GDPR – защита персональных данных

Что такое персональные данные?

Это информация, которая позволяет идентифицировать человека. К примеру, это может быть имя, фамилия, адрес, паспортные данные, идентификационный код и др.

Регламент дополняет, такую информацию внося в персональные данные – местонахождение и онлайн – идентификаторы (cookies, IP-адреса).

Почему защита персональных данных столь важна?

Еще в XX веке в западных странах было довольно широко распространённым преступление среди мошенников под названием «identity theft» — кража личности. Преступления при котором незаконно использовались данные граждан для материальной наживы. Это было связанно с предоставлением удаленных услуг, в частности выпуска кредитных карт и выдачи кредитов. Для подтверждения личности у клиентов операторы запрашивали только SSN (Social Security number), в Британии это NINO (National Insurance number).

Сегодня с угрожающими темпами развития технологий «кража личности» стала еще более доступной для мошенников. Поэтому и возникает необходимость идти в ногу с глобализацией и постоянно придумывать новые способы защиты персональных данных.

Что подразумевает под собой GDPR?

GDPR – это по сути правила пользования персональными данными, которые предусматривают четкие процессы сбора и использования данных, в случае нарушения которых компании должны будут выплатить штраф. 

Регламент направлен на то чтобы дать контроль гражданам над собственными данными и призван укрепить их доверие к сервисам в сети.

Прежде всего у граждан ЕС, появляются такие права, как:

— право доступа, это значит, что у пользователей появится право требовать от компаний полную копию их личных данных, что хранятся на серверах компаний;

— право на забвение, когда граждане могут подать запрос об удалении информации о них, а также отказаться от их распространения;

— право пользователя на перемещение или изменение информации о себе (к примеру, когда гражданин начинает пользоваться медицинскими услугами другой клиники, он может попросить перенести свои данные с одной клиники в другую);

— уведомление клиентов компаний в случае утечки данных в течение 72 часов (к примеру, если бы этот закон был принят на год раньше, то компания Uber, заплатила бы огромные штрафы, из-за того, что оповестила граждан лишь через год спустя о том, что хакеры, похитили данные 57 млн. клиентов и водителей данного сервиса);

Кроме того, компании будут обязаны запрашивать согласие и подтверждение клиента на хранение и обработку личных данных.

Компании, которые имеют отношения к персональным данным граждан ЕС обязаны назначить представителя Data Protection Officer (DPO). Это может быть, как физическое, так и юридическое лицо, однако оно должно быть уполномочено в отдельном письменном документе.

Такое лицо, должно сотрудничать с субъектами персональных данных (предоставлять ответы на их запросы, сотрудничать с надзорными органами) и будет нести ответственность в случае нарушений в данной сфере.

Но, DPO не требуется, если обработка данных осуществляется эпизодически, в маленьких объемах и не касается специальных категорий персональных данных.

Регламент не применяется к обработке персональных данных физическим лицом в ходе   личной или бытовой деятельности, а, следовательно, никоим образом не связанной с профессиональной или же коммерческой деятельностью.

Кто будет контролировать защиту персональных данных?

GDPR распространяется на все государства члены ЕС. Каждое государство должно создать независимый надзорный орган, который будет принимать жалобы и осуществлять взыскания за нарушения.
Надзорный орган в каждом государстве-члене будет сотрудничать с другими надзорными органами, предоставляя взаимную помощь и организовывая совместные операции.

В том случае, если предприятие имеет несколько месторасположений в ЕС, единый надзорный орган будет для него «руководящим органом», по месту нахождения его «главной резиденции», где происходят основные обработки.

Какая ответственность предусматривается?

За невыполнение правил на компании может накладываться штраф в размере до 20 млн. евро или же 4 % от общего годового оборота фирмы (в зависимости от того, что будет больше).

Кроме того, очень вероятно, что репутация такой компании опустится на несколько ступеней вниз, что в дальнейшем повлияет на ее рейтинги.

Также может применяться и блокировка доступа к сайту в Европейском Союзе.

Кто подпадает под действие Регламента?

GDPR имеет экстерриториальное действие — это значит что под него подпадают все компании, которые имеют связь с персональными данными граждан Европейского Союза. В том числе, если украинские компании имеют дело с гражданами ЕС, они автоматически подпадают под действие Регламента.

Также регламент применяется и если лицо не является гражданином ЕС, но находится на его территории.

General Data Protection Regulation – это в первую очередь переход на новый уровень работы с информацией, а также огромный шаг к повышению уровня доверия партнеров и лояльности клиентов. Разработка Регламента призвана снизить преступность и защитить репутацию граждан.