Адрес компании Регистрал

03150, Украина, Киев, улица Большая Васильковская, 95 registral.kiev@gmail.com

Карта проезда "Регистрал"

38(099)004-32-91

38(098)764-25-16

Нужна консультация? ЗВОНИТЕ!

РЕЖИМ РАБОТЫ

Понедельник-Пятница 10:00 - 18:00
Суббота / Воскресенье - выходной

НОВОСТИ

GDPR: Новые правила обработки персональных данных

GDPR — сокращение от англ. General Data Protection Regulation, что дословно означает Общий регламент по защите данных.

GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка

Так называется постановление, принятое в 2016 г. в Европейском союзе, призванное унифицировать и усилить методы защиты персональных данных в ЕС. В мае 2018 г. постановление вступило в силу. 

В первую очередь GDPR позволяет гражданам ЕС более эффективно контролировать свои личные данные — ФИО, электронную почту, реквизиты банковских карт и т.д. Постановление вводит штрафы компаниям и частным лицам, виновным в утечке, разглашении, несанкционированном и неправомерном использовании персональной информации. Например, компанию за несоблюдение GDPR могут оштрафовать на сумму от 20 000 000 млн. евро до 2-4% годового оборота.

Регламент GDPR содержит четкие и понятные критерии обращения с данными, в частности, ограничение срока хранения и минимизация объема собираемых данных, подотчетность, конфиденциальность и точность. Основополагающий принцип Регламента — законность, справедливость и прозрачность; любое получение информации должно основываться на конкретных целях, которые должны быть четко изложены и закреплены в политике компаний.

GDPR дает возможность бороться с такой распространенной практикой, как продажа электронных баз данных в интернете. Не секрет, что многие компании продают базы своих клиентов или обмениваются ими с партнерами. Например, в начале 2018 г. во всемирную паутину утекли сведения о клиентах Новой почты, почти 18 млн записей о 500 тысячах человек. Если бы удалось доказать причастность Новой почты к обнародованию базы данных (неважно, умышленного или по причине технического сбоя), то по стандартам GDPR почтовой компании грозили бы гигантские штрафы.

Украина – не член Евросоюза, поэтому напрямую на нее не распространяется новый стандарт защиты данных. Однако все компании, которые имеют дело с личными данными граждан ЕС и резидентов входящих в него стран, обязаны соответствовать требованиям GDPR. Например, это относится к той же Новой почте — ведь компания предлагает услуги международной почтовой доставки и соответственно получает персональную информацию европейцев. Если бы на момент утечки данных ее клиентов в Даркнет уже действовал бы Регламент GDPR, Новой почте не удалось бы уйти от ответственности.

Какие еще организации обязаны придерживаться стандартов GDPR?

  • Все организации независимо от формы собственности, если используют облачные решения либо приложения, работающие с персональными данными граждан и резидентов ЕС;
  • ИТ- и иные компании, сотрудничающие с ЕС на условиях аутсорсинга;
  • финансовые учреждения (банки, биржи и пр.);
  • консалтинговые фирмы;
  • интернет-магазины, службы доставки и пр., если их деятельность не ограничивается территорией Украины.

Кроме того, под правила GDPR подпадают организации, которые:

  • имеют в своем составе организационные подразделения в ЕС;
  • по роду деятельности могут получать персональные данных лиц, находящихся в ЕС -- например, потому что торгуют товарами или услугами либо получают какие-то данные с территории ЕС (медицинская информация, статистические данные, сведения юридического характера и пр.).

Организационные требования GDPR

Если ваша фирма подпадает под действие GDPR, вам придется внести ряд изменений в свою организационную структуру. Обязательным является включение в штатное расписание так называемого Data Protection Officer — сотрудника, ответственного за защиту персональных данных. Он должен быть трудоустроен по трудовому либо по гражданско-правовому договору. Если такого специалиста в вашей компании не обнаружится, вам будет грозить штраф в размере до 10 млн евро или до 2% годового дохода компании.

