GDPR – что это

Темы: КадрыОрганизация бизнесаОхрана труда

Развитие информационных технологий повышает уязвимость персональных данных. Для снижения риска совершения противоправных действий странами внедряется и совершенствуется нормативная база по защите личной информации. Материал статьи расскажет о GDPR – что это такое, действует ли оно в России? На кого распространяется действие нововведения, в чём основные отличия от 152-ФЗ?

Оглавление:
1. В чём заключается GDPR: определение, принципы, требования
2. Правовой анализ GDPR и 152-ФЗ – важные отличия
3. Обязательно ли GDPR для России, как изменится политика бизнеса

В чём заключается GDPR: определение, принципы, требования

Операторы, работающие с персональными данными (ПД), обязаны следовать порядку сбора, хранения, защиты собираемой информации, устанавливаемому законодательством страны.

В России действует 152-ФЗ – основной закон, регулирующий вопросы по работе с персональными данными.

GDPR – что это? Весной в Евросоюзе вступил в силу Общий регламент по защите персональных данных – General Data Protection Regulation. На содержание зарубежного акта обратили внимание российские компании и стал очевидным вопрос соблюдения его положений.

Анализируя основные принципы документа, стоит выделить следующее:

  • CDPR ориентирован на прозрачность сбора информации. Компании, перед тем как получить ПД, обязаны рассказать, зачем собирают эти данные и для чего планируют использование. Нововведение обязывает предприятия быть открытыми по отношению к субъектам информации.
  • Процедуры сбора, хранения, использования, передачи должны закрепляться в политике конфиденциальности. Отклонения от прописанных норм считаются нарушением.
  • Поставленная цель должна соотноситься с объёмом запрашиваемых ПД.
  • Передаваемые ПД должны соответствовать действительности. Кроме этого, предусматривается корректировка неверных сведений.
  • Теперь компании не смогут хранить данные постоянно. Когда информация перестаёт быть актуальной, предприятие обязано удалить ПД с носителей информации.
  • GDPR обязывает уделять внимание хранению. Ответственными лицами должна быть налажена система безопасности, контроль доступа к серверам и т.д.

GDPR создан для того, чтобы граждане ЕС получили больше возможностей по контролю над собственными ПД. Документ предоставляет возможность запрашивать цель сбора информации, получать сведения о месте хранения. Если возникнет необходимость, субъект ПД может обратиться к оператору с прошением удалить данные.

В отличие от российского закона, где не установлено возрастное ограничение, для GDPR вводится ценз 16+. Таким образом, если бизнес содержит детский контент или направлен на эту аудиторию, то теперь нужно брать согласие на обработку ПД от родителей или законных представителей ребёнка.

Нововведение унаследовало положения ранее действующей директивы Data Protection Directive. Нормативный акт действовал на территории Евросоюза. Нововведение расширило зону влияния, и теперь положения GDPR применимы для юридических лиц, работающих с персональными данными граждан ЕС.

Правовой анализ GDPR и 152-ФЗ – важные отличия

Анализируя содержание европейского акта, важно выделить основные понятия, устанавливаемые документом:

Например:

  • Персональными данными по GDPR считаются любые сведения, по которым можно идентифицировать субъекта данных. Это большой сегмент информации – начиная от Ф.И.О, паспорта и идентификационного номера, заканчивая данными геолокации, IP адресом и биометрией. Таким образом, закон выделяет не только носителя ПД, но и лицо, которое можно идентифицировать по косвенным признакам.
  • Псевдонимизация– хранящиеся персональные данные не должны связываться напрямую с носителем информации без использования дополнительных сведений.
  • Субъект данных – лицо, с чьими данными работает процессор. Последним выступает владелец сайта, который принимает, обрабатывает и хранит сведения. GDPR выделяет ещё понятие контроллера. По сути, это тот же владелец сайта, который политикой устанавливает, какие данные собирать, а какие нет. В 152-ФЗ используются термины «оператор ПД» и «субъект ПД».

Новый регламент обязывает ввести в штате компании лицо, ответственное за имплементацию GDPR в том случае, если производится сбор сведений о личной жизни, религиозных взглядах и другой информации. Если компания не работает с такими сведениями, вводить новую должность не нужно.

Правовой анализ двух документов даёт понять следующее:

  • Отечественный закон распространяется на граждан России, GDPR же предназначен для резидентов Евросоюза.
  • Политика конфиденциальности предусмотрена повсеместно, однако в случае с GDPR, регламент публикуется на языке потенциальных клиентов ЕС.
  • 152-ФЗ закрепляет обязанность шифрования собранных данных. Зарубежный акт предусматривает ещё и криптографию.
  • Оба документ разрешают правообладателям требовать скорректировать или удалить информацию. Однако, GDPR позволяет ещё передать третьим лицам по письменному запросу.
  • GDPR устанавливает, что работая с сайтом, субъект информации должен иметь возможность галочкой отметить согласие как на обработку ПД, так и на рассылку сообщений.

