В мае 2018 года Европа перешла на обновленные правила обработки персональных данных, установленные Общим регламентом защиты данных (Регламент ЕС 2016/679 от 27 апреля 2016 года или GDPR). Этот регламент, распространяющийся на все 28 стран ЕС, заменил Директиву о защите данных 95/46 / EC от 24 октября 1995 года.
Экстерриториальный принцип новых европейских правил обработки персональных данных GDPR очень важен, поэтому вам следует обратить на них внимание, если услуги, предоставляемые вашей компанией, ориентированы на европейский или международный рынок.
Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими личными данными. С мая 2018 года ужесточена ответственность за нарушение правил обработки персональных данных: иногда штрафы достигают 20 миллионов евро, что составляет 4% годового дохода GDPR. В этой статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для компаний по соблюдению GDPR.
На какие компании распространяется GDPR?
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. Конечно, филиалы, представительства нерезидентов в ЕС должны будут соответствовать новым требованиям.
В каких случаях компании должны соблюдать все требования GDPR? Если:
- Их услуги / продукты адаптированы к местным языкам жителей ЕС;
- Их услуги / товары оплачиваются в местной валюте ЕС;
- Их услуги / товары предоставляются на национальных доменах верхнего уровня стран ЕС.
Это означает, что организации, которые обрабатывают персональные данные европейцев в Соединенных Штатах при осуществлении онлайн-продаж (например, железные дороги, авиакомпании, отели, хостелы и другие), подпадают под действие GDPR и должны соблюдать новые европейские правила обработки персональных данных. Помимо обработки персональных данных, GDPR использует концепцию мониторинга поведения субъектов данных, поэтому еще одна категория субъектов попадает под GDPR.
GDPR применяется к организациям, созданным за пределами ЕС, если они (как контролеры или обработчики) контролируют поведение жителей ЕС (в той степени, в которой такое поведение имеет место в ЕС). Отныне компании должны будут полностью соблюдать эти стандарты, и если этого не произойдет, они столкнутся со строгими штрафами, которые могут повлиять на их будущую работу.
Мониторинг может включать в себя:
- мониторинг резидента ЕС в Интернете;
- использование методов обработки данных для профилирования людей, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).
Что подразумевается под личными данными в GDPR?
Персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных), по которой оно может быть определена прямо или косвенно. Различные части информации, которые собираются вместе, могут привести к идентификации конкретного человека и представляют собой личные данные. Важно отметить, что существуют определенные типы личных данных. Кроме того, эта информация включает генетические, биометрические данные, используемые для идентификации людей, данные о состоянии здоровья, информацию о сексуальной жизни или сексуальной ориентации.
Как работает обработка данных в GDPR
Персональные данные обрабатываются законно, справедливо и прозрачно. Любая информация о целях, способах и объемах обработки персональных данных должна быть максимально доступной и простой. Данные собираются и используются только в целях, заявленных компанией (онлайн-сервисом). Данные не могут быть собраны в большей степени и должны храниться в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей обработки. Неточные персональные данные должны быть удалены или исправлены (по запросу пользователя). Все компании обязаны защищать личные данные от несанкционированной или незаконной обработки, уничтожения и повреждения.
Случаи нарушения GDPR
Компании должны уведомлять регулирующие органы (и в некоторых случаях субъектов данных) о любом нарушении обработки личных данных в течение 72 часов с момента обнаружения такого нарушения.
Список национальных регуляторов персональных данных для всех стран ЕС доступен на этом websiteвеб-сайте. Существует также общеевропейский регулятор, Рабочая часть 29 или рабочая группа по статье 29. Однако, как только GDPR вступит в силу, новый орган заменит рабочую группу по статье 29 - Европейский совет по защите данных (EDPB).
Права субъекта данных (физического лица)
GDPR значительно расширяет права граждан и резидентов ЕС на управление своими личными данными. Европейцы имеют право запрашивать любую информацию об обработке своих данных и требовать ее исправления. Более того, пользователь имеет право потребовать прекращения обработки его данных. GDPR также предусматривает право на забвение (право на удаление, право на забвение), которое позволяет европейцам удалять свои данные по запросу, чтобы избежать их распространения или передачи третьим лицам.
