GDPR – новый регламент по защите данных: что нужно знать

24.05.2018 - Просмотров: 503
Без рубрики
GDPR

GDPR – общий регламент по защите данных (General Data Protection Regulation), вступает в силу с 25 мая. Документ предоставляет резидентам ЕС возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а при необходимости удалить.

Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.

Принципы GDPR

  • Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.

  • Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.

  • Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.

  • Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.

  • Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.

  • Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.

Кого коснется

GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными граждан ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.

Что грозит тем, кто не выполняет требования

За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов рублей или от 2 до 4% от годового оборота компании.

Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

Что нужно сделать прямо сейчас

Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.

Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.

Где почитать больше по теме

Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.

С официальным текстом регламента по защите персональных данных можно ознакомиться здесь. На сайте Еврокомиссии также можно найти интересную информацию о том, почему так важно было разработать новый регламент: чем это хорошо для граждан ЕС, какие выгоды получит бизнес, и как новые правила помогут компаниям сэкономить деньги, используя единый закон во всех странах ЕС.

Читайте также