Gdpr – что это, действует ли в россии, новый регламент защиты персональных данных в ес

Главная — Организация бизнеса — Кадры — GDPR – что это


Развитие информационных технологий повышает уязвимость персональных данных. Для снижения риска совершения противоправных действий странами внедряется и совершенствуется нормативная база по защите личной информации. Материал статьи расскажет о GDPR – что это такое, действует ли оно в России? На кого распространяется действие нововведения, в чём основные отличия от 152-ФЗ?

В чём заключается gdpr: определение, принципы, требования

Операторы, работающие с персональными данными (ПД), обязаны следовать порядку сбора, хранения, защиты собираемой информации, устанавливаемому законодательством страны.

В России действует 152-ФЗ – основной закон, регулирующий вопросы по работе с персональными данными.

GDPR – что это? Весной в Евросоюзе вступил в силу Общий регламент по защите персональных данных – General Data Protection Regulation. На содержание зарубежного акта обратили внимание российские компании и стал очевидным вопрос соблюдения его положений.

Анализируя основные принципы документа, стоит выделить следующее:

• CDPR ориентирован на прозрачность сбора информации. Компании, перед тем как получить ПД, обязаны рассказать, зачем собирают эти данные и для чего планируют использование. Нововведение обязывает предприятия быть открытыми по отношению к субъектам информации.
• Процедуры сбора, хранения, использования, передачи должны закрепляться в политике конфиденциальности. Отклонения от прописанных норм считаются нарушением.
• Поставленная цель должна соотноситься с объёмом запрашиваемых ПД.
• Передаваемые ПД должны соответствовать действительности. Кроме этого, предусматривается корректировка неверных сведений.
• Теперь компании не смогут хранить данные постоянно. Когда информация перестаёт быть актуальной, предприятие обязано удалить ПД с носителей информации.
• GDPR обязывает уделять внимание хранению. Ответственными лицами должна быть налажена система безопасности, контроль доступа к серверам и т.д.

GDPR создан для того, чтобы граждане ЕС получили больше возможностей по контролю над собственными ПД. Документ предоставляет возможность запрашивать цель сбора информации, получать сведения о месте хранения. Если возникнет необходимость, субъект ПД может обратиться к оператору с прошением удалить данные.

В отличие от российского закона, где не установлено возрастное ограничение, для GDPR вводится ценз 16+. Таким образом, если бизнес содержит детский контент или направлен на эту аудиторию, то теперь нужно брать согласие на обработку ПД от родителей или законных представителей ребёнка.

Нововведение унаследовало положения ранее действующей директивы Data Protection Directive. Нормативный акт действовал на территории Евросоюза. Нововведение расширило зону влияния, и теперь положения GDPR применимы для юридических лиц, работающих с персональными данными граждан ЕС.

Правовой анализ GDPR и 152-ФЗ – важные отличия

Анализируя содержание европейского акта, важно выделить основные понятия, устанавливаемые документом:

Например:

• Персональными данными по GDPR считаются любые сведения, по которым можно идентифицировать субъекта данных. Это большой сегмент информации – начиная от Ф.И.О, паспорта и идентификационного номера, заканчивая данными геолокации, IP адресом и биометрией. Таким образом, закон выделяет не только носителя ПД, но и лицо, которое можно идентифицировать по косвенным признакам.
• Псевдонимизация– хранящиеся персональные данные не должны связываться напрямую с носителем информации без использования дополнительных сведений.
• Субъект данных – лицо, с чьими данными работает процессор. Последним выступает владелец сайта, который принимает, обрабатывает и хранит сведения. GDPR выделяет ещё понятие контроллера. По сути, это тот же владелец сайта, который политикой устанавливает, какие данные собирать, а какие нет. В 152-ФЗ используются термины «оператор ПД» и «субъект ПД».

Новый регламент обязывает ввести в штате компании лицо, ответственное за имплементацию GDPR в том случае, если производится сбор сведений о личной жизни, религиозных взглядах и другой информации. Если компания не работает с такими сведениями, вводить новую должность не нужно.

