Благодарим за подписку!

Закрыть

Собираете или обрабатываете данные о подписчиках из Евросоюза? Что необходимо знать о GDPR

General Data Protection Regulation – одно из самых крупных изменений в защите данных в Евросоюзе. Оно пришло на смену Директиве о защите персональных данных  95/46/ЕС от 1995 года.
Узнайте, должны ли вы соблюдать GDPR и что нужно делать, чтобы не остаться вне европейского закона.

Что такое GDPR?

GDPR — это общий регламент по защите данных, который вступил в силу во всех государствах-членах ЕС 25 мая 2018 года.

Документ разработали, чтобы усилить защиту персональных данных граждан Европейского Союза и в целом создать более четкую правовую базу.

Что означают эти правила?

GDPR распространяется на все организации независимо от их местоположения, которые собирают и обрабатывают персональные данные лиц, проживающих в Евросоюзе. Это означает, что если у вас есть клиенты из ЕС, но ваш бизнес не находится внутри самого ЕС, вам все равно придется соблюдать новые правила.

«Контроллеры» и «процессоры»

GDPR делит компании на «контроллеров» и «процессоров». Контроллер данных — это организация, которая определяет цели и средства обработки персональных данных и несет за них ответственность.

Процессор данных — это организация или физическое лицо (кроме сотрудника контроллера), которые обрабатывает персональные данные от имени или по поручению контроллера.

Проще говоря, когда речь о емейл-рассылках, то компания-отправитель — это контроллер данных, а сервис для рассылок — процессор.

Что есть персональные данные?

GDPR относит к персональным данными любую информацию, которая определяет личность человека. Например, емейл, имя, данные о местоположении, физические, культурные или социальные характеристики и т.д.. Согласно регламенту, контроллерам запрещается обрабатывать информацию о расовом или этническом происхождении, политических взглядах, религиозных или философских убеждениях, членстве в профсоюзах, а также любых данных о состояния здоровья, половой жизни или сексуальной ориентации человека.

6 китов GDPR

Обработка персональных данных в регламенте сформулирована в шесть основных принципов.

  1. Законность, справедливость, прозрачность.
    Персональные данные пользователя должны обрабатываться на законных основаниях, справедливыми и открытыми методами.
  2. Цель ограничения.
    Данные должны собираться и обрабатываться для конкретной цели, которая заявлена компанией.
  3. Сведение данных к минимуму.
    Для обработки нужно собирать тот объем персональных данных, который необходим, — не больше.
  4. Точность.
    Если обнаружены неточные персональные данные, их нужно исправить или удалить.
  5. Ограничение хранения.
    Формат персональных данных должен быть доступным, чтобы идентифицировать человека можно было только на необходимый для обработки срок.
  6. Целостность и конфиденциальность.
    Контроллер должен защищать персональные данные от потери, повреждения или уничтожения, а также от несанкционированной или незаконной обработки.

Получение согласия

Наверняка вам уже приходили письма от европейских отправителей про измененную политику обработки персональных данных. Все потому, что организации должны были заново получить согласие человека на хранение и использование его персональных данных по новым правилам. Такие запросы должны быть понятными и очевидными для пользователей. В них также необходимо объяснить, как именно будут использовать персональные данные.

Уведомление о нарушениях

Если в компании произошла утечка персональных данных, то в течение 72 часов она должна уведомить об этом регулирующие органы. Список национальных регуляторов в области персональных данных по всем странам Евросоюза есть тут. Если это не сделано вовремя, то потом придется объяснять задержку. За нарушение этих условий предусмотрен штраф 20 млн евро или 4% от годового оборота компании.

Исключением будут только случаи, когда утечка данных не несет риска для прав и свобод человека.

Право на доступ и перенос

Компании должны по запросу физлица предоставлять ему электронные копии частных документов, рассказывающих, какие его персональные данные обрабатывает, где и с какой целью они хранятся.

Компании также обязаны по требованию физлица бесплатно предоставлять электронную копию его персональных данных другой компании.

Право на забвение

Граждане Евросоюза могут потребовать удалить их персональные данные и прекратить их передачу третьим лицам. На выполнения такой заявки отводится 28 дней.

Ответственный за защиту данных

Контроллеры и процессоры данных теперь должны иметь DPO — специалистов, ответственных за защиту данных. Они могут быть сотрудниками компании или работать по отдельному договору, но непременно должны быть экспертами в области законодательства и практики защиты данных.

Это требование относится к компаниям, которые осуществляют регулярные и систематические крупные наблюдения, мониторинги или крупномасштабную обработку специальных персональных данных. Но в целом любая организация может добровольно нанять специалиста по защите данных и контролю за соблюдением GDPR.  Информация о таком сотруднике направляется национальному регулятору по защите персональных данных соответствующей страны ЕС.

Последствия

Система штрафов многоуровневая. Максимальный штраф за нарушение GDPR — до 4% годового оборота компании или 20 млн евро (в зависимости от того, что больше). Такая сумма предусмотрена за серьезные провинности — например, за обработку персональных данных без согласия клиента или несвоевременное уведомление об утечке.

Важно, что эти правила применяются как к контроллерам, так и к процессорам. Это означает, что облачные хранилища и сервисы несут не меньшую ответственность.

Что учесть, чтобы соблюдать GDPR?

Ваш чек-лист:

— убедитесь, что вы назначили сотрудника по защите данных, а также местного представителя, если ваша компания создана не в Евросоюзе;

— внедрите все возможное, что позволит безопасно хранить персональные данные и избежать утечку, а также быстро реагировать на запросы пользователей;

— сохраняйте конфиденциальность личных данных и требуйте от коллег того же;

— убедитесь, что вы храните все детали обработки и при необходимости они будут доступны для контроллера и регуляторов;

— уведомляйте регулирующие органы о нарушениях как можно скорее;

— убедитесь, что вы обрабатываете персональные данные в той степени, которая разрешена контроллером;

— получите письменное разрешение от контроллера, прежде чем включать субпроцессоров;

— при заключении контрактов с субпроцессорами обеспечьте тот же уровень защиты, что и основной контракт с контроллером;

— уведомляйте контроллера, если его инструкции нарушают законы Евросоюза о защите персональных данных;

— удалите или верните контроллеру (на усмотрение контроллера) все персональные данные, если вы закончили работать вместе;

— перед трансграничной передачей персональных данных убедитесь, что у вас есть гарантии, утвержденные в GDPR, или подтвердите, что страна получателя находится в списке одобренных стран Европейской комиссии;

— оперативно реагируйте и всячески содействуйте, если человек просит соблюдать его право на неприкосновенность частной жизни;

— оперативно выполняйте запросы регулирующих органов государств-членов ЕС;

— обучите своих сотрудников GDPR и создайте политику компании по соблюдению и несоблюдению GDPR;

— обновите политики своей компании (например, политика конфиденциальности в сети и политика безопасности в отношении письменной информации).

 

Если у вас есть запросы от подписчиков из Евросоюза с просьбой удалить их персональные данные, обращайтесь к вашему персональному менеджеру — он справится с заявкой в течение дня 🙂

 

 

 

 

Узнавайте о новых статьях блога ExpertSender

Нажимая на кнопку, вы даете согласие на обработку персональных данных