Регламент защиты персональных данных

Предлагаем рассмотреть тему: "Регламент защиты персональных данных" с комментариями профессионалов. Мы старались разъяснить все понятным языков и полностью раскрыть тему. Внимательно причитайте статью и, если возникнут вопросы, вы можете их задать в комментариях или напрямую дежурному консультанту.

GDPR — регламент по защите персональных данных. Уже сегодня!

Сегодня, 25 мая 2018, в Европейском Союзе вступает в силу General Data Protection Regulation (GDPR; рус. — Общий регламент защиты персональных данных).

GDPR регламентирует процесс обработки персональных данных и распространяет свое действие не только на компании из ЕС, но и на компании из других стран, в том числе из Беларуси.

Партнер международной юридической компании PETERKA & PARTNERS Наталия Аношка разобралась, что изменилось для белорусских компаний в сфере защиты персональных данных и на что следует обратить внимание, чтобы не нарушать GDPR.

КТО ОБЯЗАН СОБЛЮДАТЬ РЕГЛАМЕНТ?

Все компании, обрабатывающие персональные данные физических лиц находящихся на территории ЕС, и:

  • предлагающие товары или услуги субъектам данных ЕС как на возмездной, так и на безвозмездной основе, или
  • осуществляющие мониторинг субъектов данных ЕС.

Под действие GDPR могут попадать компании из различных индустрий, обрабатывающие персональные данные, в частности, такие как:

  • разработчики онлайн-игр, мобильных приложений и интернет-магазины;
  • финансовые, транспортные и фармацевтические компании;
  • туристические, медиа и телеком-организации;
  • и многие другие.

Справочно: обработка персональных данных включает в себя сбор, запись, организацию, структурирование, хранение, переработку или изменение, восстановление, использование, раскрытие посредством передачи, рассылку или иной способ предоставления для доступа, совмещение или комбинирование, ограничение, стирание или уничтожение информации.

КАКИЕ ШТРАФЫ ГРОЗЯТ ЗА НАРУШЕНИЕ РЕГЛАМЕНТА?

С сегодняшнего дня, каждая компания, обрабатывающая персональные данные и попадающая под действие GDPR, вне зависимости от ее размеров и направления бизнеса, обязана соблюдать требования о защите персональных данных. Несоблюдение GDPR может повлечь не только репутационные риски, но и серьезные административные штрафы за отдельные нарушения предусмотрен штраф в размере до 20 млн евро или 4% от годового оборота (процент может быть посчитан от оборота международной группы компаний, а не одного субъекта-нарушителя).

ЧТО ОТНОСИТСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ?

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»), например, имя, адрес электронной почты, местоположение человека, профессия, пол, здоровье, любые связанные с этим элементы данных.

GDPR подразделяет субъекта данных на:

  • идентифицированное физическое лицо (фотография в паспорте человека);
  • идентифицируемое физическое лицо (у вас есть фотография, загрузив которую в поисковик Google, вы может идентифицировать изображенного на ней человека).

ЧТО ОБЯЗАНЫ ДЕЛАТЬ КОМПАНИИ, ЧТОБЫ СОБЛЮДАТЬ GDPR ?

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

  • Получать согласие на обработку:

Компания должна получить или обеспечить получение согласия субъекта данных на обработку персональных данных. При этом важным фактом является выражение согласия субъекта посредством ясного утвердительного действия, устанавливающего конкретное и однозначное указание на согласие. Согласие не может быть выражено в виде молчания, ранее проставленной галочки при посещении сайта или бездействия. Если обработка данных имеет несколько целей, то согласие нужно запросить для каждой из этих целей. Субъект данных должен иметь право легко предоставить и отозвать свое согласие.

Обработка «чувствительных» персональных данных:

Чувствительные персональные данные (расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения и т.д.) заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Их обработка без прямого согласия субъекта данных или в предусмотренных GDPR случаях запрещена.

  • Обеспечить должный уровень защиты:

Для обеспечения безопасности обработки GDPR предлагает такой способ защиты как псевдонимизация, который означает обработку персональных данных таким образом, что персональные данные не могут быть соотнесены с конкретным субъектом данных без использования дополнительной информации.

Источник: http://news.tut.by/probusiness/594101.html

GDPR — новый регламент защиты персональных данных в ЕС. Как избежать многомиллионных штрафов?

В Европейском союзе со следующего года будет действовать новый регламент защиты персональных данных (GDPR): требования к обеспечению безопасности конфиденциальных данных существенно ужесточатся. У компаний, в том числе российских, работающих с европейскими партнерами, осталось немного времени, чтобы приспособиться к новым условиям ведения бизнеса.