Правовой анализ двух документов даёт понять следующее:

• Отечественный закон распространяется на граждан России, GDPR же предназначен для резидентов Евросоюза.
• Политика конфиденциальности предусмотрена повсеместно, однако в случае с GDPR, регламент публикуется на языке потенциальных клиентов ЕС.
• 152-ФЗ закрепляет обязанность шифрования собранных данных. Зарубежный акт предусматривает ещё и криптографию.
• Оба документ разрешают правообладателям требовать скорректировать или удалить информацию. Однако, GDPR позволяет ещё передать третьим лицам по письменному запросу.
• GDPR устанавливает, что работая с сайтом, субъект информации должен иметь возможность галочкой отметить согласие как на обработку ПД, так и на рассылку сообщений.

Предпринимателям стоит уделить внимание тому, как собирается информация в сети. Новый закон говорит о том, что ПД должны собираться в разумном диапазоне. Важно проверить, что находится в онлайн-формах, отображаемых для клиента.

Уведомлять о рекламных акциях, вести другую рассылку сообщений на электронную почту запрещается, если субъект не разрешил такие действия на этапе подачи информации.

GDPR в России не действует. Отечественные компании по-прежнему должны следовать 152-ФЗ. Однако, исходя из принципа экстерриториальности нового закона, каждая компания, чей бизнес ориентирован на европейский рынок, обязана изучить GDPR и привести политику сбора ПД в соответствие с новым регламентом.

Обязательно ли GDPR для России, как изменится политика бизнеса

Нововведение отличается серьёзными штрафными санкциями – от 10 и до 20 млн евро или 2-4% оборота компании, нарушившей новые принципы обработки информации.

Если уполномоченный орган ЕС применит штраф в отношении российской компании, то скорее всего, предприниматель сможет избежать наказания. Однако на территории Евросоюза бизнес может оказаться под серьёзной угрозой.

Судебные решения Евросоюза в России исполняются неохотно. Это вызвано глобальной политической напряжённостью, прохладными отношениями между РФ и ЕС, санкционной политикой.

Принимаемые решения в ЕС не остаются незамеченными со стороны российских надзорных органов. Отклонения от регламента работы с персональными данными могут спровоцировать проверку Роскомнадзором на предмет соблюдения 152-ФЗ.

GDPR уже сейчас заставляет задуматься аналитиков крупного бизнеса. Ведь теперь оценивать риски имеет смысл перед разработкой проекта, а не после воплощения в жизнь. Очевидно, что новый порядок и высокие штрафы заставят бизнес серьёзнее относиться к работе с персональными данными клиентов. Наряду с возросшей ответственностью компаний, увеличится правосознание сотрудников, имеющих доступ к ПД.

Плюс, стоит помнить о принципе рациональности. Если компания владеет большим объёмом данных, это говорит не об успешности, а напротив – о неэффективном использовании информации.

Что нужно сделать для соответствия новым стандартам работы с персональными данными

В первую очередь – изучить положения GDPR. На текст регламента должны обратить внимание компании, имеющие постоянные представительства в ЕС, либо сотрудничающие с организациями, внедрившими GDPR.

Не стоит забывать о принципе экстерриториальности. У предприятия может не быть представительства на территории Евросоюза, но при обработке данных граждан ЕС действие регламента распространяется на оператора.

Во-вторых, нужно проверить базы данных клиентов. Клиенты российских фирм могут оказаться гражданами Евросоюза, о чем непозволительно забывать.

В-третьих, целесообразно провести анализ внутренних, локальных актов компании. Наличие положения о конфиденциальности – одно из требований GDPR. Документ должен регулировать порядок сбора, хранения, обработки, передачи ПД как внутри компании, так и при взаимодействии с клиентами и контрагентами.

Если компания использует сайт, то нужно приблизить процедуру сбора информации к максимальной открытости и прозрачности по отношению к носителю. Нужно описать цель сбора данных, механизм дальнейшего использования. Клиент должен уточнить, на обработку каких именно сведений даёт согласие.

И, в-четвёртых, следует продумать механизм взаимодействия с европейскими органами. В частности, это реагирование на запрос об удалении, уточнении, передаче данных или прекращение обработки.

GDPR – новый регламент защиты персональных данных в ЕС. Законом вводится ряд новых понятий, таких как картотека, контроллер, даётся определение генетической информации. Наряду с возросшей ответственностью для операторов, закон выводит защиту ПД на новый уровень, однако речь идёт о гражданах ЕС. Возможно, в обозримом будущем стоит ожидать подобные законопроекты и в России.

