close-btn

Что нужно знать о GDPR и как он повлияет на бизнес

GDPR — это общий регламент по защите данных, который является обязательным к исполнению и предусматривает высокие штрафы для нарушителей

gdpr

Что нужно знать о GDPR и как он повлияет на бизнес. Фото: knowliah.com

Сегодня, 25 мая, после семилетнего процесса подготовки, наконец вступает в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR). Этот документ сильно повлияет на многие сферы жизни и бизнеса: от технологий и медицины до рекламы и банкинга. При этом положения нового регламента касаются далеко не только граждан и компаний-резидентов ЕС.

Редакция PaySpace Magazine предлагает еще раз обратить внимание на основные положения документа и настоятельно рекомендует владельцем бизнеса, который подпадает под регулирование, предпринять необходимые меры.

Основные определения GDPR

Прежде всего следует отметить, что новый регламент существенно расширил трактовку персональных данных.

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн-идентификатор и факторы, характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п.1 ст.4).

Новый регламент регулирует и осуществление компаниями мониторинга поведения субъектов данных. Фото: oabc.org

Представителям бизнеса следует разобраться еще в двух терминах — контроллер данных (data controller) и оператор данных (data processor). Различить их несложно — если ваша организация определяет цели хранения или обработки персональных данных, она является контроллером. Если же организация хранит или обрабатывает эти данные от имени другой организации, то она подпадает под определение «оператора данных». При этом одна компания может выступать в обеих ролях.

Кроме того, новый регламент регулирует и осуществление компаниями мониторинга поведения субъектов данных — например, отслеживание резидента ЕС в сети (в том числе использование cookies) или использование методов обработки данных для профилирования отдельных лиц, их поведения или отношения к чему-либо.

Принципы обработки данных по GDPR

Законность, справедливость и прозрачность — информация о целях, методах и объемах обработки персональных данных должна излагаться максимально доступно и просто.

Ограничение цели — собирать и использовать данные пользователей компании могут исключительно в заявленых и озвученных целях.

Минимизация данных — компаниям запрещено собирать больше данных, чем необходимо для реализации заявленных целей.

Названы принципы обработки данных по GDPR. Фото: martechadvisor.com

Точность — неточные личные данные должны быть удалены или исправлены по требованию пользователя.

Ограничение хранения — срок и форма хранения данных должны соответствовать целям обработки.

Целостность и конфиденциальность — компания, обрабатывающая персональные данные, должна обеспечить их защиту от несанкционированного доступа, уничтожения или повреждения.

Ключевые положения GDPR

GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными:

  • субъект данных имеет право запрашивать подтверждение факта обработки их данных, всю связанную с этим информацию и условия обработки, требовать исправления своих данных в случае неточностей;
  • право на забвение — европейцы могут требовать удаления своих личных данных;
  • право на переносимость данных — компании обязаны бесплатно предоставлять электронную копию персональных данных другой компании по требованию субъекта этих данных;
  • согласие на обработку персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие также считается недействительным, если пользователю не предоставили возможности выбора. Согласие на обработку данных ребенка должны дать родители.

GDPR значительно расширяет права граждан и резидентов ЕС. Фото: ereceptionist.co.uk

Зона действия GDPR

GDPR имеет экстерриториальное действие — это значит, что регламент применяется ко всем компаниям, которые обрабатывают персональные данные резидентов и граждан ЕС, независимо от местонахождения самих компаний. Следовательно, следовать правилам обязаны и представительства зарубежных компаний в ЕС.

Особенно пристально следить за соблюдением новых правил необходимо организациям, которые хранят и обрабатывают большие массивы потребительских данных — а у многих компаний именно эти процессы лежат в основе бизнес-моделей. Таким организациям необходимо назначить ответственного за защиту персональных данных (Data Protection Officer, DPO) для контроля за соблюдением требований GDPR и направить о нем информацию регулятору. В обязанности этого должностного лица входит, среди прочего, уведомление регулирующих органов (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после выявления происшествия.

Facebook запустил ряд инструментов для соответствия GDPR. Фото: technology.inquirer.net

Разумеется, крупнейшие компании мира заблаговременно позаботились о соответствии новому регулированию. В частности, Facebook запустил ряд инструментов, «дающих людям больше контроля за собственной конфиденциальностью» — теперь пользователи могут легко находить, скачивать и удалять определенные данные о себе в соцсети. Компания также заставила каждого пользователя принять новое пользовательское соглашение.

В свою очередь, Apple запустила панель инструментов конфиденциальности, с гордостью отметив, что она собирает гораздо меньше персональных данных, чем конкуренты, и потому не нуждается во введении существенных изменений. Google же просто постепенно обновлял свои продукты и политику конфиденциальности, не привлекая к этому излишнего внимания.

Как бизнесу соответсвовать требованиям GDPR

  • Провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR;
  • Пересмотреть политику конфиденциальности и пользовательские соглашения;
  • Разработать внутреннюю политику защиты данных, проводить обучение сотрудников и проверки их деятельности по обработке данных;
  • Продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных.

Несоблюдение норм GDPR

В случае несоблюдения положений акта предусмотрены штрафы до 20 млн евро или в размере 4 % от годового дохода компании (в зависимости от того, какая сумма больше).

За несоблюдение норм предусмотрены огромные штрафы. Фото: fospha.com

Скорее всего, в ближайшее время состоится множество судебных тяжб, в которых пользователи и компании будут пытаться установить, чья трактовка положений документа правильнее.

ТАКЖЕ ИНТЕРЕСНО: Как обезопасить свой бизнес от утечки информации: 7 советов

хочу получать:

ТОП новости, журналы от PSM7.COM
и билеты на мероприятия, бесплатно!

Материалы по теме