Проблему конфиденциальности данных признали крайне важной

Новые нормы General Data Privacy Regulations (GDPR) вступят в силу 25 мая 2018 г. и будут применяться ко всем игрокам европейского рынка, включая иностранные компании. Новый регламент будет действовать и на территории Великобритании до окончательного выхода страны из ЕС.

Проще говоря, не важно, где находится ваша компания, но если вы обрабатываете и храните данные, относящиеся к резидентам ЕС, то на вас распространяется действие GDPR.

GDPR налагает ряд требований, и их невыполнение предполагает серьезные санкции. Одним из главных обязательств, согласно GDPR, является уведомление в течение 72 часов о нарушении конфиденциальности данных. То есть, в случае утечки или хищения данных необходимо в течение трех суток известить об этом контролирующие органы, даже если не удалось установить причину утечки. Фактически, данные считаются скомпрометированными, и попытка утаить этот факт влечет наложение штрафа. Чем выше степень риска, тем быстрее нужно сообщать. Точные сроки, помимо ограничения в 72 часа, не регламентированы, однако, вероятно, если из-за известной утечки будет нанесен серьезный ущерб, компания также понесёт ответственность.

Плюсом GDPR является то, что отныне контроллерам нет необходимости отправлять уведомления об операциях в каждый местный орган, ответственный за защиту персональных данных. Ранее это вызывало сложности, так как в разных странах свои требования к оформлению. Теперь в большинстве случаев достаточно типового договора и правил внутреннего учета деятельности, связанной с обработкой данных. Исключение составляют особые случаи, например работа с персональными данными об уголовных преступлениях.

Читайте так же:  Отказ в оставлении иска без рассмотрения

По данным опросов, пока более половины европейских компаний не готовы к введению таких строгих мер защиты данных. Причем треть компаний даже не определилась с тем, кто в их структуре должен отвечать за выполнение требований GDPR.

Рассмотрим ключевые моменты новых норм регулирования, которые, вероятно, являются примером новой глобальной тенденции к ужесточению правил работы с конфиденциальной информацией.

Какие данные защищает GDPR?

Новые нормы GDPR касаются всех данных с персонифицированной информацией, то есть сведений об организациях и физических лицах. Речь идет, в том числе и о маркетинговых данных, к хранению которых сегодня многие компании относятся менее требовательно, чем к информации, например, финансового или медицинского характера.

Регулирование в соответствии с GDPR будет применяться к обработке персональных данных, связанных с предложением товаров или услуг гражданам ЕС (независимо от того, требуется ли оплата); мониторингом поведения пользователей в ЕС (маркетинг, отслеживание в соцсетях и т.д.).

Более того, больше нельзя использовать длинные неудобочитаемые пользовательские соглашения. Вместо этого пользователь должен получить формы соглашений на простом языке.

Также пользователь должен иметь возможность легко отозвать свое согласие и обязать компанию удалить его персональные данные. Это право, названное Data Erasure, требует прекращения распространения и обработки персональных данных, а также обязывает их стереть. При рассмотрении таких запросов регуляторы могут оценивать «общественный интерес к доступности информации», то есть право Data Erasure может быть аннулировано, если, например, свои данные пытается скрыть злоумышленник.

Провайдер облачных услуг поставляет вычислительные услуги в облачной среде, и когда он действует от имени клиента, то является процессором. Клиент выступает в роли контроллера, принимает решение об использовании того или иного облачного сервиса для обработки персональных данных. Также контроллер несет ответственность по защите данных. В отдельных случаях провайдер облачных услуг (процессор) может быть и контроллером.

Контроллеры обязаны передать регуляторам, а процессоры — пользователям как можно быстрее и «без неоправданной задержки» уведомление о нарушении информационной безопасности персональных данных, способное привести к ущемлению прав и свобод.

Компании, находящиеся за пределами ЕС, должны будут назначить представителя для работы с европейскими регуляторами в случае необходимости. Также следует иметь в виду, что в соответствии с GDPR, регуляторы имеют право затребовать информацию о том, как, где и с какой целью обрабатываются персональные данные.

Кроме того, контроллеры обязаны предоставить субъекту данных копию информации в электронном формате — это радикальный переход к прозрачности информации, хотя он и влечет за собой ряд проблем. Прежде всего, передача любых данных по требованию влечет за собой риск утечки. Также в ряде случаев компании не хотят, чтобы пользователи получали данные о том, какие сведения о них собирают. В то же время, это частично снимает проблему непрозрачности данных облачных сервисов, которая создает угрозу для контроллеров и субъектов данных.