(19

Источник: https://delatdelo.com/organizaciya-biznesa/kadry/ohrana-truda/gdpr-chto-eto.html

GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка

В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.

Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными.

С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании.

В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям. Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:

Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.

Должна ли такая организация соблюдать GDPR? Да.

Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что: — услуги/товары адаптированы на местные языки жителей ЕС; — услуги/товары оплачиваются в местных валютах ЕС; — услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.

Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.

Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов.

Мониторинг может включать: — отслеживание резидента ЕС в интернете; — использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor).

Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне.

По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.

Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными. Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9). Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:

1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.

2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом). 3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки. 4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя). 5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки. 6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения. Уведомление о случаях нарушения GDPR Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.

Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.

Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).

Права субъекта данных (физического лица)

Источник: https://habr.com/post/344064/

Европа встает на защиту данных

Четыре вопроса о влиянии на российский бизнес нового регламента ЕС

В ЕС вступают в силу новые правила защиты персональных данных, полученных с территории союза, и все работающие с ними компании должны будут пересмотреть свои регламенты. Как к этому готовится российский бизнес — разбирался РБК

Octav Ganea / Mediafax / AP

С 25 мая 2018 года на территории Европейского союза начинает действовать Общий регламент по защите данных (General Data Protection Regulation; GDPR).

Документ был одобрен Европейским парламентом в апреле 2016 года, его цель — повысить уровень защиты персональных данных внутри стран союза.

При этом он имеет экстерриториальный характер, то есть распространяется и на компании из стран, не входящих в Евросоюз, в том числе из России.

РБК разобрался, что в результате изменится для российских компаний в сфере защиты персональных данных.

1. Кто будет обязан выполнять положения регламента?

Под действие регламента попадают компании из абсолютно разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза.

«Это могут быть интернет-компании, компании банковской, туристической, транспортной, горнодобывающей отраслей, а также компании металлургической промышленности, игровой индустрии, платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т.п.

)», — пояснил РБК эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков.

GDPR обязаны исполнять все те, кто обрабатывает персональные данные, имеет веб-сайт c регистрацией или мобильные приложения, поддерживающие хотя бы один язык любой страны — члена Евросоюза, или позволяет совершать платежи в валютах союза, отмечает эксперт.

«В то же время данные гражданина Евросоюза, который приехал в Россию и получает услуги здесь, не должны защищаться в соответствии с европейским законом», — отмечает Бирюков.

Как уточняет старший юрист фирмы АЛРУД Марина Юфа, нормы регламента придется выполнять российским «дочкам» европейских компаний.

«В рамках группы компании, как правило, обмениваются персональными данными (например, в контексте кадровых вопросов) и заключают внутрикорпоративные договоры об обработке персональных данных.

В рамках таких договоров европейские штаб-квартиры налагают на российские дочерние структуры обязанности по защите данных в соответствии с регламентом», — говорит Марина Юфа.

2. Что придется делать компаниям в рамках регламента?

Согласно GDPR, информация о правилах обработки данных должна быть предоставлена субъекту данных в понятном и доступном виде. Согласие на обработку личной информации не должно быть секундной процедурой нажатия кнопки «Согласен»: подтверждение должно быть «четким утвердительным актом в письменной или устной форме».

Кроме того, бездействие пользователя, например, при совершении каких-то действий на сайте не может считаться согласием. При этом у пользователя должна быть возможность отказаться от передачи данных без ущерба для совершения действия.

Сам процесс обработки должен стать прозрачным: пользователь должен иметь возможность отследить, что происходит с его личной информацией, иметь возможность удалить ее.

Компания, которая хранит персональные данные, должна обеспечить должный уровень их защиты от утечки. Процедура сбора должна включать в себя обезличивание информации: данные должны быть связаны не с их владельцем, а с псевдонимом.

Кроме того, данные должны зашифровываться, а ключом к коду должны обладать только уполномоченные стороны. Передача данных третьим лицам запрещена, компании обязаны информировать граждан о любой утечке информации, в том числе, в случае хакерских атак.

Какие именно действия и решения должны быть внедрены компаниями для выполнения регламента, в большинстве случаев в документе не уточняется.

3. Как российские компании готовятся к новым правилам?

В ряде опрошенных РБК российских компаний, которые по экспертным прогнозам попадают под действие GDPR, подтвердили начало процесса подготовки к новым требованиям ЕС.

