Новые правила по защите личных данных

Общий регламент по защите данных (General Data Protection Regulation – GDPR), новое постановление Европейского Союза о защите конфиденциальности и персональных данных, вступающее в силу 25 мая 2018 года и принятое с целью унифицировать внутренее законодательство стран-участниц об обработке пресональных данных и наиболее полно обеспечить права физических лиц по контролю над своими персональными данными.

Соглано GDPR, персональные данные означают любую информацию, относящуюся к идентифицированным или идентифицируемым физическим лицам («субъект персональных данных»), включая: а) базовую информацию о человеке, как имя, адрес и номер удостоверяющего документа; б) интернет данные, как место нахождения, сетевой адрес, данные cookie и радиочастотные метки; в) данные по здоровью и наследственности; г) биометрические данные; д) расовые и этнические данные; е) политическая позиция; ж) сексуальная ориентация.

Физические лица в соответствии с новым постановлением наделяются большим количеством прав в рамках защиты их данных, как право на доступ, то есть право пользователей требовать доступа к своим данным, а также уточнять, как их личные данные используются компанией после их сбора; право быть забытым, то есть право пользователей обратиться за полным удалением их персональных данных; право на перенос данных, то есть право физических лиц на перенос их данных от одного поставщика услуг другому; право быть проинформированным, то есть обязанность компаний, которые обрабатывают персональные данные, письменно информировать пользователей в течение 72 часов об утечке данных.

GDPR применяется к контролирующим лицам (компании, организации, которые занимаются сбором данных жителей ЕС) и к операторам (компании, организации, которые обрабатывают данные от контролирующих лиц, как поставщики облачных услуг), расположенным как в ЕС, так и за его пределами при условии, что они собирают и обрабатывают личную информацию о гражданах ЕС.

Согласно GDPR контролирующие лица и операторы должны назначить инспектора по защите персональных данных (Data Protection Officer, DPO) для отслеживания стратегии по безопасности данных и соответствия GDPR. Компании должны нанять инспектора, если они обрабатывают или собирают большое количество данных о гражданах ЕС, обрабатывают или собирают специальные персональные данные, регулярно отслеживают субъектов данных или являются публичным органом власти. Некоторые публичные образования, как правоохранительные органы, могут быть освобождены от требования о назначении инспектора.

GDPR, как и иные постановления ЕС, подлежат прямому применению в каждой стране-участнице ЕС без необходимости ратификации. Это означает, что компании должны быть готовы к применению описанной системы и процессов до 25 мая для соблюдения новых положений и избежания штрафов и иных видов наказаний.

В случае несоответствия GDPR надзорные органы уполномочены наложить административный штраф. Причем размер административных штрафов может варьироваться в зависимости от положений, которые были нарушены, и достигать размера в 20 миллионов евро или, при его превышении, 4% от общего годового дохода организации по всему миру. Подобные штрафы могут быть предписаны как для контролирующих лиц, так и для операторов. К примеру, нарушение требований, связанных с принципом «проектируемая конфиденциальность» и его неисполнением, подлежит штрафу с максимальным размером в 10 миллионов евро или 2% от общего годового дохода организации по всему миру.  Нарушение базовых принципов обработки, включая условия получения действительного согласия, равно как несоблюдение предписания надзорного органа, может повлечь за собой штраф, максимальный размер которого составляет 20 миллионов евро или 4% от общего годового дохода организации по всему миру.

В этой связи видится особо важным для компаний, работающих как в ЕС, так и за его пределами (при обработке данных граждан ЕС), обеспечение их полного соответствия требованиям нового GDPR. Если у Вас возникнут какие-либо вопросы по поводу нового постановления, пожалуйста, пишите нашим экспертам на info@dandreapartners.com.