Еще один пункт GDPR, на который стоит обратить внимание в первую очередь, — это требование обеспечить защиту данных еще на этапе разработки, то есть конфиденциальность должна быть изначально заложена в дизайн продукта.

Штрафы за нарушение норм GDPR

Максимальный штраф за нарушение норм GDPR составляет до $20 млн, или 4% оборота денежных средств нарушителя (выбирается наибольшая сумма). Такое наказание налагается за серьезные нарушения, например, обработку персональных данных без согласия клиентов, дискредитацию конфиденциальной информации или нарушение правил дизайна продукта.

В GDPR предусмотрен гибкий многоуровневый подход к штрафам. В частности, компания может быть оштрафована на 2% за то, что не уведомила надзорный орган и субъект данных об утечке данных или не провела оценку возможного ущерба. Эти правила применяются к контроллерам и процессорам, то есть облачные сервисы не будут освобождены от обязанностей исполнения норм GDPR.

Что касается российских предприятий, то в первую очередь введение норм регулирования GDPR может коснуться энергетических, финансовых, транспортных и ИТ-компаний. В то же время, прозрачное регулирование в области защиты данных является позитивным фактором для всего рынка информационных технологий.

Когда нормы GDPR вступят в силу, то любая компания будет иметь всего 72 часа, чтобы сообщить об обнаруженной бреши в системе ИТ безопасности контроллерам. Поэтому компания, которая работает с персональными данными резидентов ЕС должна иметь полную копию трафика со всеми заголовками и полезной нагрузкой в объеме за последние 72 часа минимум, чтобы избежать штрафов. И главное в таких решениях, как и в законе Яровой не просто записать трафик, а проиндексировать его и обеспечить быстрый поиск, так как объем хранилища может быть большим.

Если у вас ЦОД с двумя каналами связи на 10Гбит/сек и загрузкой 75%, то для хранения трафика в течение 72 часов понадобится хранилище 768 терабайт.

Сохраненный трафик позволит проанализировать источник проблемы, если необходимо воспроизвести трафик и после удаления бреши проверить, что все теперь соответствует внутренним политикам безопасности.

Источник: http://networkguru.ru/gdpr-personalnye-dannye/

Статья 4. Определения

Для целей настоящего Регламента:

(1) под термином «персональные данные» понимается любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица;

(2) под термином «обработка» понимается любая операция или набор операций, осуществляемых с персональными данными, с применением автоматизированных средств или без таковых, например сбор, запись, организация, структурирование, хранение, модификация и изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространение или предоставление иным способом, упорядочение или комбинирование, ограничение, стирание или разрушение;

(3) под термином «ограничение обработки» понимается маркировка сохраненных персональных данных в целях ограничения их обработки в будущем;

Читайте так же:  Электронно цифровая подпись как институт информационного права

(4) под термином «формирование профиля» понимается любая форма автоматизированной обработки персональных данных, состоящая из использования персональных данных в целях оценки определенных индивидуальных аспектов, касающихся физического лица, в частности, для анализа или определения аспектов, относящихся к производственным показателям указанного лица, экономической ситуации, здоровью, индивидуальным предпочтениям, интересам, надежности, поведению, месторасположению или передвижению;

(5) под термином «псевдонимизация» понимается обработка персональных данных таким образом, что персональные данные не могут быть больше отнесены к определенному субъекту данных без использования дополнительной информации, при условии, что дополнительная информация хранится отдельно и подлежит применению технических и организационных мер, гарантирующих, что персональные данные не отнесены к идентифицированному или идентифицируемому физическому лицу;

(6) под термином «файловая система» понимается любой структурированный набор персональных данных, доступных в соответствии с определенными критериями, вне зависимости от того используется ли при этом централизованный, децентрализованный, функциональный или географический принцип;

(7) под термином «контролер» понимается физическое или юридическое лицо, органы государственной власти, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и способы указанной обработки определены законодательством Союза или законодательством государства-члена ЕС, контролер или определенные критерии для его назначения могут быть предусмотрены законодательством Союза или государства-члена ЕС;

(8) под термином «обрабатывающее данные лицо» понимается физическое или юридическое лицо, органы государственной власти, агентство или иной орган, который обрабатывает персональные данные от имени контролера;

