Соблюдение GDPR

5 минут
16.06.2021
Общий регламент по защите данных (GDPR) — это документ, который регулирует и унифицирует правила защиты персональных данных, действующий в Европейском союзе (ЕС).

Если ваша компания зарегистрирована в одной из стран ЕС или вы собираете данные резидентов ЕС, то необходимо привести процессы обработки персональных данных в соответствие с GDPR.

В чем суть
25 мая 2018 г. вступил в силу General Data Protection Regulation (GDPR) — регламент, который регулирует и унифицирует правила защиты персональных данных жителей Европейского союза, действующий во всех 27 государствах ЕС.

Действие GDPR не ограничивается территорией ЕС: он применяется к компаниям, которые зарегистрированы за пределами ЕС, но ведут свой бизнес на его рынке. Если вы собираете персональные данные резидентов ЕС и при этом предлагаете товары/услуги жителям ЕС, то GDPR распространяется на вас. Об этом могут свидетельствовать следующие факты: сайт переведен на один из языков стран ЕС, возможны расчеты в евро и иные.

Под персональными данными GDPR понимает широкий набор информации: имя, e-mail, ip-адрес, фотография, должность. Такие идентификаторы устройств, как IDFA (Apple's Identifier for Advertisers) или Google Advertising ID, которые может собирать ваше программное обеспечение, также относятся к персональным данным.

Кроме того, GDPR предусматривает специальные категории персональных данных. Например, сведения о:

  • политических и религиозных убеждениях;
  • состоянии здоровья;
  • расовом или этническом происхождении;
  • генетических и биометрических данных в целях идентификации.

GDPR устанавливает ряд оснований для обработки персональных данных:

  • Субъект ПД дал согласие на обработку персональных данных;
  • Обработка необходима для исполнения договора;
  • Обработка необходима для выполнения правовой обязанности, возложенной на оператора;
  • Обработка необходима для обеспечения жизненно важных интересов субъекта ПД;
  • Обработка необходима для целей, вытекающих из легитимных интересов оператора или третьего лица.

Если у компании нет оснований для обработки данных, то она не вправе их обрабатывать. Персональные данные должны быть оперативно уничтожены.

Почему это важно
В случае нарушения GDPR с компании может быть взыскан штраф в размере 20 000 000 € или 4% от годового оборота в зависимости от того, какая сумма будет больше. Согласно исследованию DLA Piper, к 2020 году штрафы за нарушение GDPR составили 158,5 миллионов евро (191,5 миллионов долларов).

В 2021 г. был наложен новый рекордный штраф на компанию Amazon, которая составляла и использовала профили пользователей для таргетированной рекламы без их согласия. Размер штрафа — 746 миллионов евро.

На что обратить внимание
Privacy Policy
Компания должна разработать и опубликовать для всеобщего сведения Политику конфиденциальности (Privacy Policy). В ней должны быть указаны цели, способы сбора и обработки персональных данных, а также информация о том, каким третьим лицам и в каких целях могут передаваться персональные данные пользователей.
Нарушение GDPR
Если компания обрабатывает данные в целях, не указанных в Политике конфиденциальности, то это является нарушением GDPR.
«Даю согласие на сбор и обработку персональных данных»
Согласие на сбор и обработку персональных данных должно быть явным. Заранее поставленная галочка в поле «Даю согласие на сбор и обработку персональных данных» считается нарушением.

Кроме того, Browse-wrap согласия (то есть форма согласия, где пользователь соглашается с Политикой конфиденциальности, просто просматривая сайт или пользуясь программой) не могут считаться надлежащими в соответствии с GDPR.
Проинформировать клиентов
Необходимо проинформировать клиентов о том, какими правами они обладают, и предоставить возможность реализации данных прав. Например, GDPR вводит право на удаление персональных данных (право на забвение) или право на возражение против обработки персональных данных.
Технические и организационные меры
GDPR также обязывает внедрить технические и организационные меры по защите от утечек информации. В случае обнаружения утечки, необходимо уведомить об этом субъектов ПД без промедлений.
Ваш представитель в ЕС
Если ваша компания — нерезидент ЕС, то вам необходимо назначить представителя в ЕС. Представителем может быть любая компания, находящаяся на территории одного из государств ЕС. Наименование и контактные данные представителя необходимо указать в Политике конфиденциальности.
Реестр деятельности по обработке персональных данных
Каждый контроллер обязан вести реестр деятельности по обработке персональных данных. В данном реестре необходимо отражать, в частности, цели обработки, описание категорий субъектов ПД, описание категорий лиц, которым передаются персональные данные.
Data Protection Officer, DPO
В отдельных случаях компании обязаны назначать инспектора по защите данных (Data Protection Officer, DPO). Например, если основная деятельность контроллера или процессора состоит из операций по обработке данных, которые требуют регулярного мониторинга субъектов данных.
персональные данные
18.06.2021
читайте также:
Соблюдение CCPA
Важно выполнить требования закона Калифорнии об обработке персональных данных, чтобы...
персональные данные
17.06.2021
Соблюдение ФЗ-152
Практически любая информация о ваших сотрудниках, партнерах и клиентах является персональными данными
оформление прав на по
20.06.2021
Регистрация товарных знаков за рубежом
Если ваша компания реализует свое ИТ решение или услуги на зарубежных рынках, то важно задуматься о...