Как сообщил РБК представитель Сбербанка, сфера действия GDPR распространяется не только на организации, осуществляющие обработку персональных данных в странах Евросоюза, но и на любые другие организации за пределами союза, предлагающие товары и услуги любым гражданам на территории его стран.

«Сбербанк не нарушает законодательство, поэтому мы серьезно готовимся к вступлению GDPR в силу», — сообщил он. Еще в конце 2017 года на сайте госзакупок появилась информация о том, что банк планирует потратить 67,4 млн руб.

на подготовку к вступлению GDPR: проведение аудита собственных практик обработки персональных данных и получение рекомендаций о том, каким образом привести их в соответствие с новыми требованиями.

Представитель РЖД сообщил РБК, что в ближайшее время компания обновит правила продажи электронных билетов и оферты на корпоративном сайте (какие именно изменения будут внесены, перевозчик не уточнил). Кроме того, РЖД дорабатывают программное обеспечение.

Представитель пресс-службы ВТБ сообщил, что в банке также готовятся к вступлению в силу регламента, но детали не уточнил. В какие суммы может обойтись подготовка для РЖД и ВТБ, их представители не раскрывают.

По словам представителя «Аэрофлота», компания проводит «тщательный анализ всех процессов в компании, затрагивающих обработку персональных данных пассажиров».

Еще несколько компаний заняли выжидательную позицию. В отчете МТС за четвертый квартал в разделе рисков указано, что на текущий момент компании неясно, каким образом вступающие в силу новые требования Европейского союза могут повлиять на деятельность компаний, попадающих под действие акта.

Представитель пресс-службы интернет-магазина Ozon сообщил, что они также пока «наблюдают за подготовкой других компаний». «Доля граждан ЕС, совершающих у нас покупки, ничтожно мала, поэтому мы не видим смысла менять существующие подходы и процессы», — сказал он.

Представитель Роскомнадзора отметил, что на территории России операторы персональных данных должны следовать закону «О персональных данных» и требования GDPR не распространяются на них.

«Россия не является государством — участником ЕС и участницей международных договоров с союзом, устанавливающих порядок и условия обработки персональных данных российскими операторами», — пояснил представитель Роскомнадзора.

Однако российские компании, работающие в странах ЕС, например, при обработке персональных данных при предоставлении товаров и услуг обязаны учитывать требования регламента.

Глава Роскомнадзора Александр Жаров в ноябре 2017 года говорил, что применимость GDPR на территории России можно будет обсуждать после вступления законодательства в силу, когда будет накоплен какой-то правоприменительный опыт.

4. Какое наказание предусмотрено за нарушение новых правил?

Несоблюдение GDPR ведет к административным штрафам в размере до €20 млн (1,38 млрд руб. по текущему курсу), или 4% годового оборота. Причем процент может быть посчитан от оборота международной группы компаний, а не отдельного юрлица, отметил Дмитрий Бирюков.

Размер штрафа будет определяться индивидуально (дела будут рассматривать Европейский суд и Европейский суд по правам человека). Бирюков затруднился оценить, будет ли стоимость приведения работы в соответствие с требованиями регламента дороже выплаты штрафа.

Источник: https://www.rbc.ru/newspaper/2018/03/01/5a96b5fb9a7947568a1c8679

Что такое GDPR в Европе и коснётся ли это России?

25 мая 2018 года в ЕС вступил в силу новый регламент защиты персональных данных – GDPR (the General Data Protection Regulation). Что же это такое простыми словами?

the General Data Protection Regulation

Что такое GDPR?

GDPR – это постановление, которое призвано улучшить и привести к единообразию защиту персональных данных в Евросоюзе. Оно было принято ещё 27 апреля 2016 года, но ввиду того, что на подготовку требуется немало времени, вступило в силу лишь сегодня, 25 мая 2018 года.

GDPR обязательно для исполнения во всех 28 странах Европейского союза, а также ему должны подчиняться абсолютно все компании, которые занимаются сбором данных в Европе.

И тут важно отметить, что даже подписка по e-mail относится к GDPR, так как Вы, если являетесь, скажем, владельцем сайта, собираете персональные данные пользователей (e-mail) для последующей рассылки. Но о том, что такое персональные данные – чуть позже.