(9) под термином «получатель» понимается физическое или юридическое лицо, органы государственной власти, агентство или иной орган, которому раскрываются персональные данные, вне зависимости от того, является ли он третьим лицом или нет. Однако органы государственной власти, которые могут получать персональные данные в рамках частного запроса в соответствии с законодательством Союза или государства-члена ЕС, не должны рассматриваться в качестве получателей; обработка данных указанными органами государственной власти должна соответствовать применимым нормам о защите данных согласно целям обработки;

(10) под термином «третья сторона» понимается физическое или юридическое лицо, органы государственной власти, агентство или орган, отличный от субъекта данных, контролера, обрабатывающего данные лица или лиц, которые уполномочены проводить обработку персональных данных под непосредственным руководством контролера или обрабатывающего данные лица;

(11) под термином «согласие субъекта данных» понимается любое свободно данное, конкретное, содержательное и определенное указание о своей воле, посредством которого субъект персональных данных оповещает о своем согласии на обработку относящихся к нему персональных данных;

(12) под термином «утечка персональных данных» понимается нарушение безопасности, ведущее к случайному или незаконному разрушению, потере, изменению, несанкционированному раскрытию или доступу к переданным, сохраненным или иным образом обработанным персональным данным;

(13) под термином «генетические данные» понимаются персональные данные, касающиеся унаследованных или приобретенных генетических характеристик физического лица, которые предоставляют уникальную информацию о физиологии или здоровье указанного физического лица и которые являются результатом, в частности, анализа биологического образца соответствующего физического лица;

(14) под термином «биометрические данные» понимаются персональные данные, возникающие в результате особой технической обработки, касающиеся физических, физиологических или поведенческих характеристик физического лица, которые предусматривают или подтверждают уникальную идентификацию указанного физического лица, например, изображение лица человека или дактилоскопические данные;

(15) под термином «данные в отношении здоровья» понимаются персональные данные, касающиеся физического или психического здоровья физического лица, в том числе предоставление медицинских услуг, которые раскрывают информацию о состоянии его/ее здоровья;

(16) под термином «основное учреждение» понимается:

(a) в отношении контролера с учреждениями в нескольких государствах-членах ЕС, месторасположение его центральной администрации в Союзе, кроме случаев, когда решения о целях и способах обработки персональных данных принимаются в другом учреждении контролера в Союзе, и последнее учреждение обладает правом на имплементацию указанных решений, в этом случае учреждение, принимающее такие решения, должно рассматриваться в качестве основного учреждения;

(b) в отношении лица, обрабатывающего данные, с учреждениями в нескольких государствах-членах ЕС, месторасположение его центральной администрации в Союзе, или, если лицо, обрабатывающее данные, не имеет центральной администрации в Союзе, учреждение указанного лица в Союзе, где производится основная обработка в контексте деятельности учреждения лица, обрабатывающего данные, в той степени, в какой указанное лицо ограничено специальными обязательствами в соответствии с настоящим Регламентом;

(17) под термином «представитель» понимается физическое или юридическое лицо, учрежденное в Союзе, которое в письменной форме назначается контролером или лицом, обрабатывающим данные, в соответствии со Статьей 27 и представляет контролера или лицо, обрабатывающее данные, с учетом их соответствующих обязательств согласно настоящему Регламенту;

(18) под термином «компания» понимается физическое или юридическое лицо, участвующее в экономической деятельности, вне зависимости от организационно-правовой формы, в том числе товарищества или объединения, регулярно участвующие в экономической деятельности;

(19) под термином «группа предприятий» понимается контролирующее предприятие и подконтрольные ему предприятия;

Видео (кликните для воспроизведения).

(20) под термином «юридически обязывающие корпоративные правила» понимаются меры по обеспечению защиты персональных данных, которые обязаны соблюдать контролер или обрабатывающее данные лицо, учрежденные на территории государства-члена ЕС, относительно передачи или совокупности передач персональных данных контролеру или обрабатывающему данные лицу в одной или нескольких третьих странах в рамках группы предприятий или группы компаний, участвующих в совместной экономической деятельности;

(21) под термином «надзорный орган» понимается независимый орган государственной власти, который учрежден государством-членом ЕС согласно Статье 51;

(22) под термином «соответствующий надзорный орган» понимается надзорный орган, который занимается обработкой персональных данных, так как:

(a) контролер или обрабатывающее данные лицо учреждено на территории государства-члена ЕС указанного надзорного органа;

(b) обработка данных в значительной степени оказывает воздействие или может оказывать воздействие на субъекты данных, находящихся в государстве-члене ЕС указанного надзорного органа; или

