходимости удалить любые ссылки на них либо их копии.

GDPR за пределами ЕС

Компании, физически находящиеся за пределами ЕС, но обрабатывающие и контролирующие персональные данные граждан ЕС, попадают под действие нового регламента.

Компрометация ПД и её последствия

При любых нарушениях, связанных с ПД, компании должны уведомлять контролирующие органы в течение 72 часов с того момента, как им становится известно о нарушении. Исключением являются случаи, когда такая компрометация данных не влечёт за собой риска нарушения прав и свобод физических лиц.

Соблюдение требований

Регламентом вводятся обязательства по осуществлению оценки воздействия на личность высокорискованных методик по обработке ПД (DPIA). В соответствии со ст. 35 GDPR, такие оценки являются обязательными для организаций, деятельность которых несёт высокий риск нарушения прав субъектов ПД. Такая деятельность включает в себя автоматизированную систематическую и комплексную оценку личных аспектов, связанных с физическими лицами; масштабную обработку так называемых «особых данных» или отдельных ПД, касающихся судимостей и правонарушений; а также систематический мониторинг общедоступных сайтов.

Целевое использование ПД

Компании, контролирующие ПД, будут обязаны применять технические и организационные меры, такие как псевдонимизация, которые направлены на реализацию принципов защиты данных, включая минимизацию использования данных, и на интеграцию необходимых мер предосторожности в процесс обработки ПД. Компании также должны принять меры для того, чтобы по умолчанию обрабатывались только те личные данные, которые необходимы для каждой конкретной цели.

Отчётность

Компании, занимающиеся обработкой данных, разделят ответственность за защиту ПД с контролирующими эти ПД организациями. Они также будут нести ответственность перед конкретными пользователями, имея перед ними прямые юридические обязательства.

Штрафы

За нарушение GDPR вводятся существенные штрафные санкции. К примеру, на организации, уличённые в нарушении регламента, могут налагаться административные штрафы в размере до 4% от годового мирового оборота или в размере 20 млн евро (бόльшая из сумм).

Паскаль Хагге
руководитель департамента по развитию бизнеса
Elias Neocleous LLC
Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.