+7(343) 344-34-20
г. Екатеринбург, ул. Горького,
дом 65, офис 296
Позвонить
Online-заказ

Главное о GDPR

16 Июня 2018

25 мая 2018 года вступил в силу новый General Data Protection Regulation, Общий регламент по защите персональных данных Европейского союза. Как он коснется российских компаний и что нужно сделать для его соблюдения, разберем в статье.

В чем суть GDPR?

Регламент разработан для контроля обработки персональных данных граждан и резидентов стран Европейского союза. В каждом государстве действуют свои правовые нормы, а GDPR представляет собой именно общий регламент, действующий для всех. В том числе, для тех, кто работает вне ЕС, но оказывает услуги на его территории.

По Регламенту граждане и резиденты ЕС имеют право практически полностью контролировать обработку ПДн:

  • получать информацию, кто, зачем и каким образом использует персональные данные;
  • запрашивать, какие данные находятся в распоряжении обработчика;
  • отзывать согласие на использование данных;
  • требовать корректировки неверных, устаревших, изменившихся данных;
  • требовать удаления данных, если это не противоречит другим законам и не влияет на право  получения информации (например, об общественной деятельности);
  • запрашивать данные для переноса на другую площадку (аналогичный сервис, другой сайт и т.п.);
  • жаловаться регулятору соблюдения GDPR в своей стране на неправомерное использование ПДн и на игнорирование своих запросов и требований.

Обработчики персональных данных со своей стороны обязаны:

  • получать согласие на обработку ПДн или предоставлять всю информацию о целях сбора ПДн, способах их использования и условиях передачи третьим лицам в договоре или «Политике конфиденциальности» (подробнее о различиях – в последнем разделе статьи);
  • получать согласие на использование ПДн детей в возрасте до 16 лет (в некоторых странах – до 13 лет) от родителей или опекунов;
  • не использовать данные так, как не было оговорено заранее;
  • не передавать ПДн третьим лицам без согласия их обладателей;
  • документировать процесс обработки данных;
  • обеспечивать защиту данных;
  • удовлетворять запросы на получение информации об использовании данных;
  • корректировать или удалять данные по запросу, если их хранение не обусловлено местным законодательством;
  • уведомлять об утечке данных в течение 72 часов;
  • назначить ответственного за обработку ПДн в своей компании;
  • обеспечить представительство в странах ЕС, граждане и резиденты которых являются клиентами компании.  

Формулировка, что считается ПДн, традиционно расплывчата: в общем, под это определение попадает вся информация, с помощью которой можно идентифицировать человека. Кроме того, не рекомендуется собирать избыточные данные, то есть не нужные для маркетинговых целей, и запрещается использовать в интересах бизнеса информацию, связанную с религиозными воззрениями, расовой принадлежностью, сексуальной ориентацией.

Если рассуждать о духе закона, нужно отметить, что он определяет обработчика ПДн как хранителя информации, но не как обладателя. И этот хранитель должен быть в высшей степени ответственным и заботливым.

Кто должен выполнять требования?

Помимо компаний, работающих в ЕС или имеющих представительство в странах Евросоюза, соблюдать GDPR нужно:

  • организациям, предоставляющим услуги или продающим товары в странах ЕС;
  • компаниям и сервисам, занимающимся мониторингом поведения пользователей из стран ЕС;
  • организациям, имеющим сайт или версию сайта на языке страны ЕС, если собираемые данные о посетителях используются для идентификации и профилирования пользователей;
  • компаниям, планирующим выход на западный рынок или сотрудничество с партнерами из ЕС.

Другими словами, если клиенты и посетители сайта – граждане или резиденты стран ЕС и их данные собираются, хранятся и используются в маркетинговых целях, нужно обеспечить обработку ПДн согласно GDPR. А партнеры, работающие на территории ЕС, должны быть уверены, что передаваемые ими данные защищаются в соответствии с Общим регламентом.  

Но если иностранец переночевал в гостинице Саратова и этот факт не используется владельцем отеля для показа рекламы и рассылки, можно не беспокоиться. Незарегистрированные читатели информационного или развлекательного ресурса могут быть откуда угодно, при условии, что имеющиеся о них данные (IP, cookies и подобная техническая информация) никак не используется. 

Я уже соблюдаю № 152-ФЗ, что еще нужно?

Требования GDPR жестче, чем правила, установленные российским законодательством, хотя общие положения, конечно, есть. Для соответствия GDPR понадобится дополнительно обеспечить:

  • информирование о передаче данных третьим лицам с перечислением организаций, которым отдаются ПДн и целей этой деятельности;
  • возможность для пользователей без особых усилий отправить запрос об объеме хранящихся данных, требование о корректировке или удалении как части данных, так и всего аккаунта;
  • техническую возможность полного или частичного удаления данных, в том числе из резервных копий;
  • оперативное, в течение месяца, реагирование на запросы об уточнении или удалении ПДн;
  • документирование всех действий по обработке данных;
  • информирование пользователей об утечке ПДн.