Требования GDPR

Перейдём к самому главному – к шести принципам, которых необходимо придерживаться при сборе персональных данных граждан Евросоюза…

· Законность, справедливость и прозрачность обработки информации. Любые компании, которые собирают данные, должны чётко объяснить пользователю, зачем они это делают и как они этими данными в дальнейшем планируют распоряжаться.

· Ограничение сбора данных исходя из цели. Если цели сбора данных изменились, но всё те же данные продолжают собираться, то это нарушение. Так делать нельзя.

· Минимальный набор данных. Компании могут собирать лишь те данные, которые необходимы им для достижения конкретных целей, которые были объявлены пользователю. Сбор любых данных, которые не нужны для достижения этих целей, то есть лишних данных, запрещён.

· Управление данными пользователем. Интернет пользователь имеет некоторые права, касающиеся его персональных данных. Так, например, он может запросить у компании копию всей личной информации, которая имеется в наличии. Её необходимо предоставить в течение 30 дней. Помимо этого, пользователь имеет право запросить удаление персональных данных о нём без права восстановления.

· Хранение персональных данных ограничено. Их нельзя хранить после достижения конкретной цели. Если данные собирались для какого-то процесса, то после его завершения необходимо удалить все персональных данные, а не хранить и использовать их при необходимости по другому назначению, как это очень любят делать некоторые товарищи.

· Защита данных. Необходимо обеспечить защиту от несанкционированной или незаконной обработки, уничтожения и повреждения информации. В случае утечки компания обязана уведомить пользователя в течение трёх дней.

Что такое «персональные данные» в GDPR?

К персональным данным относится любая информация, по которой можно определить человека прямо или косвенно – имя, адрес, сведения о состоянии здоровья, логин, электронная почта, ip-адрес, религиозная принадлежность, финансовое состояние, психическое здоровье и многое другое. Это практически любые сведения о конкретном человеке.

Что с GDPR на практике?

Все организации и компании, будь то социальная сеть, банк, университет или интернет-магазин, собирающие персональные данные, обязаны соблюдать требования GDPR.

При этом, пользователь в любой момент может отозвать право на получение своих персональных данных.

Компаниям необходимо очень доходчиво объяснять пользователям, какие данные о них собираются, как они используются, кому будут передаваться и зачем.

Помимо этого, есть несколько интересных особенностей, которые теперь прописаны юридически:

· Право на забвение. Пользователь имеет право запросить удаление всех персональных данных о себе без права восстановления – чтобы компания не хранила их и не могла, соответственно, обрабатывать.

· Право не перенос данных. Если пользователь хочет, чтобы его персональные данные попали в другую компанию, например, сервис-конкурент, то он имеет право потребовать от компании, которая занималась сбором его данных, отправить копию этих данных в другую компанию. И это требование должно быть выполнено, при чём бесплатно.

· Извещение о краже данных. Если данные были украдены, то компании обязаны предупредить регулятора и всех пользователей, которые при этой краже пострадали. Сделать это необходимо в течение 72 часов, то есть трёх суток.

· Офицер GDPR. Компании обязаны назначить ответственно за соблюдение всех правил и требований GDPR, а также за защиту персональных данных пользователей.

· Особая защита детский персональных данных.

Источник: https://zen.yandex.ru/media/technologicus/chto-takoe-gdpr-v-evrope-i-kosnetsia-li-eto-rossii-5b07ce61256d5c1d650b8097

GDPR: новый регламент защиты персональных данных в ЕС

По новому регламенту защиты персональных данных (GDPR), который начал действовать в странах ЕС, компания обязана уничтожить или «забыть» данные по первому требованию их субъекта. Как эти нормы сочетаются с «законом Яровой» и что делать российским компаниям, которые работают с данными иностранцев.

Россия не входит в Европейский союз. Но компаниям, которые имеют дело с клиентами или контрагентами из стран-участниц, приходится учитывать правовое регулирование, которое там применяют.

В частности, обратите внимание на GDPR – новый регламент, который с 25 мая 2018 года действует в отношении защиты персональных данных во всех странах ЕС. Аббревиатура расшифровывается как General Data Protection Regulation.

Нарушение некоторых положений регламента грозит крупным штрафом, и это риск для организаций, у которых есть филиалы на территории стран союза.