Даже если ваша компания работает внутри страны, однако по роду деятельности подпадает под требования GDPR, вам придется открыть свое представительство в ЕС или как минимум назначить там своего представителя.

Перспективы GDPR в Украине

Понятно, что не все бизнес-структуры станут охотно применять GDPR, особенно в части открытия представительства в ЕС. По некоторым оценкам, на внедрение Регламента предприятию придется затратить до 4% годового дохода. Тем не менее GDPR активно продвигается в украинском бизнес-пространстве, проводятся семинары и тренинги, консультации и учебные курсы. Пока рано делать далеко идущие выводы, ведь Регламент GDPR ступил в силу лишь весной этого года и в первую очередь будет обкатываться в ЕС. Ждем актуальной информации от европейского комитета Working party 29 и от EDPB (Европейского совета по защите данных), — главных регуляторов внедрения стандартов GDPR в Евросоюзе. Многое станет понятно из судебной практики.

Скорее всего, в первую очередь Европейский совет по защите данных попытается добиться соблюдения GDPR от крупных европейских и транснациональных компаний уровня Google, Amazon, Uber и пр. Затем настанет очередь европейских компаний поменьше. Однако украинским компаниям, чей бизнес связан с информационными потоками ЕС, не стоит сидеть сложа руки. Как минимум стоит изучить принципы GDPR и начать постепенно внедрять их в свою повседневную практику.

Возможности пользователя

Какими правами наделяет GDPR рядовых пользователей, т.е. владельцев тех самых персональных данных, которых берет под свою защиту?

  • Право на забвение (right to be forgotten): владелец данных может потребовать удалить их из базы данных компании, например, чтобы они не попали к третьим лицам.
  • Право на переносимость данных (right to data portability): по запросу пользователя компания, у которой имеются его личные данные, обязана передать эти данные бесплатно другой компании, которую укажет пользователь (скажем, пользователь хочет зарегистрироваться на некоем сервисе; вместо того чтобы заполнять форму, он просит другой сервис, на котором он уже зарегистрирован, передать новому сервису его, пользователя, персональные данные вместе с пользовательским профилем).
  • Право на отказ: пользователь может потребовать, чтобы его запрос на товар или услугу рассматривал сотрудник, а не автоматизированная система обработки данных.
  • Право на защиту детей: обработка персональных данных ребенка может выполняться только с разрешения родителей или законных представителей ребенка. В разных странах ЕС возрастной порог для родительской авторизации разный —от 13 до 16 лет.

В GDPR более четко прописано согласие пользователя на обработку его персональной информации. Вот лишь некоторые требования:

  • информация о политике компании в отношении пользовательских данных должна быть размещена на видном месте, чтобы клиенту не пришлось прилагать усилия, чтобы ее отыскать;
  • пользователь должен дать однозначно утвердительный ответ на вопрос, дает ли он разрешение на использование и обработку его данных;
  • компаниям запрещается предлагать пользователям формы с уже поставленной галочкой в поле о согласии, т.е. запрещается использовать формы с согласием по умолчанию;
  • пользователю обязательно должно быть предоставлено право отозвать свое согласие без ущерба для себя;
  • дополнительной защитой должны обеспечиваться так называемая специальные категории персональных данных (Special categories of personal data) — сведения о национальности, политических и религиозных взглядах, сексуальной ориентации, состоянии здоровья, а также генетические и биометрические данные, позволяющие идентифицировать человека.

GDPR распределяет ответственность между теми, кто собирает данные (Data controller), и теми, кто их обрабатывает (Data processor). Обе категории специалистов несут ответственность за соблюдение норм GDPR.

Наконец, GDPR не требует внесения каких-либо изменений в законодательства стран ЕС. Как мы уже разъяснили, регламент GDPR в обязательном порядке должен исполняться в странах — членах ЕС и в странах, организации которых имеют дело с персональными данными граждан и резидентов ЕС.

ВВЕРХ