Что компаниям делать с персональными данными

0 комментировать

25 мая вступит в силу новый Общий регламент по защите персональных данных (GDPR) в ЕС. Что стоит за данным нововведением и как это изменит работу украинских компаний?

Новый Общий регламент унифицирует все нормы о защите персональных данных, а также усиливает защиту таких данных. Особенностью новых правил является то, что они распространяются на все организации, деятельность которых затрагивает данные граждан ЕС. Это означает, что под его действие попадут и украинские компании, которые работают со странами-членами ЕС (в частности, предлагают товары/услуги гражданам ЕС, мониторинг субъектов данных в пределах ЕС).

В первую очередь, GDPR коснется компаний финансового и фармацевтического сектора, а также транспортных и технологических фирм, медиа - и телеком - компаний, интернет - магазинов. Регламент также будет затрагивать те компании, которые ведут регистрацию пользователей веб-ресурсов, используют адресный или интернет-маркетинг, обрабатывают большие объемы персональных данных, например, туроператоры.

Данный регламент уже назван наиболее жестким за всю историю ЕС: невыполнение регламента влечет за собой серьезные финансовые санкции. Так за отсутствие должного учета обработки данных или неуведомление о нарушении регулятора компания будет обязана выплатить штраф в размере до €10 млн или 2% годового дохода компании (в зависимости которое значение больше). За грубые нарушения, к которым относятся нарушения основных принципов обработки данных, а так же нарушение прав граждан ЕС по информированию о сборе таких данных или их уничтожении – предусмотрен штраф до 20 миллионов евро или 4% годового дохода компании (в зависимости которое значение больше). Это означает, что при выборе украинских контрагентов и партнеров европейские компании будут все более требовательны к уровню соответствия нормам GDPR с их стороны.

К персональным данным GDPR относит имя, адрес электронной почты, номер телефона, фотографии, видео, сообщения в социальных сетях или IP-адрес компьютера. Более того, для отдельной категории информации установлен повышенный режим защиты. К такой категории относятся информация, которая раскрывает расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические, биометрические данные, сведения, касающиеся сексуальной жизни или сексуальной ориентации.

Среди основных требований GDPR – внедрение стандартов безопасности для обеспечения высокого уровня защиты данных, например, шифрование персональных данных. Также требуется назначение специального ответственного сотрудника по защите данных, соблюдение более строгих правил передачи данных за пределы ЕС и сотрудничество с соответствующими надзорными органами, оценка воздействия реализуемых компанией действий на защиту персональных данных. Кроме того, компании будут нести ответственность за обработку данных, которую поручают третьим лицам и обеспечивать законность обработки этой информации со стороны подрядчиков.

Требование соблюдения защиты персональных данных для украинских компаний не является чем-то принципиально новым. К примеру, аналогичные нормы о необходимости согласия лица на сбор данных и уведомление об обработке, пусть и в более либеральном виде, уже присутствуют в украинском законодательстве. Тем не менее, реализация требований GDPR все же потребует от украинских компаний ряда серьезных шагов.

В частности, необходимо выявить виды обрабатываемой информации, которые подлежат защите в соответствие с новым регламентом, а также необходимость привлечение третьих лиц или передачи им для обработки, проанализировать существующие методы их защиты. Компаниям нужно будет пересмотреть систему менеджмента информационной безопасности и управления рисками, разработать комплексный план мероприятий по реализации требований GDPR, который должен охватывать зоны ответственности как ИТ – подразделений, так и департаментов информационной безопасности.

Еще одним важным шагом станет пересмотр политики конфиденциальности и положений об обработке персональных данных пользовательских соглашений сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. В рамках GDPR потребуется разработка внутренних политик защиты данных, дополнительное обучение персонала, проверка деятельности по обработке данных, внедрение специальной документации по процессам обработки и мер по встроенной системе конфиденциальности.

При этом, GDPR предусматривает принцип "единого окна", в соответствии с которым компании необходимо выбрать локальное представительство регулятора, которое определяется по установленными GDPR правилами. С данным представительством компания будет координировать свои действия в области обработки и защиты персональных данных (к примеру, уведомления о несанкционированном доступе к персональным данным).

Несмотря на то, что запуск GDPR формально состоится 25 мая, можно ожидать, что первое время контролирующие и надзорные органы ЕС, обеспечивающие соблюдение европейских правил защиты персональных данных, вряд ли будут готовы осуществлять эффективный контроль для компаний, работающих вне ЕС.

Это дает украинским компаниям, которые не успели адаптироваться к новым требованиям, дополнительный лаг времени для внедрения норм GDPR. Однако в случае невыполнения новых правил о защите персональных данных в будущем компаниям придется уйти с рынка ЕС и переориентироваться на страны с более либеральной политикой.


Читайте срочные новости и самые интересные истории в Viber и Telegram Нового Времени.

Комментарии

1000

Правила комментирования
Показать больше комментариев
Если Вы хотите вести свой блог на сайте Новое время Бизнес, напишите, пожалуйста, письмо по адресу: kolonka@nv.ua

Эксперты ТОП-10

Читайте на НВ style

Последние новости

опрос

Погода
Погода в Киеве

влажность:

давление:

ветер: