Общий регламент по защите данных (GDPR) — это документ, который регулирует и унифицирует правила защиты персональных данных, действующий в Европейском союзе (ЕС).
Если ваша компания зарегистрирована в одной из стран ЕС или вы собираете данные резидентов ЕС, то необходимо привести процессы обработки персональных данных в соответствие с GDPR.
Если ваша компания зарегистрирована в одной из стран ЕС или вы собираете данные резидентов ЕС, то необходимо привести процессы обработки персональных данных в соответствие с GDPR.
В чем суть
25 мая 2018 г. вступил в силу General Data Protection Regulation (GDPR) — регламент, который регулирует и унифицирует правила защиты персональных данных жителей Европейского союза, действующий во всех 27 государствах ЕС.
Действие GDPR не ограничивается территорией ЕС: он применяется к компаниям, которые зарегистрированы за пределами ЕС, но ведут свой бизнес на его рынке. Если вы собираете персональные данные резидентов ЕС и при этом предлагаете товары/услуги жителям ЕС, то GDPR распространяется на вас. Об этом могут свидетельствовать следующие факты: сайт переведен на один из языков стран ЕС, возможны расчеты в евро и иные.
Под персональными данными GDPR понимает широкий набор информации: имя, e-mail, ip-адрес, фотография, должность. Такие идентификаторы устройств, как IDFA (Apple's Identifier for Advertisers) или Google Advertising ID, которые может собирать ваше программное обеспечение, также относятся к персональным данным.
Кроме того, GDPR предусматривает специальные категории персональных данных. Например, сведения о:
GDPR устанавливает ряд оснований для обработки персональных данных:
Если у компании нет оснований для обработки данных, то она не вправе их обрабатывать. Персональные данные должны быть оперативно уничтожены.
Действие GDPR не ограничивается территорией ЕС: он применяется к компаниям, которые зарегистрированы за пределами ЕС, но ведут свой бизнес на его рынке. Если вы собираете персональные данные резидентов ЕС и при этом предлагаете товары/услуги жителям ЕС, то GDPR распространяется на вас. Об этом могут свидетельствовать следующие факты: сайт переведен на один из языков стран ЕС, возможны расчеты в евро и иные.
Под персональными данными GDPR понимает широкий набор информации: имя, e-mail, ip-адрес, фотография, должность. Такие идентификаторы устройств, как IDFA (Apple's Identifier for Advertisers) или Google Advertising ID, которые может собирать ваше программное обеспечение, также относятся к персональным данным.
Кроме того, GDPR предусматривает специальные категории персональных данных. Например, сведения о:
- политических и религиозных убеждениях;
- состоянии здоровья;
- расовом или этническом происхождении;
- генетических и биометрических данных в целях идентификации.
GDPR устанавливает ряд оснований для обработки персональных данных:
- Субъект ПД дал согласие на обработку персональных данных;
- Обработка необходима для исполнения договора;
- Обработка необходима для выполнения правовой обязанности, возложенной на оператора;
- Обработка необходима для обеспечения жизненно важных интересов субъекта ПД;
- Обработка необходима для целей, вытекающих из легитимных интересов оператора или третьего лица.
Если у компании нет оснований для обработки данных, то она не вправе их обрабатывать. Персональные данные должны быть оперативно уничтожены.
Почему это важно
В случае нарушения GDPR с компании может быть взыскан штраф в размере 20 000 000 € или 4% от годового оборота в зависимости от того, какая сумма будет больше. Согласно исследованию DLA Piper, к 2020 году штрафы за нарушение GDPR составили 158,5 миллионов евро (191,5 миллионов долларов).
В 2021 г. был наложен новый рекордный штраф на компанию Amazon, которая составляла и использовала профили пользователей для таргетированной рекламы без их согласия. Размер штрафа — 746 миллионов евро.
В 2021 г. был наложен новый рекордный штраф на компанию Amazon, которая составляла и использовала профили пользователей для таргетированной рекламы без их согласия. Размер штрафа — 746 миллионов евро.
На что обратить внимание
Privacy PolicyКомпания должна разработать и опубликовать для всеобщего сведения Политику конфиденциальности (Privacy Policy). В ней должны быть указаны цели, способы сбора и обработки персональных данных, а также информация о том, каким третьим лицам и в каких целях могут передаваться персональные данные пользователей.
Нарушение GDPRЕсли компания обрабатывает данные в целях, не указанных в Политике конфиденциальности, то это является нарушением GDPR.
«Даю согласие на сбор и обработку персональных данных»Согласие на сбор и обработку персональных данных должно быть явным. Заранее поставленная галочка в поле «Даю согласие на сбор и обработку персональных данных» считается нарушением.
Кроме того, Browse-wrap согласия (то есть форма согласия, где пользователь соглашается с Политикой конфиденциальности, просто просматривая сайт или пользуясь программой) не могут считаться надлежащими в соответствии с GDPR.
Проинформировать клиентовНеобходимо проинформировать клиентов о том, какими правами они обладают, и предоставить возможность реализации данных прав. Например, GDPR вводит право на удаление персональных данных (право на забвение) или право на возражение против обработки персональных данных.
Технические и организационные мерыGDPR также обязывает внедрить технические и организационные меры по защите от утечек информации. В случае обнаружения утечки, необходимо уведомить об этом субъектов ПД без промедлений.- Ваш представитель в ЕСЕсли ваша компания — нерезидент ЕС, то вам необходимо назначить представителя в ЕС. Представителем может быть любая компания, находящаяся на территории одного из государств ЕС. Наименование и контактные данные представителя необходимо указать в Политике конфиденциальности.
- Реестр деятельности по обработке персональных данныхКаждый контроллер обязан вести реестр деятельности по обработке персональных данных. В данном реестре необходимо отражать, в частности, цели обработки, описание категорий субъектов ПД, описание категорий лиц, которым передаются персональные данные.
- Data Protection Officer, DPOВ отдельных случаях компании обязаны назначать инспектора по защите данных (Data Protection Officer, DPO). Например, если основная деятельность контроллера или процессора состоит из операций по обработке данных, которые требуют регулярного мониторинга субъектов данных.
Связаться с нами
Нажимая на кнопку «Отправить», вы соглашаетесь с Политикой конфиденциальности
VERSUS.legal 2023©
Социальные сети
Instagram
Facebook
Контакты
г. Санкт-Петербург
пл. Труда, д. 2, оф. 301
пл. Труда, д. 2, оф. 301
БУДЬТЕ В КУРСЕ ОБНОВЛЕНИЙ