РЕКОМЕНДАЦИИ ПО ПОДГОТОВКЕ К НОВЫМ ПРАВИЛАМ GENERAL DATA PROTECTION REGULATION (GDPR)

General Data Protection Regulation (GDPR)- это Регламент (ЕС) 2016/679 2016/679 Европейского Парламента и Совета от 27 апреля 2016 г. «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ EC (Общие положения о защите данных)»

ЧТО ТАКОЕ GENERAL DATA PROTECTION REGULATION (GDPR)? 

General Data Protection Regulation (GDPR)- это Регламент (ЕС) 2016/679 2016/679 Европейского Парламента и Совета от 27 апреля 2016 г. «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ EC (Общие положения о защите данных)» / Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation, GDPR)

Регламент вступил в силу в мае 2016 г. и обязателен к применению в Евросоюзе с 25 мая 2018 г. как документ прямого действия (т. е. имеет силу закона на всей территории ЕС).

Регламент применяется не только к резидентам ЕС, но также и к лицам вне ЕС, обрабатывающим персональные данные физических лиц – резидентов ЕС в связи с предложением/продажей им товаров и услуг (независимо от оплаты), либо же мониторингом действий/поведения субъектов данных в Евросоюзе.

Так, применительно к вебсайту и другим материалам, публикуемым онлайн, берутся во внимание такие факторы:

  • используется один из языков Евросоюза;
  • формируются цены/принимается оплата в евро;
  • упоминаются клиенты из Евросоюза и т. п.

ОСНОВНЫЕ ТЕРМИНЫ В НОВОМ РЕГЛАМЕНТЕ GDPR

GDPR вводит понятия «контролера» (controller) и «обработчика» (processor) персональных данных.

«КОНТРОЛЕР» (controller) – это физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных. Контролёр обязан:

  • в определенных случаях сотрудничать с обработчиками данных;
  • вести учетную документацию;
  • осуществлять оценку воздействия обработки персональных данных на права субъектов данных для некоторых видов обработки данных;
  • внедрять механизмы защиты данных;
  • в момент сбора персональных данных предоставлять субъектам данных полную информацию о целях сбора персональных данных, о правах субъектов данных и т.д.;
  • по возможности, в течение 72 часов уведомлять национальные органы по защите данных (Data Protection Authorities, DPAs) об обнаружении утечек персональных данных, и соответствующих субъектов персональных данных.

«ОБРАБОТЧИК» (processor) – это физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролёра. Обработчик обязан:

  • вести письменный реестр операций по обработке персональных данных, выполненных от имени и по поручению каждого контролёра;
  • если у обработчика нет представителя в Евросоюзе, он обязан назначить такое лицо в определенных случаях;
  • без задержек уведомлять контролёра об утечках персональных данных;
  • участвовать в деятельности по трансграничной передаче данных.

КТО ОБЯЗАН СОБЛЮДАТЬ РЕГЛАМЕНТ GDPR?

Регламент обязателен к соблюдению всеми компаниями, собирающими, хранящими или обрабатывающими персональные данные резидентов Евросоюза (контролеры и обработчики данных), независимо от  местонахождения таких контролеров и обработчиков.

Регламент прямо запрещает, под угрозой вышеназванных санкций, перемещение персональных данных резидентов Евросоюза в страны за пределы Евросоюза, если Еврокомиссия не признает данные страны как имеющие адекватный уровень защиты персональных данных. На сегодня (12.04.2018) таковыми признаны: 

Лихтенштейн, Норвегия, Исландия, Андорра, Аргентина, Канада, Израиль, о. Мэн, Фарерские острова, Гернси, Новая Зеландия, Швейцария, Уругвай, США.

Также в процессе признания на 12.04.18 Япония и Южная Корея.

ПРИНЦИПЫ РЕГЛАМЕНТА GDPR

Принципом Регламента является его исполнимость.

