В мае прошлого года в результате длительных дискуссий Европейский парламент принял регламент GDPR. А в мае 2018 он вступит в законную силу. И самым важным моментом для украинского бизнеса здесь является то, что действие документа не лимитировано рамками Евросоюза, а распространяется на все организации, имеющие дело с данными граждан ЕС, и украинские в том числе.

Иными словами, основная цель GDPR заключается в гарантии защиты персональных данных (ПД) граждан ЕС без привязки к тому, на территории какой страны они хранятся. Основное требование к компаниям, которые работают с данными граждан ЕС, — скрупулезно защищать конфиденциальность этих данных, пишет коммерческий директор Information Systems Security Partners (ISSP) Андрей Слободяник на delo.ua.

Кому готовиться к GDPR - это три класса организаций:

  • компании, созданные в ЕС и занимающиеся обработкой ПД европейцев, независимо от физического расположения головного офиса
  • компании, которые не основаны в ЕС, но имеют отношение к обработке ПД граждан Евросоюза в рамках реализации товаров/услуг. В поправках к GDPR уточняют, что под ответственность подпадают предприниматели, которые напрямую реализуют свои товары европейцам. В первую очередь, под прицел попадают онлайн-сервисы (интернет-магазины), продающие свой товар в мультилингво формате и принимающие евро в качестве оплаты, веб-сайт которых имеет домен верхнего уровня государства-члена ЕС (например, использование pl), а также осуществляющие доставку в страны ЕС и использующие таргетированную рекламу, нацеленную на граждан ЕС
  • компании, которые мониторят виртуальные действия граждан Евросоюза: отслеживают их поведение в интернете, обрабатывают ПД для составления "социальных портретов" с целью изучения и прогнозирования их потребительских вкусов (дата-центры).

То есть, главным выводом для украинских предпринимателей должен стать тот факт, что Регламент применяется не только к учрежденным в ЕС организациям, но и к тем, которые просто работают на европейском рынке.

GDPR не обязывает компании внедрять какие-либо конкретные приемы и методы защиты данных. Организации вправе самостоятельно выбирать систему обеспечения безопасности внутренних данных. Главное — конечный результат — надежная защита персональных данных.

Особо важные статьи Регламента

Пожалуй, самыми весомыми пунктами нового регламента, которые следует принимать во внимание украинским компаниям, имеющим отношение к приведенной выше классификации, являются такие положения:

  • наличие представителя компании на территории Евросоюза, главная роль которого — выражать ее интересы в процессе взаимодействия с соответствующим регулятором.
  • наличие официального согласия на обработку ПД: изменения коснулись условий оформления документа на обработку ПД. Первое: у субъектов ПД появилась возможность забрать свое согласие на использование личных данных. И второе: под каждую отдельную цель использования ПД должно существовать отдельное согласие. Общие документы признаются недействительными.
  • согласие несовершеннолетних должно подкрепляться согласием родителей.
  • своевременный доклад о взломе/компрометации ПД: на организации накладывается обязательство сообщать регулятору о случаях взлома. Уведомление должно поступить не позднее 72 часов с момента появления информации о компрометации данных.
  • обязательное назначение ответственного за работу с ПД лица, оценка рисков влияния манипуляций с личными данными на их носителей, учет всех пунктов работы с ПД.
  • расширенные права субъектов ПД: право в любой момент запросить копии ПД; потребовать объяснение целей обработки либо полного забвения ПД.

И конечно же самый животрепещущий момент — это штрафы.

Регламент накладывает на нарушителей максимальные штрафы, при этом полномочия по назначению конкретных сумм переданы местным органам власти государств-членов Евросоюза.

Существует две категории штрафов с учетом глубины и масштаба нарушения:

  • 20 миллионов евро или 4% от годового дохода за нарушение: ключевых положений Регламента, прав субъектов ПД, нормативов передачи личных данных и др.
  • 10 миллионов евро или 2% от годового дохода за нарушения процедуры получения согласия на хранение и обработку ПД несовершеннолетних, за несоблюдение технических норм работы с ПД, за отсутствие представителя в ЕС и др.

Смягчающим моментом является тот факт, что в отдельных случаях вместо штрафа дело может ограничиться выговором. Например, когда регулятор признает правонарушение незначительным.

Хотите первыми получать важную и полезную информацию о ДЕНЬГАХ и БИЗНЕСЕ? Подписывайтесь на наши аккаунты в мессенджерах и соцсетях: Telegram, Twitter, Google+, Facebook, Instagram.

Теги: европейский союз украина штрафы бизнес данные предприниматели защита информации
Просмотров: 761
Загрузка...
Загрузка...