Общие правила защиты данных (ОПЗД)

General Data Protection Regulation (GDPR)

General Data Protection Regulation (GDPR) — это регламент ЕС №2016/679 от 27.04.2016 «Про защиту физического лица в отношении обработки личных данных и об их беспрепятственном перемещении» и отмене Директивы про общие положения защиты данных Евросоюза №95/46.

Данный алгоритм начал действовать с 25 мая 2016 года и является основополагающим для использования в странах Европейского Союза как регламент, имеющий прямое действие на все страны ЕС.

Документ распространяет свое действие не только на страны-члены ЕС, а также на лица вне Союза, которые обрабатывают личные данные физлиц – членов Евросоюза при продаже или предложении им различных услуг или продукции.

А также на тех, кто проводит мониторинг поведения субъекта этих ПД на просторах ЕС.

Касательно интернет-сайта или других материалов, которые могут быть опубликованы на вебресурсе, учитываются такие аспекты:

• информация отображается на одном из языков, принятых в ЕС;
• фиксируется стоимость в евровалюте;
• происходит упоминание пользователей из Европейского Союза.

Основные понятия нового регламента GDPR

Обновленный документ GDPR обозначает такие понятия как «контролер» (англ. controller) и «обработчик» (англ. processor) личных данных.

Физическое или юридическое лицо, государство, а также любая госструктура или организация, которая персонально или в совокупности с иными формирует цель и методы обрабатывания ПД – это «контролер».

Данный субъект имеет такие обязанности:

• вести документацию по отчетам;
• если того требует ситуация, вести сотрудничество с обработчиками личных данных;
• внедрить технологии защиты персональной информации;
• оценивать взаимодействия обработки личных данных и прав субъектов для отдельных типов обработки;
• стараться на протяжении 72 часов отправлять уведомление в национальный орган по защите информации (DataProtectionAuthorities) про утечку ПД, а также субъектов этих данных.

Юридическое или физическое лицо, государство или отдельный орган, обрабатывающий персональную информацию от имени и по контролерскому поручению, – это «обработчик». Его прямые обязанности – это:

• внедрение письменного реестра осуществляемых транзакций, которые выполняются от имени либо по контролерскому поручению;
• рассылка уведомления об утечке данных контролеру своевременно;
• активное участие в трансграничной деятельности по передаче информации;
• в отдельных ситуациях требование назначения представительного лица в ЕС, если такого изначально не было.

Регламент GDPR: на кого распространяется

Документ ЕС распространяется на все компании, которые собирают, хранят или обрабатывают личные данные членов Европейского Союза (то есть обработчики и контролеры), вне зависимости от места локализации этих субъектов.

Данный Регламент накладывает запрет на перемещение персонализированных данных членов ЕС за его пределы, угрожая применением санкций.

По состоянию на апрель 2018 года Еврокомиссия признает такие страны, которые не имеют адекватного уровня защиты ПД: Новая Зеландия, Гернси, Уругвай, Швейцария, Лихтенштейн, Норвегия, Исландия, Андорра, Южная Корея, Аргентина, Канада, Израиль, о. Мэн, Фарерские острова, Япония. США.

Принципы GDPR Регламента

Главный принцип Регламента – если невозможно заставить обработчика или контролера персональных данных в конкретно взятом государстве понести ответственность, которая предусмотрена Регламентом, то все операции с ПД членов Европейского Союза  будут нелегитимными.

Каковы изменения появятся при начале действия GDPR Регламента?

К основным нововведениям можно отнести:

• регламентацию порядка получения разрешения пользователей на обработку личных данных в момент их получения, порядка отведения и многие другие права;
• в случае, когда масштаб обработки ПД достаточно объемный (от 5000 записей и 250 сотрудников), GDPR имеет право требовать от обработчика и контролера создания должности инспектора по защите интересов и персональных данных;
• требование GDPR создать систему защиты, а также технического регламентирования по защите ПД;
• пользователь приобретает право подать жалобу в орган надзора в любой стране Евросоюза по защите ПД. При этом текст в полицию должен иметь информацию о его месте расположении и контактах;
• требования GDPR — назначить постоянного обработчика в ЕС, если хозяин проекта находится не в ЕС и проводит различные операции с данными регулярно.

Санкции, предусмотренные несоблюдением Регламента

GDPR предусматривает основательные санкции за несоблюдение правил обработки ПД действующих резидентов Европейского Союза. Штраф исчисляется размером около 20 млн евровалюты, либо 4% от всего финансового оборота корпорации).

Эти требования не ограничиваются только пределами установленной политики неразглашения интернет-ресурса.

Как привести в соответствие ваш сервер с требованиями General Data Protection Regulation (GDPR)

Чтобы полностью привести в соответствие правилам GDPR свою компанию, рекомендуют следующее:

• разработать раздел «Privacypolicy», учитывая требования GDPR;
• выполнить требования законодательства государства о защите ПД, также получение информации от местного соответствующего органа;
• назначить инспектора по защите ПД;
• составить систему оповещений и соглашения пользователей, проведя аудит;
• внедрить и описать систему техподдержки и защиты ПД, регламентируя их во внутренней документации);
• для того, чтобы не было разногласий с новым регламентом, рекомендуется перевести право владения компанией (или проектом) на члена одной из стран, входящих в ЕС.

Специалисты Eternity Law International окажут Вам помощь при анализе вашего интернет ресурса на соответствие с требованиями GDPR, составят правильную Privacypolicy, а также проконсультируют вас по индивидуальным юридическим вопросам.