Упрощенно, если не существует возможности привлечь к предусмотренной Регламентом ответственности контролера или обработчика персональных данных в определенной стране, обработка им персональных данных резидентов Евросоюза будет незаконна.

ЧТО ИЗМЕНИТСЯ С ВСТУПЛЕНИЕМ В СИЛУ РЕГЛАМЕНТА GDPR?

  • В случае, если обработка данных носит крупномасштабный характер (критерий не уточнен), GDPR требует от контролера или обработчика назначения штатного или внештатного инспектора по защите персональных данных (DPO), выдвигает к этой должности определенные требования профпригодности и налагает на него персональную ответственность за соблюдение Регламента. За основу критерия «крупномасштабности», за неимением иного, можно принять показатель одного из ранних проектов GDPR – обработка от 5000 записей либо наличие 250 сотрудников.
  • GDPR строго регламентирует порядок получения согласия пользователей на обработку ПД в момент их сбора, порядок отзыва и ряд других прав.
  • Одним из прав пользователя является право подачи жалоб в надзорный орган одной из стран ЕС по защите персональных данных, причем текст Privacy policy должен явно указывать такой орган и его контакты. Кроме того, как обработчик данных владелец сайта обязан в течение 72 часов уведомлять такой надзорный орган об утечке данных.
  • GDPR требует наличия систем защиты и технических регламентов по защите персональных данных.
  • В случае, если владелец проекта (обработчик данных) находится вне Евросоюза и обрабатывает данные на регулярной основе, GDPR требует назначения постоянного представителя обработчика в ЕС.

ШТРАФНЫЕ САНКЦИИ ЗА НЕСОБЛЮДЕНИЕ GDPR

GDPR – это регламент Евросоюза, приобретающий силу закона с 25 мая 2018 года и предусматривающий значительные санкции за его нарушение при обработке персональных данных резидентов Евросоюза (до 20 млн. евро или до 4% годового оборота компании).

Требования Регламента распространяются далеко за пределы содержания политики конфиденциальности, размещенной на веб-сайте.

РЕКОМЕНДАЦИИ ПО СООТВЕТСТВИЮ ВАШЕГО СЕРВИСА GDPR

Для полного соответствия требованиям GDPR рекомендуется как минимум:

a. Выполнение требований местного законодательства такой страны о защите персональных данных, в т. ч. получение консультаций от местного органа по защите персональных данных.

b. Назначение штатного или внештатного инспектора по защите персональных данных (DPO) (необходимость нужно оценивать в ходе консультаций на месте).

c. Разработка Privacy policy с учетом требований GDPR.

d. Разработка системы уведомлений и получения согласий пользователей на основе предварительного аудита сервиса.
e. Разработка, внедрение и описание системы технической защиты персональных данных (во внутренних регламентах и инструкциях).

f. Если ваша компания находится в странах СНГ, рекомендован перевод прав владения проектом на резидента одной из стран ЕС для соответствия новому регламенту.

Все указанные меры должны реализовываться в комплексе.

Несоответствие вашего сервиса требованиям GDPR потенциально может повлечь за собой наложение санкций как на владельца сервиса, так и на его клиентов-работодателей, в размерах, критичных для бизнеса.

ЕСЛИ ВЫ ЯВЛЯЕТЕСЬ ВЛАДЕЛЬЦЕМ САЙТА И СОБИРАЕТЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СО СВОИХ ПОЛЬЗОВАТЕЛЕЙ, НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ УЖЕ СЕЙЧАС ПРОВЕРИТЬ ВАШ СЕРВИС НА СООТВЕТСТВИЕ НОВЫМ ПРАВИЛАМ GDPR.

Мы поможем провести полный анализ вашего онлайн сервиса на соответствие GDPR, напишем правильные политики и предоставим индивидуальные юридические рекомендации.

НАПИСАТЬ НАМ ИМЕЙЛ

Подготовтесь заранее к новым правилам, чтобы соответствовать европейскому сервису и не платить шрафы.