РУС УКР
Отправить запрос

* обязательные поля

Я не робот
Например: информация об удобном времени принятия звонка

GDPR: Новые правила обработки персональных данных

Наверное, многие заметили, что в последнее время на их персональные устройства буквально каждый поставщик каких-либо ИТ-услуг присылал уведомление о том, что его правила соответствуют требованиям GDPR. Что это такое и для чего они нужны?

 

Сегодня персональные данные стали самой ценной и, в то же время, самой уязвимой информацией. Именно поэтому ЕС разработал важнейший документ - GDPR, - который выводит защиту данных в ЕС и по всему миру на новый уровень.  

 

Новый Регламент по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г., коротко GDPR — General Data Protection Regulation) начал действовать с 25 мая 2018 года. Его действие распространяется на все страны ЕС, и он заменит собой заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

 

Основной фокус GDPR – это экстерриториальный принцип действия новых европейских правил обработки персональных данных, и они распространяются на все компании, ориентированные на европейский рынок. Теперь резиденты ЕС обрели полный контроль над своими личными данными, а штрафы за нарушение правил обработки персональных данных составляют 4% годового дохода компании.

 

Кто попадает под действие GDPR?

 

Он применяется ко всем организациям, которые обрабатывают персональные данные резидентов и граждан ЕС, вне зависимости от их местонахождения. Соответственно, представительства украинских компаний на территории ЕС обязаны выполнять его требования.

 

Например, интернет-магазин, который продает товары по всему миру и в ЕС в том числе, попадает под действие GDPR. Ведь его товары и услуги адаптированы под языки граждан ЕС, оплачиваются в местной валюте (ЕС). Соответственно, все организации, которые обрабатывают персональные данные европейцев у нас, в Украине, при реализации каких-либо товаров и услуг обязаны соблюдать новые правила GDPR.

 

Что интересно, кроме обработки персональных данных, используется еще одно понятие – мониторинг поведения субъектов данных, под него попадают все организации, созданные вне ЕС, и которые контролируют поведение граждан стран ЕС (как контролер или процессор).

 

Что это значит? Отслеживание резидента ЕС в интернете и использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений) однозначно попадает под действие GDPR.

 

Регламентом разделяются понятия «контроллер данных» (data controller) и «процессор данных» (data processor). Контроллер несет большую юридическую ответственность, чем процессор.

 

Ярчайший пример - облачная система, которой пользуются ваши сотрудники для выполнения задач, где также хранятся персональные данные клиентов, выступает в роли процессора данных, а компания - контроллера. И несет полную ответственность, о которой мы писали выше.

 

Разберемся, что же такое персональные данные по версии GDPR

 

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. Это имя, данные о местоположении, онлайн идентификатор или один/несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица, IP адреса.

 

Существует несколько типов персональных данных. Это также информация о расовом или этническом происхождении, политических взглядах, членстве в профсоюзах, религиозных и философских убеждениях, генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).

 

Ключевые требования

 

Уведомление о случаях нарушения GDPR

Компании обязаны уведомлять регулирующие органы, а часто и самих субъектов данных, о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения. Единый регулятор - Европейский совет по защите данных (European Data Protection Board — EDPB).

 

Права субъекта данных (физического лица)

Теперь пользователи имеют право требовать прекращения обработки своих данных или же полностью удалять свои личные данные. Европейцы имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления.

 

Право на переносимость данных

Право на переносимость данных (right to data portability) – новый пункт в правилах обработки данных ЕС, введенный GDPR. Оно заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.

 

Согласие на обработку

Согласие пользователя на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. В случае, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя, такое согласие недействительно.

 

Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена на видном месте, чтобы пользователь мог легко её найти.

 

Особая защита детей

Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).

 

Назначение ответственного за защиту персональных данных

Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.

 

Николай
Телефон: +38 050 593 39 18
Попробуйте бесплатно! Отказаться можно в любой момент. Звоните:
044 364 88 28
предыдущая статья следующая статья
popupOk
Отправить запрос
Я не робот
map Язык: Русский effie@ipland.com.ua Карта сайта
IPLAND 2018 © IT Service Provider
Свернуть
popupOk
Test cпасибо за обращение!

Наш менеджер свяжется с Вами в ближайшее время. Если же Вы отправили запрос в нерабочее время или выходной день, мы свяжемся с Вами в первой половине ближайшего рабочего дня. Чтобы быть в курсе всех обновлений, подпишитесь на наши новости