Что такое GDPR и как это нововведение касается российских предпринимателей

Новый регламент по своему содержанию во многом похож на закон о персональных данных, который действует в России. С англоязычной версией документа можно ознакомиться на специальном сайте (также в сети встречаются различные переводы GDPR на русский). Основные важные моменты:

1. К персональным данным отнесли не только ФИО субъекта, дату его рождения и адрес проживания. Также в эту категорию включили почтовый электронный адрес, номер ID-карты, IP и файлы cookies, сведения о нахождении субъекта (например, GPS-координаты). Действие регламента распространяется и на зашифрованные и обезличенные данные субъектов.
2. Компания обязана получить согласие на обработку, но субъект должен дать его добровольно. Например, при заполнении формы заказа на сайте он должен сам поставить галочку в чек-боксе «Я согласен на обработку». Ему необходимо предоставить выбор отказаться, иначе такое согласие добровольным не считают и признают это нарушением регламента. Кроме того, согласие должно указывать на все цели обработки.
3. Недопустимо использовать данные в целях, отличных от целей обработки (ст. 6 регламента GDPR). Например, после получения заказа из интернет-магазина покупателю начинают приходить рекламные сообщения от третьих лиц. Если он не давал согласия на передачу данных для таких целей, это нарушение.
4. Об утечке данных оператор обязан сообщить в течение 72 часов регулятору (ст. 33 регламента).
5. Компании, которые обрабатывают данные, обязаны принять меры по соответствию обработки требованиям регламента. Что это за меры и как выполнять такие требования, сказано в GDPR (ст. 35). В частности, если компания работает с большим объемом таких данных, ей необходимо назначить инспектора по их защите (ст. 37, ст. 39). Инспектор может быть из числа сотрудников компании или работать по гражданско-правовому договору.
6. Субъект вправе потребовать информацию об обработке своих данных или целях этого, а также о сроках хранения, мерах защиты и т. п. Кроме того, по требованию субъекта оператор обязан изменять, удалять или «забывать» данные (ст. 15 – 22 регламента).

Если компанию поймают на нарушениях, штраф за них может достичь суммы в 2 млн евро. Или по GDPR взыщут 4% годовой прибыли (ст. 83 регламента).

Требования GDPR актуальны для российских компаний, которые торгуют за рубежом

У документа экстерриториальный принцип применения. В преамбулах № 23 и № 80 к регламенту указали критерии, по которым определяют, должна ли компания его соблюдать. Это необходимо, если компания:

• из страны, которая не входит в ЕС;
• распространяет товары, предлагает работы или услуги на территории ЕС;
• в процессе своей деятельности работает с персональными данными европейцев.

Помимо этого:

• у компании есть обособленные подразделения на территории стран ЕС;
• расчеты ведут в евро, обязательства исполняют в ЕС, или есть иные европейские элементы в соглашении;
• в договоре указали, что его регулирует право ЕС;
• среди работников компании есть экспаты из стран Европейского союза;
• у компании присутствует необходимость оформлять доверенности на граждан ЕС.

Для российских компаний, которые работают в данных условиях, требования GDPR имеют силу.

Как регламент GDPR соотносится с нормами российского права  

С 1 июля 2018 года вступают в силу поправки, вошедшие в ФЗ-374 и ФЗ-375 (так называемый «закон Яровой»). Ряд новых требований может вступить в противоречие с требованиями регламента GDPR. Например,  с 1 июля операторы мобильной связи обязаны:

• хранить сведения о пользователях и их сообщения в течение полугода,
• предоставлять эту информацию по запросу госорганов независимо от согласия пользователя.

Эти требования распространяются на данные обо всех пользователях мобильной связи, включая граждан ЕС, если они являются клиентами российских операторов. Также требования касаются всех операторов связи на территории РФ, даже если это подразделение европейской компании.

Согласно новому регламенту GDPR оператор связи, который работает с данными граждан ЕС, обязан заботиться о защите персональных данных, в том числе уничтожать их по запросу владельца.

Одновременно он обязан сохранить такие данные в течение 6 месяцев и передать властям, не спрашивая разрешения у владельца, если те направят запрос. Для операторов данных это создает сложную ситуацию. Разъяснений от разработчиков регламента или от Роскомнадзора пока нет.

