GDPR – защита персональных данных
25 мая 2018 года вступил в силу Регламент GDPR — General Data Protection Regulation, то есть нормы общей защиты персональных данных граждан ЕС. Он пришел на смену Директиве о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Что такое персональные данные?
Это информация, которая позволяет идентифицировать человека. К примеру, это может быть имя, фамилия, адрес, паспортные данные, идентификационный код и др.
Регламент дополняет, такую информацию внося в персональные данные – местонахождение и онлайн – идентификаторы (cookies, IP-адреса).
Почему защита персональных данных столь важна?
Еще в XX веке в западных странах было довольно широко распространённым преступление среди мошенников под названием «identity theft» — кража личности. Преступления при котором незаконно использовались данные граждан для материальной наживы. Это было связанно с предоставлением удаленных услуг, в частности выпуска кредитных карт и выдачи кредитов. Для подтверждения личности у клиентов операторы запрашивали только SSN (Social Security number), в Британии это NINO (National Insurance number).
Сегодня с угрожающими темпами развития технологий «кража личности» стала еще более доступной для мошенников. Поэтому и возникает необходимость идти в ногу с глобализацией и постоянно придумывать новые способы защиты персональных данных.
Что подразумевает под собой GDPR?
GDPR – это по сути правила пользования персональными данными, которые предусматривают четкие процессы сбора и использования данных, в случае нарушения которых компании должны будут выплатить штраф.
Регламент направлен на то чтобы дать контроль гражданам над собственными данными и призван укрепить их доверие к сервисам в сети.
Прежде всего у граждан ЕС, появляются такие права, как:
— право доступа, это значит, что у пользователей появится право требовать от компаний полную копию их личных данных, что хранятся на серверах компаний;
— право на забвение, когда граждане могут подать запрос об удалении информации о них, а также отказаться от их распространения;
— право пользователя на перемещение или изменение информации о себе (к примеру, когда гражданин начинает пользоваться медицинскими услугами другой клиники, он может попросить перенести свои данные с одной клиники в другую);
— уведомление клиентов компаний в случае утечки данных в течение 72 часов (к примеру, если бы этот закон был принят на год раньше, то компания Uber, заплатила бы огромные штрафы, из-за того, что оповестила граждан лишь через год спустя о том, что хакеры, похитили данные 57 млн. клиентов и водителей данного сервиса);
Кроме того, компании будут обязаны запрашивать согласие и подтверждение клиента на хранение и обработку личных данных.
Компании, которые имеют отношения к персональным данным граждан ЕС обязаны назначить представителя Data Protection Officer (DPO). Это может быть, как физическое, так и юридическое лицо, однако оно должно быть уполномочено в отдельном письменном документе.
Такое лицо, должно сотрудничать с субъектами персональных данных (предоставлять ответы на их запросы, сотрудничать с надзорными органами) и будет нести ответственность в случае нарушений в данной сфере.
Но, DPO не требуется, если обработка данных осуществляется эпизодически, в маленьких объемах и не касается специальных категорий персональных данных.
Регламент не применяется к обработке персональных данных физическим лицом в ходе личной или бытовой деятельности, а, следовательно, никоим образом не связанной с профессиональной или же коммерческой деятельностью.
Кто будет контролировать защиту персональных данных?
GDPR распространяется на все государства члены ЕС. Каждое государство должно создать независимый надзорный орган, который будет принимать жалобы и осуществлять взыскания за нарушения.
Надзорный орган в каждом государстве-члене будет сотрудничать с другими надзорными органами, предоставляя взаимную помощь и организовывая совместные операции.
В том случае, если предприятие имеет несколько месторасположений в ЕС, единый надзорный орган будет для него «руководящим органом», по месту нахождения его «главной резиденции», где происходят основные обработки.
Какая ответственность предусматривается?
За невыполнение правил на компании может накладываться штраф в размере до 20 млн. евро или же 4 % от общего годового оборота фирмы (в зависимости от того, что будет больше).
Кроме того, очень вероятно, что репутация такой компании опустится на несколько ступеней вниз, что в дальнейшем повлияет на ее рейтинги.
Также может применяться и блокировка доступа к сайту в Европейском Союзе.
Кто подпадает под действие Регламента?
GDPR имеет экстерриториальное действие — это значит что под него подпадают все компании, которые имеют связь с персональными данными граждан Европейского Союза. В том числе, если украинские компании имеют дело с гражданами ЕС, они автоматически подпадают под действие Регламента.
Также регламент применяется и если лицо не является гражданином ЕС, но находится на его территории.
General Data Protection Regulation – это в первую очередь переход на новый уровень работы с информацией, а также огромный шаг к повышению уровня доверия партнеров и лояльности клиентов. Разработка Регламента призвана снизить преступность и защитить репутацию граждан.
Услуги юридической компании Доминанта
Оставить комментарий:
Контакты
Выберите город
-
Киев
Ул. Крещатик 7/11 офис 611
-
Одесса
пр-т Гагарина, 12А,БЦ «Шевченковский», эт. 12