Мероприятия

25 мая 2018
25 мая 2018 на всей территории ЕС вступил в силу единый регламент в сфере обработки и защиты Персональных данных – GDPR

25 мая 2018 на всей территории ЕС вступил в силу единый регламент в сфере обработки и защиты Персональных данных – GDPR

С 25 мая 2018 года на всей территории Европейского Союза действует единый регламент в сфере обработки и защиты Персональных данных – General Data Protection Regulation (GDPR). В отличие от российского Федерального закона №152-ФЗ «О персональных данных», GDPR рассматривает в качестве персональных любые данные, прямо или косвенно позволяющие установить личность.

Требования GDPR обязательны для любых организаций, которые работают с персональными данными граждан ЕС. Такими организациями являются:

  • компании финансового сектора,
  • телекоммуникационные компании,
  • ДЗО российских холдингов (торговых, финансовых и пр.), функционирующие на территории ЕС,
  • компании, бизнес которых связан с оказанием услуг потребителям ЕС (авиакомпании, гостиницы, логистические компании, интернет-магазины и пр.).

Согласно требованиям GDPR теперь обязательно:

  • Обеспечение конфиденциальности персональных данных.
  • Уведомление субъектов персональных данных о сборе данных и целях сбора данных, типах и методах обработки.
  • Соблюдение правомерности использования персональных данных, обоснование соответствия законным основаниям для сбора каждой категории персональных данных.
  • Проведение обучения сотрудников соблюдению требований GDPR, в отдельных случаях – наличие штатного специалиста по защите данных.
  • Проведение оценки используемых и новых внедряемых информационных систем с точки зрения потенциальных рисков в области конфиденциальности персональных данных.
  • Проведение аудита системы защиты персональных данных и обновление политик персональных данных.
  • Наличие официального представителя в Евросоюзе по вопросам обработки персональных данных, если у компании отсутствует юридическое лицо, либо нет сотрудников на территории Евросоюза. На адрес этого представителя будут направляться документы как от субъектов персональных данных, так и от регулятора.
  • Регистрация в надзорных органах, регулирующих обработку персональных данных по месту нахождения юридического лица в стране Евросоюза, либо в стране, обработка персональных данных резидентов которой является наиболее существенной при ведении деятельности юридического лица/
  • Уведомление в срок до 72 часов о выявленных инцидентах обеспечения безопасности персональных данных надзорных органов.
  • Уведомление субъектов персональных данных о трансграничной передаче их персональных данных за пределы ЕС и получение их информированное согласия.
  • Реагирование в срок до 30 дней на запросы субъектов персональных данных по обеспечению их прав на доступ к информации, коррекцию, забвение, блокировку обработки, возражение типам обработки, переносимость данных, а также прав, связанных с автоматической обработкой и профайлингом.

Нарушение правил обработки персональных данных резидентов Евросоюза может повлечь за собой штраф до 20,000,000 € или 4% от годовой прибыли организации (в зависимости от того, какая сумма больше). Надзорные органы, кроме того, могут наложить запрет организации на обработку персональных данных, приостановить деятельность организации, запретить руководителю занимать руководящие должности в период 3 и более лет.

Что должно быть сделано в организации для обеспечения соответствия требованиям GDPR?

Должен быть выполнен аудит и анализ:

  • операций по обработке персональных данных с точки зрения добросовестности их осуществления, форм уведомления субъектов персональных данных,
  • правовых оснований обработки, использования, хранения, передачи персональных данных,
  • порядка трансграничной передачи данных (в т.ч. условия и порядок передачи персональных данных в рамках группы компаний, осуществляющих совместный бизнес, в международные организации, в третьи государства и т.п.). 

Должны быть разработаны организационно-регламентирующие документы:

  • формы уведомления субъектов персональных данных, соответствующие требованиям GDPR,
  • внутренние регламенты, определяющие политику в сфере обработки персональных данных, включая назначение ответственного лица по защите персональных данных,
  • процессы и регламенты реагирования на запросы регуляторов Евросоюза, а также субъектов персональных данных,
  • процессы и регламенты обработки персональных данных,
  • документы, предоставляемые субъектам персональных данных при получении таких данных. 

Должны быть реализованы требуемые мероприятия по защите персональных данных:

  • внедрены разработанные процессы, а также требуемые средства и системы защиты персональных данных,
  • проведено обучение персонала по работе с персональными данными,
  • назначен ответственный за обработку персональных данных сотрудник.

Чтобы обеспечить полное соответствие GDPR потребуется доработка как процессов, так и информационных систем организации. Потребуется внедрение систем защиты, контроля и протоколирования обработки персональных данных.

И, в заключение, стоит еще раз отметить, что к сегодняшнему дню организации уже должны обеспечить заказчикам и пользователям информационных систем и приложений:

  • возможность знать и давать согласие на использование и хранение своих персональных данных,
  • наличие информации о том какие данные организация хранит и для чего,
  • возможность отказаться от любой информационной и рекламной рассылки,
  • возможность удалить свои персональные данные из базы данных,
  • информирование об утечке данных, если такая утечка произошла.



в список новостей