Важно отметить, что по условиям GDPR местное законодательство приоритетно. То есть данные, которые положено хранить в течение определенного срока, удаляться не могут.

Если действительно выполнять все требования № 152-ФЗ, касающиеся технического обеспечения и документирования обработки ПДн, большой дополнительной работы не потребуется. Но в конфликтных ситуациях придется доказать, что обработка ПДн ведется по правилам, поэтому стоит заняться приведением этой деятельности в порядок, не сводя соблюдение российского закона к размещению на сайте «Политики конфиденциальности» и «галочки» согласия с обработкой данных.

Кто проверит?

На основании практики действия других регламентов ЕС, эксперты предполагают такой порядок действий:

  • регулятор получает жалобы от людей, чьи персональные данные используются с нарушениями (без согласия, не удаляются, не корректируются);
  • представителю компании на территории ЕС отправляется предупреждение и требование исправить ошибки;
  • если представителя нет, регулятор обращается к соответствующим органам власти страны, в которой работает нарушитель, с просьбой содействия;
  • компания устраняет нарушения или доказывает, что их нет;
  • при повторном нарушении выписывается штраф.

Не исключены и другие варианты развития событий, но пока остается основываться на предположениях. Единственное, чего не стоит опасаться, – мгновенного наложения огромных штрафов и блокировок. В правилах ЕС сначала предупреждать.

Что сделать для соответствия GDPR?

В первую очередь, прочитать сам Регламент. Если компания планирует активную деятельность на территории ЕС, нужно проконсультироваться с юристами, чтобы учесть все нюансы конкретного случая.

В общих чертах порядок приведения обработки ПДн в соответствие с требованиями GDPR выглядит так:

  1. Определить, какие данные собираются о пользователях и зачем они нужны. На этом этапе работы стоит избавиться от ПДн, которые не используются, и сформулировать цели обработки оставшейся информации.
  2. Выбрать способ получения согласия. Здесь есть важный нюанс – согласно GDPR, данные разрешено обрабатывать на таких условиях:
  • при получении активного и информированного согласия на обработку данных с конкретной целью;
  • для выполнения условий договора;
  • для соблюдения законных обязанностей обработчика ПДн;
  • для обеспечения законных интересов обработчика данных;
  • в общественных интересах;
  • для защиты жизненных интересов субъекта ПДн

Это значит, что согласие в виде подтверждения («галочка» и т.п.) нужно только при выборе первого пункта. В остальных случаях владелец данных должен ознакомиться с «Политикой конфиденциальности» или договором, где подробно и понятно рассказано о видах собираемых данных, цели их получения, дальнейшем использовании и сроке хранения.

  1. Доработать «Политику конфиденциальности». По результатам выполнения предыдущих действий станет ясно, какой информацией нужно дополнить этот документ. Чем доступнее и подробнее изложена «Политика», тем лучше. Шаблоны использовать не стоит, поскольку документ должен содержать описание именно ваших действий.
  2. Организовать доступ пользователей к данным. Например, добавить в «Личный кабинет» форму отправки запроса на корректировку или удаление данных или предложить другую возможность обратиться в компанию.
  3. Обеспечить удаление данных. Как это реализовать технически, зависит от особенностей сайта, и для выполнения этого этапа подготовки нужно обратиться к специалистам.
  4. Назначить ответственного за обработку ПДн. Такой человек должен быть в организации и по российскому законодательству. Нанимать нового сотрудника или поручать контроль уже имеющемуся – выбор компании.
  5. Подготовить внутренний регламент работы с данными. Он тоже должен быть для соблюдения № 152-ФЗ, но, скорее всего, придется его доработать в соответствии с усложнениями для GDPR.
  6. Заключить договоры с получателями ПДн. Если компания передает данные третьим лицам, необходимо подписать договоры о сотрудничестве и ответственности сторон.
  7. Обеспечить представительство в ЕС. Этот пункт затруднителен для выполнения теми, кто работает только на территории РФ. Проблему можно решить наймом человека, находящегося в стране, с которой идет наиболее активная торговля. Также вероятно появление компаний, предоставляющих услуги представителей.

Это основные действия. Если работа с клиентами из ЕС строится по сложным схемам, также стоит проконсультироваться с юристами, знающими особенности работы с GDPR.

В заключение

Соблюдение GDPR непростой процесс, но необходимый для всех, кто планирует выход на европейский рынок. И стоит выполнить хотя бы основную подготовку, не дожидаясь практики применения Регламента – ответственные европейские компании действуют именно так.

Главное о GDPR

 
ссылка на эту статью:

Вернуться к списку
«Промотехника» ©2024
Открыть полную версию сайта
Обратная связь

Нажимая "отправить" я соглашаюсь на обработку моих персональных данных
Положение об обработке персональных данных