1. Проверьте внутренние документы о работе с персональными данными на соответствие регламенту. Разработайте четкие инструкции на случай утечки данных, которые принадлежат европейцам. Издайте документы о таких данных на русском и, как минимум, английском, чтобы клиенты из ЕС могли с ними ознакомиться.
2. В документе о согласии на обработку пропишите цели, а также укажите, что согласие является конкретным, добровольным и информированным. Документ о согласии также должен быть на двух языках минимум. Проверьте, что документ оформили в отношении всех клиентов и иных субъектов.
3. Проверьте, как хранятся данные. Проанализируйте порядок на соответствие регламенту, введите учет операций по обработке. Продумайте, как открыть представительство в ЕС и назначить инспектора. Согласно GDPR компания должна доказать в случае спора, что она не нарушала регламент. Подготовьтесь к тому, что от субъектов будут поступать запросы и претензии, разработайте схемы действий на такие случаи.
4. Определите по договорам с европейскими элементами, какой статус у компании в отношении обработки данных. Если она оператор или контролер, то нелишне:

• включить в текст соглашения заверения, у компании есть все необходимые согласия на обработку данных сообразно требованиям российского и международного законодательства;
• внести запрет на использование данных граждан ЕС в рекламных целях;
• если в соглашении использовали скриншоты, проверить, что на них нет данных об IP или иных данных о пользователях.

Источник: https://www.law.ru/article/22117-reglament-gdpr

Информация о GDPR на русском языке

Перевод GDPR здесь GDPR Русская версия

GDPR  (General Data Protection Regulation)

GDPR переводится как Общий/Генеральный регламент по защите персональных данных.
25 мая 2018 года во всех государствах-членах Европейского Союза был введен новый закон о защите персональных данных. То, что часто называют Общим регламентом о защите данных ЕС, на самом деле является серией директив ЕС:

История принятия GDPR

Основные цели GDPR

• защита персональных данных
• защита прав и свобод людей в защите их данных
• ограничение перемещения персональных данных в рамках Евросоюза
• далее

Основные термины

• Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
• Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
• Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
• DPO (Data Protection Officer) — сотрудник по защите персональных данных.

Полный список.

Права граждан

GDPR усиливает существующие и вводит новые права гражданам ЕС, а также  дает гражданам больше контроля над своими личными данными:

• более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
• право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
• право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
• право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.

Кроме того GDPR предоставляет простые и рабочие инструменты гражданам ЕС для реализации своих прав, упрощая механизмы обращения в надзорные органы, например, жалобы в электронном виде.

Персональные данные

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.

То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

Примеры персональных данных:

• имя, фамилия
• номер паспорта или ИД удостоверения
• дата и место рождения
• место проживания, регистрация, прописка
• е-мейл, телефон, или другая контактная информация
• ИП-адрес и патаметры соединения
• дата и время посещения ресурса, история и параметры посещений, включая название браузера.

А также особо охраняемые данные:

• раса и национальность
• политические взгляды
• вероисповедание
• сексуальная ориентация
• биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
• данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
• генетические данные  – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

Принципы обработки данных по GDPR

Сфера действия GDPR

Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или  юридическими лицами,  государственными органами и  другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

Соответствие требованиям GDPR

Чтобы проверить соответствие вашего проекта требованиям GDPR следует:

• Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
• Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
• Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома.  Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
• Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
• Ведение необходимой отчетности, согласно положениям GDPR.

Подробнее о соответствии GDPR.

Несоблюдение норм GDPR

Утечка персональных данных

Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.

Источник: https://ogdpr.eu/ru

Соответствие GDPR в России

Общий регламент о защите данных (General Data Protection Regulation)

В мае 2018 г. в Евросоюзе вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Закон расширил сферу действия европейского законодательства, детализировал права субъектов персональных данных и ужесточил обязанности операторов при обработке и защите данных с учетом современных технологий.

Теперь обязательства по соблюдению GDPR распространяются не только на компании, ведущие деятельность на территории 28 стран ЕС, но также и на любые компании вне зависимости от их местонахождения.

Российским компаниям стоит обратить внимание на то, что соответствие отечественному законодательству не обеспечивает автоматического соблюдения GDPR, так как многие процессы и требования введены европейским законом впервые.

Дмитрий Бирюков рассказывает о вступлении в силу новых требований GDPR

Физическое лицо на территории ЕС автоматически имеет право на защиту своих персональных данных по GDPR вне зависимости от гражданства. Мы рекомендуем российским компаниям, ведущим деятельность на территории ЕС или сотрудничающим с европейскими партнерами, провести оценку применимости GDPR.