(c) в указанный надзорный орган подана жалоба;

Читайте так же:  Поведение связанное с нарушением норм права называется

(23) под термином «трансграничная обработка» понимается:

(a) обработка персональных данных, которая осуществляется в контексте деятельности учреждений в нескольких государствах-членах ЕС контролера или осуществляющего обработку лица в Союзе, если контролер или лицо, осуществляющее обработку, учреждены в нескольких государствах-членах ЕС;

(b) обработка персональных данных, которая осуществляется в контексте деятельности единичного учреждения контролера или лица, осуществляющего обработку, в союзе, но которая существенно влияет или может существенно влиять на субъекты данных в нескольких государствах-членах ЕС.

(24) под термином «существенное и мотивированное возражение» понимается возражение против проекта решения относительно того, имеется ли нарушение настоящего Регламента или соответствует ли намеченная деятельность контролера или обрабатывающего данные лица настоящему Регламенту, что четко демонстрирует важность рисков, возникших в результате проекта решения в отношении основных прав и свобод субъектов данных и при необходимости свободного потока персональных данных на территории Союза;

(25) под термином «услуга информационного общества» понимается услуга, в значении определения, указанного в пункте (b) Статьи 1(1) Директивы (ЕС) 2015/1535 Европейского Парламента и Совета ЕС 20 ;

(26) под термином «международная организация» понимается организация и ее подведомственные органы, регулируемые международным публичным правом, или любой другой орган, установленный соглашением между двумя или более странами или установленный на основе такого соглашения.

Источник: http://base.garant.ru/71936226/1b93c134b90c6071b4dc3f495464b753/

GDPR
General Data Protection Regulation
Регламент Евросоюза о персональных данных

Общеевропейский регламент о персональных данных предназначен для того, чтобы защитить конфиденциальность персональных данных граждан Евросоюза и контролировать то, каким образом компании и организации обрабатывают, хранят и используют эти данные. Таким образом, положение регламента применимо к любой компании любого размера вне зависимости от того, где она расположена и где произошло событие по передаче персональных данных.

Содержание

2019: Самые крупные многомиллионные штрафы за нарушение GDPR

  • British Airways
  • Страна: Великобритания
  • Штраф: 204 110 000 €
  • Нарушенная статья GDPR: 32

В июле авиакомпания British Airways была оштрафована на 183 миллиона фунтов стерлингов [1] со стороны Управления комиссара Великобритании по информации (ICO) за нарушение данных, которое произошло в сентябре 2018 года. Злоумышленникам удалось украсть персональную информацию примерно 500 000 клиентов авиакомпании. Эти данные содержали имена, номера банковских карт и их коды CVV, а также адреса электронной почты. Статья 32 закона требует, чтобы компании внедряли технические и организационные меры для обеспечения безопасности информации.

  • Marriott International, Inc.
  • Страна: Великобритания
  • Штраф: 118 714 808 €
  • Нарушенная статья GDPR: 32

В конце ноября 2018 года , Marriott International стала главным героем [2] на тот момент второго по величине нарушения данных за всю историю. Были украдены персональные данные 339 миллионов клиентов. Хакеры получили доступ к данным отеля с 2014 года.

Согласно результатам расследования, проведенного Управлением комиссара Великобритании по информации, украденные данные содержали сведения о примерно 30 миллионах клиентов из 31 страны Европейской экономической зоны. Считается, что уязвимость в защите стала использоваться с 2014 года, когда был скомпрометирован Starwood Hotel Group, а Marriott купила Starwood в 2016 году. Комиссар по информации Элизабет Денхэм объяснила: «GDPR четко дает понять, что организации должны нести ответственность за хранящиеся у них персональные данные. Это также подразумевает и проведение тщательной юридической экспертизы при совершении корпоративной сделки по приобретению».

Штраф, наложенный на Marriott International, составил 99 200 396 фунтов стерлингов.

  • Google LLC
  • Страна: Франция
  • Штраф: 50 000 000 €
  • Нарушенные статьи GDPR: 5, 6, 13, 14

Национальная комиссия по информации и свободе CNIL (Commission Nationale de l’Informatique et des Libertés), являющаяся агентством по защите данных во Франции, в январе оштрафовала Google LLC на 50 миллионов евро [3] за нарушение установленных в GDPR правил прозрачности и за отсутствие действующей правовой основы для обработки персональных данных в рекламных целях. По мнению CNIL, пользователи Google не получили достаточной информации об использовании их данных. Более того, согласие, получаемое компанией Google, не является ни «конкретным», ни «однозначным».