Предпринимателям стоит уделить внимание тому, как собирается информация в сети. Новый закон говорит о том, что ПД должны собираться в разумном диапазоне. Важно проверить, что находится в онлайн-формах, отображаемых для клиента.

Уведомлять о рекламных акциях, вести другую рассылку сообщений на электронную почту запрещается, если субъект не разрешил такие действия на этапе подачи информации.

GDPR в России не действует. Отечественные компании по-прежнему должны следовать 152-ФЗ. Однако, исходя из принципа экстерриториальности нового закона, каждая компания, чей бизнес ориентирован на европейский рынок, обязана изучить GDPR и привести политику сбора ПД в соответствие с новым регламентом.

Обязательно ли GDPR для России, как изменится политика бизнеса

Нововведение отличается серьёзными штрафными санкциями – от 10 и до 20 млн евро или 2-4% оборота компании, нарушившей новые принципы обработки информации.

Если уполномоченный орган ЕС применит штраф в отношении российской компании, то скорее всего, предприниматель сможет избежать наказания. Однако на территории Евросоюза бизнес может оказаться под серьёзной угрозой.

Судебные решения Евросоюза в России исполняются неохотно. Это вызвано глобальной политической напряжённостью, прохладными отношениями между РФ и ЕС, санкционной политикой.

Принимаемые решения в ЕС не остаются незамеченными со стороны российских надзорных органов. Отклонения от регламента работы с персональными данными могут спровоцировать проверку Роскомнадзором на предмет соблюдения 152-ФЗ.

GDPR уже сейчас заставляет задуматься аналитиков крупного бизнеса. Ведь теперь оценивать риски имеет смысл перед разработкой проекта, а не после воплощения в жизнь. Очевидно, что новый порядок и высокие штрафы заставят бизнес серьёзнее относиться к работе с персональными данными клиентов. Наряду с возросшей ответственностью компаний, увеличится правосознание сотрудников, имеющих доступ к ПД.

Плюс, стоит помнить о принципе рациональности. Если компания владеет большим объёмом данных, это говорит не об успешности, а напротив – о неэффективном использовании информации.

Что нужно сделать для соответствия новым стандартам работы с персональными данными

В первую очередь – изучить положения GDPR. На текст регламента должны обратить внимание компании, имеющие постоянные представительства в ЕС, либо сотрудничающие с организациями, внедрившими GDPR.

Не стоит забывать о принципе экстерриториальности. У предприятия может не быть представительства на территории Евросоюза, но при обработке данных граждан ЕС действие регламента распространяется на оператора.

Во-вторых, нужно проверить базы данных клиентов. Клиенты российских фирм могут оказаться гражданами Евросоюза, о чем непозволительно забывать.

В-третьих, целесообразно провести анализ внутренних, локальных актов компании. Наличие положения о конфиденциальности – одно из требований GDPR. Документ должен регулировать порядок сбора, хранения, обработки, передачи ПД как внутри компании, так и при взаимодействии с клиентами и контрагентами.

Если компания использует сайт, то нужно приблизить процедуру сбора информации к максимальной открытости и прозрачности по отношению к носителю. Нужно описать цель сбора данных, механизм дальнейшего использования. Клиент должен уточнить, на обработку каких именно сведений даёт согласие.

И, в-четвёртых, следует продумать механизм взаимодействия с европейскими органами. В частности, это реагирование на запрос об удалении, уточнении, передаче данных или прекращение обработки.

GDPR – новый регламент защиты персональных данных в ЕС. Законом вводится ряд новых понятий, таких как картотека, контроллер, даётся определение генетической информации. Наряду с возросшей ответственностью для операторов, закон выводит защиту ПД на новый уровень, однако речь идёт о гражданах ЕС. Возможно, в обозримом будущем стоит ожидать подобные законопроекты и в России.

С этим читают
С этим читают
Защита персональных данных работника по ФЗ-152 и Трудовому кодексуЗащита персональных данных работника по ФЗ-152 и Трудовому кодексу
Согласие на обработку персональных данныхСогласие на обработку персональных данных
Цели обработки персональных данных в организацииЦели обработки персональных данных в организации
Политика обработки персональных данных в организацииПолитика обработки персональных данных в организации
Автор: Архипова Ольга Сергеевна
1 Star2 Stars3 Stars4 Stars5 Stars (19 голос., средний: 4,10 из 5)
Загрузка...
Обсуждение ( 0)
показать еще
Поделитесь своим мнением
Для оформления сообщений Вы можете использовать следующие тэги:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>