GDPR - что нужно знать о новых правилах обработки персональных данных?

Что это такое?

GDPR – это новые правила обращения с персональными данными (вступает с 25.05.2018 года).  

Что нового?

ЕС предоставляет возможность своим гражданам контролировать их персональные данные (ФИО, электронная почта, реквизиты карты и др.). За разглашение, утечку, неправомерное использование таких данных, будут накладываться в размере от 20 000 000 млн. евро до 2-4% годового оборота компании за несоблюдение GDPR .

Пример, в феврале месяце появилась новость, что даркнете продаются актуальные базы данных клиентов Новой почты -  на 500 тысяч человек и на 18 млн записей. Если бы правила GDPR уже действовали на тот момент и факт утечки был подтвержден, Новая почта могла понести серьезные убытки.

Кого коснется?

Всех компаний, в том числе и украинских (экстерриториальный принцип), которые обрабатывают персональные данные резидентов и граждан ЕС, независимо от местонахождения компании (Новая почта предоставляет услуги международных доставок, а значит обрабатывает персональные данные граждан ЕС). В этот список подпадают: 

a. 1) приложения, облачные решения, работающие с европейскими персональными данными;

b.      2)  аутсорсинговые IT компании;

c.      3)  интернет-магазины и социальные сети;

d.     4)  консалтинговые компании;

e.      5)  биржи и банки, др.

Подпадает ли Ваша компания под эти правила? Да, если:

       I.            А.  Компания имеет организационную единицу в ЕС;

    II.          Б.  Обработка персональных данных лица, который находится в ЕС связанна с:

a.      Предложением товаров и услуг;

b.      Мониторингом поведения на территории ЕС (статистика смертности, медицинские записи, сведения об уголовной судимости).

Новое рабочее место.

Компания, подпадающая под действия правилGDPR должна иметь:

A.     Data Protection Officer – сотрудника, который будет ответственный за защиту персональных данных (по трудовому договору или гражданско-правовому договору). Его отсутствие в компании, может привести к штрафу в размере до 10 000 000 млн. евро или 2% от годового дохода компании.

B.     Постоянного представителя или представительство в ЕС (при условии, что сама компания находится за пределами ЕС, но попадает под правила GDPR ).        

Будет ли это работать у нас?

Пока не ясно, хотя многие юридические компании и отдельные лица проводят семинары, тренинги, курсы по соблюдению правил GDPR с убеждением в неотвратимости фиаско для Вашего бизнеса. В целом, нужно следить за разъяснениями Working party 29/ EDPB (Европейский совет по защите данных– станет основным регулятором после вступления GDPR) и за судебной практикой. Думаю, в начале новостная лента будет пестрить информацией о баталиях крупных компаний и сервисов, таких как Uber, Google, Amazon с EDPB (кто захочет отдавать 4% от годового дохода – риторический вопрос). А дальше будет видно. С другой стороны, лучше перестраховаться, изучить данный вопрос и позаботиться о соблюдении всех принципов обработки персональных данных граждан, закрепленных в GDPR.

Какие права получает сам субъект?

a.      Право на забвение ( right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам. 

b.      Право на переносимость данных (right to data portability) - компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных. 

YouTube постоянно подбирает интересные для Вас видео, но терпеть рекламу уже нет сил? Обратитесь к нему с требованием передать все Ваши персональные данные Rutube (сомнительный выбор, но все же). И тогда все Ваши предпочтения с учетом заполненных данных для регистрации будут автоматически заполнены на другом сервисе.   

c.   Право на отказ быть субъектом профилирования и системы автоматического принятия решения (простыми словами, пользователь может требовать, чтобы его заявку на услугу или товар рассматривал живой человек, а AI система).

d.    Права детей. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).

e.     Согласие на обработку. Схожая история с “ Terms of use ”:

1.       согласие должно быть выражено в утвердительной форме или в форме четких активных действий;

2.      не допускается использовать поля о согласии с уже поставленной галочкой по умолчанию;

3.      у пользователя должна быть возможность отозвать/отменить свое согласие без ущерба для самого себя;

4.    информация об обработке персональных данных должна быть размещена таким образом, чтобы пользователь мог легко ее найти.

В целом, GDPR – правовой акт, цель которого заключается в повышении уровня защиты персональных данных резидентов и граждан ЕС, как на территории ЕС, так и за его пределами. Коснется он в первую очередь тех, кто имеет договорные отношения с резидентами ЕС, поставляют товары и услуги на территорию Европейского Союза.