16:25 21 Сентября 2019
Прямой эфир
  • USD1.1030
  • RUB70.3933
Флешка на ноутбуке

Единый для европейского пространства регламент по защите личных данных

© Fotolia / Yauhenka
Справки
Получить короткую ссылку
96320

Обновлённые правила обработки персональных данных, установленные общим регламентом по защите данных для стран-членов ЕС, обязательны по отношению к европейцам по всему миру.

Единый для европейского пространства регламент Европейского парламента и совета по защите личных данных GDPR — General Data Protection Regulation — это новые правила обработки персональных данных в Европе, которые обязательны для международного IT-рынка. Регламент ЕС 2016/679, или GDPR, был принят 27 апреля 2016 года. Для адаптации информационных систем под новые правила было выделено два года, и с 25 мая 2018 года GDPR начинает свое действие.

GDPR заменяет рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Общеевропейский регулятор Working party 29, или Рабочая группа по статье 29, которая обеспечивала исполнение рамочной Директивы о защите персональных данных до мая 2018 года, заменен на новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).

В свою очередь, по всем странам ЕС работают национальные регуляторы, которые вместе создают единую систему регулирования в области персональных данных по ЕС.В Эстонии регулятором в области персональных данных является Инспекция по защите данных Эстонии.

Букштейн: человека можно "отключить", стерев его цифровую личность >>

Новый регламент предоставляет резидентам и гражданам Европейского союза инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро или 4% годового глобального дохода компании. Это означает, что при нарушении правил GDPR в каком-либо филиале международной корпорации штраф за нарушение будет начисляться с дохода всей корпорации.

Экстерриториальный принцип действия GDPR

Действие GDPR распространяется на все мировое сообщество, потому что главным объектом становятся персональные данные европейцев, а это значит, что применяться новые требования будут к любым компаниям и организациям, где бы они ни находились, если они имеют дело с резидентом или гражданином ЕС.

И филиалы иностранных компаний, расположенные на территории ЕС, и компании, расположенные за пределами ЕС, но обслуживающие европейских резидентов и граждан, должны выполнять требования GDPR.

Единый регламент в сфере бизнеса призван улучшить управление данными и информационную безопасность, имидж и репутацию бренда, усилить конкурентное преимущество и повысить доверие клиентов. Сотрудничество с рынком ЕС в условиях действия GDPR создает идентичную правовую основу во всех странах еврозоны, что минимизирует затраты на организацию работы с клиентами на уровне любых баз данных.

Принципы обработки данных по GDPR

  • Принцип законности, справедливости и прозрачности. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
  • Принцип ограничения цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
  • Принцип минимизации данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
  • Принцип точности. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
  • Принцип ограничения хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
  • Принцип целостности и конфиденциальности. Компании при обработке данных клиентов и пользователей обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Важное понятие в GDPR

В едином регламенте разделены понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, фактически руководитель процесса, несет основную юридическую ответственность и решает, что происходит с персональными данными, а процессор, фактически исполнитель решений контроллера, осуществляет работу по сбору и обработке данных.

Реформа в IT-сфере защитит личные данные жителей ЕС перед Google >>

Примером процессора может служить некая база данных, где хранятся и обрабатываются данные клиентов компании, а сотрудники компании на основе этих данных выполняют рабочие задачи. В этом случае контроллером будет компания, ее руководство, установившие правила работы своих сотрудников и данной базы.

Виды персональных данных

Персональные данные по новому регламенту разделены на собственно данные — любая информация, которая дает возможность прямо или косвенно определить физическое лицо.

К ним относятся имя, почтовый адрес, адрес электронной почты, фотография, IP-адрес, данные о местоположении, поведение в интернете (файлы cookie), данные профилирования и аналитики. Из этих данных можно вычислить фактически характеристики для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности конкретного физического лица (GDPR пункт 1, статья 4).

Также выделен определенный тип персональных данных, которые относятся к категории особых или конфиденциальных персональных данных: раса, религия, политические взгляды, членство в профсоюзах, сексуальная ориентация, информация о здоровье, биометрические данные, генетические данные.

Права физического лица в рамках GDPR

Единый европейский регламент по защите персональных данных расширяет права граждан и резидентов ЕС по контролю за их персональными данными.

Европейские пользователи получают право запрашивать подтверждение факта обработки их данных, узнавать место и цель обработки, а также какие именно персональные данные используются, каким третьим лицам раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления.

Физическое лицо получает право требовать прекращения обработки своих данных.

Действует также право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам. Отчасти это право уже обеспечивалось в отношении поисковых систем. По GDPR любая компания, обрабатывающая данные, должна будет удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.

В интернете нет личных данных 22% жителей Эстонии >>

Новацией в правилах обработки данных ЕС стало право на переносимость данных (right to data portability): компании обязаны по требованию субъекта персональных данных предоставлять бесплатно электронную копию этих данных другой компании.

Важные требования к организациям и компаниям

GDPR повышает требования в отношении формы получения согласия на обработку данных. Галочки клиента в графе "согласен" или "принимаю" уже недостаточно. Каждое онлайн-соглашение или договор должны соответствовать требованиям единого регламента, любое отступление от которого расценивается как нарушение.

Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя и не считается действительным, если у человека не было выбора или если несогласие влекло для него некий ущерб. Нельзя получать согласие человека на обработку его данных по умолчанию. Нельзя заранее ставить галочки в ячейке "согласен" или "принимаю", как готовый вариант выбора клиента. Молчание или бездействие пользователя также нельзя расценивать как согласие. Подобные методы считаются нарушением GDPR.

Контроллер должен оформлять свои отношения с пользователями и клиентами в такой форме, чтобы иметь возможность продемонстрировать факт получения согласия клиента на обработку данных.

Информация о том, как клиент может отозвать свое согласие на обработку персональных данных, должна быть доступна и легко находима.

Согласие на обработку данных ребенка должно быть авторизовано родителями или законными представителями ребенка. Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно и может находиться в пределе от 13 до 16 лет.

Информационные порталы и сервисы перед удалением данных по запросу должны проверять и убеждаться, что удаление данных не повлияет на свободу слова и на право доступа к информации, гарантированное европейцам статьей 11 Хартии Европейского союза по правам человека.

По теме

День защиты персональных данных: как не стать жертвой мошенников
Uber умолчала о краже персональных данных миллионов клиентов
Теги:
физическое лицо, IP-адрес, data controller, регламент, GDPR, конфиденциальность, данные, личность, права, закон, персональные данные, информация, защита персональных данных, EDPB, General Data Protection Regulation, совет по защите личных данных, Европарламент, ЕС
Загрузка...

Главные темы

Орбита Sputnik