GDPR - что нужно знать о новых правилах обработки персональных данных?
Чтоэто такое?
GDPR – это новые правилаобращения с персональными данными (вступает с 25.05.2018 года).
Чтонового?
ЕС предоставляет возможностьсвоим гражданам контролировать их персональные данные (ФИО, электронная почта,реквизиты карты и др.). За разглашение, утечку, неправомерное использованиетаких данных, будут накладываться в размере от 20 000 000 млн. евро до 2-4% годового оборотакомпании за несоблюдение GDPR.
Пример, в феврале месяцепоявилась новость, что даркнете продаются актуальные базы данных клиентов Новойпочты - на 500 тысяч человек и на 18 млнзаписей. Если бы правила GDPR уже действовали на тот момент ифакт утечки был подтвержден, Новая почта могла понести серьезные убытки.
Когокоснется?
Всех компаний, в том числе иукраинских (экстерриториальный принцип), которые обрабатывают персональныеданные резидентов и граждан ЕС, независимо от местонахождения компании (Новая почтапредоставляет услуги международных доставок, а значит обрабатывает персональныеданные граждан ЕС). В этот список подпадают:
a. 1)приложения,облачные решения, работающие с европейскими персональными данными;
b. 2) аутсорсинговыеIT компании;
c. 3) интернет-магазиныи социальные сети;
d. 4) консалтинговыекомпании;
e. 5) биржи ибанки, др.
Подпадаетли Ваша компания под эти правила? Да, если:
I. А. Компания имеет организационную единицу в ЕС;
II. Б. Обработка персональных данных лица, который находитсяв ЕС связанна с:
a. Предложениемтоваров и услуг;
b. Мониторингомповедения на территории ЕС (статистика смертности, медицинские записи, сведенияоб уголовной судимости).
Новоерабочее место.
Компания, подпадающая под действияправилGDPR должна иметь:
A. Data Protection Officer – сотрудника, который будетответственный за защиту персональных данных (по трудовому договору или гражданско-правовомудоговору). Его отсутствие в компании, может привести к штрафу в размере до 10 000 000млн. евро или 2% от годового дохода компании.
B. Постоянного представителя или представительство вЕС (при условии, что сама компания находится за пределами ЕС, но попадает подправила GDPR).
Будетли это работать у нас?
Пока не ясно, хотя многиеюридические компании и отдельные лица проводят семинары, тренинги, курсы по соблюдениюправил GDPR с убеждением в неотвратимости фиаско для Вашего бизнеса. В целом, нужноследить за разъяснениямиWorking party 29/ EDPB(Европейский совет по защите данных– станет основным регулятором после вступленияGDPR) и за судебной практикой. Думаю, вначале новостная лента будет пестрить информацией о баталиях крупных компаний исервисов, таких как Uber,Google, Amazon с EDPB (кто захочетотдавать 4% от годового дохода – риторический вопрос). А дальше будет видно. С другойстороны, лучше перестраховаться, изучить данный вопрос и позаботиться особлюдении всех принципов обработки персональных данных граждан, закрепленных вGDPR.
Какиеправа получает сам субъект?
a. Право назабвение (right to beforgotten), которое дает европейцам возможность удалять свои личные данные позапросу во избежание их распространения или передачи третьим лицам.
b. Право на переносимость данных (right to data portability)- компании обязаны предоставлять бесплатно электронную копию персональныхданных другой компании по требованию самого субъекта персональных данных.
YouTubeпостоянно подбирает интересные для Вас видео, но терпетьрекламу уже нет сил? Обратитесь к нему с требованием передать все Ваши персональныеданные Rutube(сомнительный выбор, но все же). И тогда все Ваши предпочтения с учетомзаполненных данных для регистрации будут автоматически заполнены на другомсервисе.
c. Право на отказ быть субъектом профилирования исистемы автоматического принятия решения (простыми словами, пользователь можеттребовать, чтобы его заявку на услугу или товар рассматривал живой человек, а AIсистема).
d. Права детей. Согласие на обработку данныхребенка должно быть авторизовано родителями (или законными представителямиребенка). Возрастной порог для родительской авторизации устанавливаетсягосударствами-членами ЕС отдельно (от 13 до 16 лет).
e. Согласиена обработку. Схожая история с “Termsofuse”:
1. согласие должно быть выражено в утвердительной формеили в форме четких активных действий;
2. не допускается использовать поля о согласии с ужепоставленной галочкой по умолчанию;
3. у пользователя должна быть возможность отозвать/отменитьсвое согласие без ущерба для самого себя;
4. информация об обработке персональных данных должнабыть размещена таким образом, чтобы пользователь мог легко ее найти.
В целом, GDPR – правовойакт, цель которого заключается в повышении уровня защиты персональных данных резидентови граждан ЕС, как на территории ЕС, так и за его пределами. Коснется он впервую очередь тех, кто имеет договорные отношения с резидентами ЕС, поставляюттовары и услуги на территорию Европейского Союза.