В мае 2018 года Европа, в том числе и Кипр переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.
С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.
Кто в зоне действия GDPR?
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.
Должна ли такая организация соблюдать GDPR? - Да!
Ведь услуги и товары очевидно предлагаются жителям Европы, потому что:
— услуги/товары адаптированы на местные языки жителей ЕС
— услуги/товары оплачиваются в местных валютах ЕС
— услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС
Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.
Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).
Что подразумевается под персональными данным в GDPR?
Персональные данные — это любая информация, относящаяся к физическому лицу, по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица. Любые фотографии с лицом. Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными. Существуют также определенные типы персональных данных, относящиеся к категории персональных данных: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах, генетические, биометрические данные, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации.
6 принципов обработки данных по GDPR:
1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
2) Ограничение цели. Данные должны собираться и использоваться в тех целях, которые заявлены компанией.
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены.
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Ключевые требования:
-Уведомление о случаях нарушения GDPR
-Права субъекта данных (физического лица)
-Право на переносимость данных
-Согласие на обработку
-Особая защита персональных данных детей
-Назначение ответственного за защиту персональных данных
Что делать?
Если вы входите в зону действия нового европейского регламента о защите данных или планируете предоставлять услуги и товары в страны ЕС и на Кипр, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).
Вывод:
GDPR — важнейший законодательный документ, который повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.
От этого закона могут пострадать фотографы, так как станет невозможным выкладывать в сеть фотографии, сделанные в публичных местах, на которых присутствуют люди, необходимо будет согласие каждого на фотографии. С другой стороны, такая фотография может быть быстро удалена, по требованию любого физического лица, находящегося на фото.
- Если Вы хотите самыми первыми узнавать о всех новостях и происшествиях на Кипре, подписывайтесь на наш канал в Telegram
- Обсудить статью можно на нашей страничке в Facebook
Источник: cyprusbutterfly.com.cy