  • Österreichische Post AG
  • Страна: Австрия
  • Штраф: 18 000 000 €
  • Нарушенные статьи GDPR: 5, 6

В октябре австрийская почтовая компания Österreichische Post AG получила штраф в размере 18 миллионов евро [4] за создание профилей около трех миллионов человек, в которых содержалась информация об их адресах, личных предпочтениях и политической принадлежности. Затем эти профили были проданы политическим партиям и другим компаниям. Нарушенные статьи GDPR, указанные выше, связаны с получением правовой основы для обработки данных.

  • 1&1 Telecom
  • Страна: Германия
  • Штраф: 9 550 000 €
  • Нарушенная статья GDPR: 32

В декабре немецкий федеральный комиссар по защите данных и свободе информации (BfDI) оштрафовал телекоммуникационную компанию 1&1 Telecom на 9,5 миллионов евро. Компания не смогла реализовать необходимые технические и организационные меры для защиты персональных данных в своих колл-центрах: было установлено, что достаточно просто можно было получить информацию о клиентах, указав их ФИО и дату рождения. По данным BfDI, такого уровня аутентификации было недостаточно для надлежащей защиты клиентских данных.

2016: Принят Общеевропейский регламент о персональных данных (GDPR)

В мае 2016 года в ЕС принят Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR) — замена Data Protection Directive (официально Директива 95/46 / EC о защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных)). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ) [5] .

GDPR применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. Персональные данные согласно GDPR — это любая информация, относящаяся к физическому лицу или данные, которые могут прямо или косвенно идентифицировать этого человека. Например:

  • Имя, адрес электронной почты, адрес проживания, номер телефона;
  • Персональная информация (например, сексуальная ориентация, расовая принадлежность, политические пристрастия);
  • Банковские сведения;
  • IP-адрес компьютера, cookie ID.
Читайте так же:  Сайт судебных приставов выезд за границу узнать

Согласно новому закону потребители получат более широкий контроль над своими данными. Физические лица (ФЛ) получат следующие права:

  • Право доступа — знать, какая информация о них хранится и как она обрабатывается;
  • Право на исправление – вносить изменения в личные данные, если они являются неточными или неполными;
  • Право на забвение – удалить свои личные данные без необходимости указания конкретной причины;
  • Право на ограниченную обработку — блокировать или запрещать обработку своих персональных данных.
  • Право на перенос данных — сохранять и повторно использовать свои личные данные для собственных целей;
  • Право на возражение — возражать против использования персональных данных. Например, в целях маркетинга, научных и исторических исследований и т.д.

Критерии применимости GDPR

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Действие GDPR распространяется на обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС (например, российские юридические лица), в тех случаях, когда такая деятельность по обработке относится к:

  • предложению товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе;
  • отслеживанию их действий при условии, что таковые осуществляются в пределах ЕС.

Следует отметить, что в критериях отсутствует привязка к гражданству субъекта персональных данных. Под защиту GDPR попадают персональные данные (ПДн) всех субъектов в момент нахождения их внутри ЕС (включая граждан РФ).

Таким образом, потенциально под действие GDPR могут попасть следующие типы российских организаций:

  • Дочерние общества крупных российских холдингов (торговые предприятия компаний-экспортеров, дочерние банки крупных банковских групп и т.п.), находящиеся на территории ЕС.
  • Компании банковского и телекоммуникационного сектора. Мониторинг транзакций по банковской карте, а также анализ звонков субъекта ПДн (например, в рамках процессов по предотвращению мошеннической деятельности), находящегося на территории ЕС попадает под критерий «отслеживания действий».
  • Компании, предоставляющие услуги потребителям из ЕС (интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг). Критериями ориентированности на рынок ЕС могут служить: наличие веб-сайта на одном из официальных языков ЕС, возможность получения оплаты услуг в валюте ЕС, а также явное аффилированние услуг компании с партнерами из ЕС (например, наличие на веб-сайте российского интернет-магазина информации о сотрудничестве с локальными курьерскими службами доставки, работающими в ЕС).

Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн. евро или до 4% от годового оборота компании (в зависимости от того, какая сумма будет больше) — по итогам международного исследования, проведенного E&Y и IAPP (International Association of Privacy Professionals) в 2017 г.

Документ начинает действовать с 25 мая 2018 года, но целый ряд российских компаний, присутствующих на территории ЕС, уже приступил к приведению процессов обработки персональных данных в соответствие с GDPR.