GDPR применим, если для компании выполняется хотя бы один из критериев:

Мы разработали короткий тест, чтобы помочь вам определить, обязана ли ваша компания соблюдать требования GDPR.

Пройти тест

Требования GDPR распространяются не только на операторов в ЕС, но и на компании в любой стране, деятельность которых направлена на физических лиц в ЕС. GDPR не требует принятия законов на национальном уровне и действует на операторов напрямую.

Принцип «защищенность по умолчанию» обязывает операторов учитывать требования GDPR на этапе дизайна процессов обработки данных. Для соблюдения принципа «запланированной защищенности» операторы должны контролировать соблюдение GDPR при управлении изменениями в бизнес-процессах и информационных системах.

Согласие является одним из законных оснований обработки персональных данных. При его использовании оператор должен обеспечить, чтобы согласие было свободно данным, конкретным, информированным и недвусмысленным. В отдельных случаях оператор обязан проинформировать субъекта о рисках планируемой обработки данных и о предпринятых мерах их смягчения.

GDPR обязывает операторов уведомлять субъектов персональных данных и надзорные органы при возникновении инцидентов, связанных с нарушением безопасности персональных данных. Срок уведомления должен быть обоснованным, на уведомление надзорных органов отводится 72 часа с момента обнаружения инцидента.

GDPR определил случаи обработки персональных данных, при планировании которых оператор обязан провести оценку рисков нарушения защищенности данных (DPIA). Если по результатам DPIA обработка данных связана с высоким риском для субъектов, оператор обязан проконсультироваться с надзорными органами перед началом обработки.

Максимальные штрафы за нарушение требований GDPR выросли до 20 млн евро или 4 % от годового оборота компании, в зависимости от того, какая сумма выше.

С вступлением в силу GDPR у физических лиц появилось больше возможностей по управлению своими персональными данными. GDPR определил законные права субъекта, связанные с обработкой персональных данных, которые субъект может реализовать, подав запрос оператору.

Подробнее

GDPR ввел новые принципы обработки и защиты персональных данных: «запланированная защищенность» и «защищенность по умолчанию». Эти принципы требуют от компаний пересмотреть свой подход к выбору технологий обработки данных, процессам их внедрения и управлению изменениями.

Подробнее

Наша команда выполняет проекты по GDPR для российских и зарубежных компаний. Мы оказываем следующие услуги в области GDPR:

Определение области применимости GDPR
Мы проведем анализ бизнес-процессов компании, внутренних документов и применяемых технологий, связанных с обработкой персональных данных, и оценим применимость требований GDPR к компании.

Минимизация области применимости GDPR
Мы определим пути уменьшения области применимости требований GDPR, опираясь на процессы и технологии обработки персональных данных, выявленные на этапе обследования, а также с учетом специфики бизнеса компании.

Оценка соответствия требованиям GDPR
Мы проведем оценку процессов обработки персональных данных на предмет выполнения требований GDPR. Мы выявим ключевые риски, связанные с GDPR, и определим их приоритетность для компании. По результатам оценки мы разработаем рекомендации по устранению выявленных несоответствий.

Обучение
Мы проведем обучающие мероприятия для работников и руководителей компании об основах GDPR и важности его соблюдения, а также семинаров по отдельным вопросам, актуальным для компании.

Экспертная поддержка при трансформации компании
Мы оказываем экспертную поддержку компаниям, которые планируют или уже находится в процессе трансформации бизнес-процессов в соответствии с GDPR.

Поддержка процессов обработки и защиты персональных данных
Мы окажем консультационную поддержку в ходе выполнения работниками процессов обработки и защиты данных. Мы проводим разовые или периодические проверки соблюдения GDPR и можем разработать план внутреннего аудита в части выполнения требований.

Разработка дорожной карты по приведению в соответствие GDPR
Мы подготовим дорожную карту с необходимой степенью детализации, которая будет описывать дальнейшие шаги по приведению процессов обработки персональных данных в соответствие с требованиями GDPR. По желанию клиента, дорожная карта может содержать оценку сроков выполнения работ, ответственных лиц, а также приоритетность рекомендуемых мероприятий.

Источник: https://www.pwc.ru/ru/services/audit/riskassurance/gdpr.html