Спорт новости в ОдессыС 2018 года Европейский Союз ввел в действие регламент по защите персональных данных граждан ЕС. Новые правила касаются всех предпринимателей, которые собирают и обрабатывают персональные данные жителей ЕС, независимо от местонахождения компании. Цель — создать понятное и последовательное регулирование для предприятий, чтобы защитить граждан Евросоюза от нарушений, касающихся конфиденциальности и защиты личных данных. То есть регламент предусматривает расширенное право частных лиц контролировать свои данные и увеличивает ответственность предприятий относительно защиты этих данных. В случае нарушения компании грозит штраф до 20 млн евро или до 4% от годового оборота.
Спустя год в Европе уже были начислены первые штрафы. Самый крупный из них — 50 млн евро — получила компания Google во Франции за недостаточное информирование пользователей при получении согласия на обработку и использование личных данных. В Литве одну компанию оштрафовали на 60 тыс. евро за разглашение личных данных, несоблюдение принципа их минимизации и нарушение об информировании в течение 72 часов. Польская компания получила штраф 200 тыс. евро за несоблюдение обязательства информировать об обработке данных.
Что украинскому бизнесу нужно знать о GDPR
Проще говоря, регламент требует от бизнеса получить четкое согласие от своих клиентов на обработку данных. И убедиться, что клиенты проинформированы о том, что у них есть право на получение ясной и понятной информации о целях обработки данных. Что они знают о своем праве на забвение, т. е. человек может потребовать, чтобы собранные о нем данные были удалены или обработка данных была временно остановлена.
Также регламент предусматривает право на перенос своих данных к другому поставщику услуг (например, при переходе из одной социальной сети в другую или между государственными учреждениями); право знать, были ли взломаны системы, в которых хранятся его данные.
Но самое важное, что регламент обязывает предприятия заботиться о безопасности данных, то есть осуществлять встроенную защиту данных и защиту данных по умолчанию (privacy by design & default). Соблюдение статьи 24 данного регламента нередко начинается с выбора соответствующего поставщика инфраструктуры.
Чем регламент отличается от украинского законодательства
Украинский закон о защите персональных данных основывается на директиве ЕС 95/46/ЕК о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных (директива действовала в Европе до вступления в силу регламента). Применяя данный закон, Украина приближает соответствие своих правовых актов к европейским стандартам.
Следующим шагом было бы внедрение новых требований регламента насчет более широких прав субъекта данных и увеличения ответственности предприятий за соблюдение принципов защиты данных в собственной инфраструктуре.
Важно понимать, что регламент относится к каждой украинской компании, которая обрабатывает данные жителей ЕС. Не имеет значения, являетесь ли вы малым или многонациональным предприятием. Несомненно, сильнее всего регламент затронет отрасли, в основе которых лежит получение и обработка большого объема данных о потребителях, например, интернет-магазины, предлагающие товары, в том числе и жителям ЕС, обеспечивая расчеты в евро, доставку товара и его последующее обслуживание.
Какие изменения нужно вносить в работу с данными
Каждому украинскому предприятию, во-первых, необходимо оценить, для каких целей оно обрабатывает данные жителей ЕС. Очень часто бизнес собирает информацию, которую даже не использует.
Во-вторых, следовало бы провести небольшую ревизию, чтобы узнать, какие данные есть, для чего они собираются, долго ли их следует хранить, нужно ли уничтожать или нет и почему. Ответив на эти вопросы, можно понять, каким образом выполнять регламент (определить, какие имеются данные, срок их хранения, цели обработки) и создать реестр обработки данных. Так предприятие сможет обосновать сотруднику, клиенту, партнеру (субъекту), для чего нужны его данные. Или наоборот: отказаться от сбора определенных данных и больше их не обрабатывать. И важно оценить, кому компания передает информацию. Согласно регламенту передавать персональные данные другим компаниям можно, только предварительно уведомив об этом человека, объяснив ему, для чего это делается, как долго будут храниться данные, будут ли они переданы другим предприятиям или физическим лицам, чтобы, например, обеспечить доставку, будут ли данные переданы в третью страну.
Надзорные учреждения ЕС очень строго относятся к компаниям, обрабатывающим данные с целями, не соответствующими изначальным. Например, если личные данные получаются для исполнения договора, а через некоторое время компания начинает заниматься прямым маркетингом, использовать файлы cookie, передавать данные третьим лицам без согласия конкретного лица, или не гарантирует свободный выбор на ограничение передачи данных третьей стороне. Также важно отметить, что в соответствии с регламентом украинские предприятия, не зарегистрировавшие свою деятельность в ЕС, но обрабатывающие данные жителей ЕС, обязаны (!) назначить представителя в одной из стран ЕС, который был бы контактным лицом по вопросам обработки персональных данных. Взять на себя такую ответственность — это серьезный шаг как для предприятия, так и местного специалиста. Кроме того, необходимо учитывать, что уже сейчас в Европе наблюдается большая нехватка специалистов по защите данных.
Украинским компаниям изначально следовало бы проводить внутренний аудит потока данных и целей их обработки, чтобы выяснить, какие данные жителей ЕС они обрабатывают, для чего и на каком правовом основании. Необходимо пересмотреть формулировки согласия от частных лиц при получении данных, а также договоры сотрудничества с партнерами, задействованными в обработке этих данных. Только проделав такую домашнюю работу, можно быть уверенным, что штрафы в несколько десятков тысяч евро вам не грозят.
источник: delo.ua
SEO продвижение в Одессе