Что будет, если предприятия России нарушат GDPR?

Данный регламент имеет экстерриториальный характер и под его действие подпадает любая компания, которая осуществляет обработку и хранение персональных данных резидентов и граждан Европейского союза. Если ваша компания подпадает под действие этого закона, то готовы ли вы к его вступлению в законную силу? Вероятность того, что ваша компания еще не готова, достаточно высока, т.к. даже в Евросоюзе почти 60% компаний заявили, что они не готовы внедрять изменения, которые требуются согласно новому законодательству о защите персональных данных. Согласно недавнему исследованию Forrester, огромное количество предприятий работают над своей адаптацией к новому регламенту, но только 22% из них рассчитывают привести свое предприятие в соответствие требованиям GDPR в 2018 году. Впрочем, и это может оказаться слишком поздно, потому что о вступлении 25 мая 2018 года в силу данного регламента было известно еще два года назад [6] .

GDPR: что это такое и почему следует обратить на него внимание?

Если ваша компания обрабатывает данные граждан и резидентов Евросоюза, то вам следует позаботиться о соответствии требованиям регламента. Но почему? Потому что вне зависимости от того, где расположено ваше предприятие, вы должны соответствовать требованиям GDPR. Очевидно, что многие компании не знают о том, какой глобальный охват имеет данный регламент, причем его действие распространяется не только на компании из Евросоюза. На самом деле, 43% ИТ-специалистов в США не верят, что GDPR как-то повлияет на работу их предприятия.

GDPR предоставляет физическим лицам расширенные права для контроля и доступа к своим персональным данным. В свою очередь, компании несут дополнительную ответственность за защиту этих данных. Среди основных нововведений отметим требование на получение явного и активного согласия физического лица на обработку, хранение и использование его персональных данных (информирование пользователя уже не достаточно: он именно должен предоставить свое согласие). Существует также требование уведомлять надзорные органы о нарушениях конфиденциальности и целостности персональных данных в течение 72 часов с того момента, как предприятию стало известно об инциденте. Кроме того, GDPR содержит новые права, такие как:

  • право на забвение — пользователь может требовать от предприятия удаления своих персональных данных при определенных обстоятельствах: если отозвано согласие, если перестала существовать причина, по которой ранее эти персональные данные передавались и т.д.
  • право на переносимость – пользователи имеют право требовать от предприятия, которое хранит его персональные данные, предоставить ему копию этих данных для переноса в другую организацию.
Читайте так же:  Типы мер гражданской ответственности

Риски не соответствия требованиям GDPR

Нарушение требований GDPR может иметь различные последствия:

  • Экономические: Эти, наиболее обсуждаемые последствия больше всего волнуют представителей компаний, т.к. власти смогут назначать штрафы размером до 20 миллионов евро или 4% от годового оборота компании. Очевидно, что размер штрафов будет зависеть от многих факторов, таких как суть нарушения, его степень серьезности и продолжительность (например, сколько людей пострадали от нарушения и какой ущерб им был причинен), были ли эти нарушения вызваны неосторожностью или они были сознательны, имеются ли у предприятия другие случаи нарушения регламента и пр.

Наиболее серьезные штрафы будут налагаться на компании, которые не соблюдают основные принципы обработки персональных данных и нарушают права пользователей или передают персональные данные третьим странам или международным организациям, которые не могут обеспечить должного уровня их защиты.

В дополнение к этим административным штрафам, компании также могут столкнуться с дополнительными финансовыми последствиями в результате судебных требований от физических лиц по компенсации ущерба в результате того, что конфиденциальность и целостность их персональных данных были нарушены.

  • Репутационные: Несоблюдение требований GDPR может привести к общественному порицанию таких компаний. Более высокая степень прозрачности, которая требуется в соответствии с этим регламентом, и требование уведомлять надзорные органы о нарушениях персональных данных может привлечь еще больше внимания к вашей компании – в обществе будет складываться негативное мнение о вашей компании, которая не способна защитить их персональные данные. Недостаток доверия и негативное общественное мнение может серьезно сказаться на успехе вашей компании – эти последствия могут быть даже более разрушительными, чем финансовые штрафы.
  • Коммерческие: Неспособность показать, что ваша компания соблюдает требования законодательства может привести к тому, что вы потеряете клиентов и столкнетесь с проблемами при заключении договоров с другими компаниями. Клиенты не желают подвергать риску свои персональные данные, если ваш конкурент соответствует требованиям GDPR и способен защитить их данные. Это также может повлиять и на деловую активность предприятия: многие компании могут не захотеть быть вашим партнером и делиться информацией о своих клиентах с вашей компанией, которая может подвергнуть ее серьезному риску.

Источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:GDPR_(%D0%A0%D0%B5%D0%B3%D0%BB%D0%B0%D0%BC%D0%B5%D0%BD%D1%82_%D0%95%D0%B2%D1%80%D0%BE%D1%81%D0%BE%D1%8E%D0%B7%D0%B0_%D0%BE_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85)

Регламент защиты персональных данных (General data protection regulation) и ваша компания

Автор: Дмитриева Евгения, старший юрист компании «Бейкер Тилли Россия»

GDPR – новый регламент ЕС об обработке персональных данных (ПД), требования которого вступили в силу 25 мая 2018 года.

В данном обзоре мы бы хотели объяснить вам ключевые аспекты GDPR и помочь понять, касается ли GDPR вашей компании.

Понимание базовых принципов GDPR позволит вам увидеть те риски, которые не всегда очевидны, но с которыми ваша компания может столкнуться.

Информация, которой мы делимся, поможет выявить риски и указать на решения, которые следует принять, чтобы избежать негативных последствий.

Регламент затрагивает не только юридические лица, находящиеся и зарегистрированные на территории ЕС, но в определенных случаях и компании, учрежденные и осуществляющие свою деятельность вне территории ЕС, в том числе в России.

GDPR с точки зрения законодательства РФ

Формально требования ЕС, включая GDPR, напрямую не распространяются на РФ, поскольку наша страна не включена в состав ЕС, и нет международного договора, на основании которого РФ дала бы согласие на применение GDPR.

На российские компании Регламент оказывает опосредованное влияние.

Согласно Регламенту, передавая персональные данные обработчику (например, на аутсорсинг), компания, подпадающая под действие Регламента, остается ответственной за соблюдение требований GDPR при обработке персональных данных своими контрагентами, включая тех, кто формально не обязан соблюдать Регламент.

Компании-партнеры, расположенные в ЕС и передающие данные лиц, находящихся в ЕС, будут оценивать риски сотрудничества с организациями, расположенными за пределами Евросоюза, с учетом возможного наложения штрафов в случае нарушений правил Регламента.

При этом имплементация требований GDPR возможна только при условии полного соблюдения требований Российского законодательства в той части, в которой нормы Регламента ему не противоречат. В приоритете – полное соблюдение требований законодательства РФ в сфере ПД (с учетом закона Яровой).

Ваша компания попадает в зону действия GDPR, если:

Имеет филиал/представительство в ЕС;

Ориентирована на рынок ЕС, то есть предлагает товары/услуги лицам, находящимся в ЕС;

Отслеживает действия на территории ЕС (или поручает такое отслеживание обработчику ПД) субъектов ПД, находящихся на территории ЕС;

Внутри группы компаний действуют правила обработки ПД, составленные с учетом GDPR;

Материнской компанией приняты правила обработки ПД, составленные с учетом GDPR;

Клиент, соблюдающий GDPR, передает ПД вашей компании и требует, чтобы обработка данных осуществлялась в соответствии с GDPR;

У компании есть дочерние организации или филиалы на территории ЕС;

Компания поручила обработку данных дочерней компании в ЕС;

Компания определяет цели/способы обработки ПД совместно с компанией из ЕС;

Компания имеет агента в ЕС (например, агент осуществляет судебное представительство).

Последствия несоблюдения требований GDPR

Ухудшение репутации компании на международном рынке в части защиты данных. Отказ клиентов работать с компанией. Потеря потенциальных клиентов.

Нарушение коммерческих и некоммерческих отношений с компаниями, расположенными в ЕС (к примеру, закрытие корреспондентских счетов банковской организации или добавление организации в «черный список», расторжение отношений с контрагентами).

Крупные штрафные санкции (к примеру, по результатам проверки организаций, расположенных в ЕС, при этом источником информации могут быть обращения от субъектов ПД к регулятору).

Нарушение доступности веб-ресурсов для субъектов ПД в ЕС, задействованных в сборе ПД

Для соответствия GDPR требуется:

пересмотреть процессы обработки ПД;

привести эти процессы в соответствие с требованиями GDPR;

доработать локальные акты, регулирующие обработку ПД;

Видео (кликните для воспроизведения).

Источник: http://www.audit-it.ru/articles/personnel/a112/956301.html

Регламент защиты персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here