Hi-Tech

GDPR вступает в силу через неделю — 25 мая: что это такое, кого коснётся и как быстро подготовиться

Так компании готовятся к вступлению в силу Общего регламента по защите данных или General Data Protection Regulation (GDPR), которое запланировано 25 мая 2018 года. Заметили, что в последнее время вам на почту приходят уведомления от различных сервисов об изменениях в правилах обработки персональных данных?

Если вы уверены что GDPR не имеет к вам и вашей компании никакого отношения, дальше можно не читать. GDPR вводит новые правила обработки персональных данных и имеет экстерриториальное действие — распространяется на все компании в мире, которые обрабатывают персональные данные граждан Европейского союза (ЕС). Не говоря уже о хостелах и отелях. Строго говоря, этим летом под GDPR попадёт каждый паб в Саранске, который примет к оплате кредитку датского викинга в день игры датчан против перуанцев 16 июня.

Ниже рассмотрены основные особенности GDPR, приведены несколько полезных инструментов и даны практические рекомендации.

Особенности GDPR

Но главных особенностей две. GDPR заменяет собой Директиву 1995 года и вносит много изменений в правила обработки персональных данных.

Помимо самих европейских компаний, GDPR также распространяется на организации во всём мире: Во-первых, GDPR действует далеко за пределами ЕС.

  • осуществляющие обработку ПД европейских граждан в связи с реализацией товаров или услуг;
  • или осуществляющие мониторинг поведения европейских граждан.

Во-вторых, GDPR предусматривает космические штрафы — от €10 до 20 млн (или от 2 до 4% от глобального оборота) в зависимости от вида нарушения.

Любопытно, что оригинальный текст документа состоит всего из 99 содержательных статей и более 150 пунктов преамбулы, разъясняющих применение норм GDPR.

Персональные данные

Так, введён термин «идентификатор», с помощью которого субъект данных может быть идентифицирован (имя, данные о местоположении и так далее). Само определение «персональных данных» не претерпело особых изменений по сравнению с Директивой 1995 года, но было уточнено.

Положение об «идентификаторе» в GDPR

Из положений преамбулы и комментариев экспертов можно сделать вывод, что это положение направлено на ситуации, когда субъект данных может быть идентифицирован путём триангуляции различных данных, которые в отдельности не позволяют установить личность.

Контролёры и процессоры

В отличие от российского законодательства о персональных данных, GDPR выделяет две группы субъектов, которые могут быть вовлечены в обработку персональных данных: контролёры и процессоры.

Контролирующее лицо (controller) определяет цели и средства обработки персональных данных.

Оператор (processor) осуществляет обработку персональных данных от имени контролёра.

Например, если у вас на сайте установлена форма сбора email-адресов Mailchimp, то вы, как администратор сайта, являетесь контролирующем лицом, в то время как компания Mailchimp из Атланты, штат Джорджия, является оператором собираемых персональных данных.

Однако существенно изменился объём обязательств. Такое разделение не является новшеством и существовало до этого. Теперь GDPR возлагает различные обязательства как на контролирующих лиц, так и на операторов. Раньше оператор персональных данных нёс только договорную ответственность перед контролирующим лицом и не имел прямых обязательств в силу Директивы 1995 года.

Псевдонимизация

Обезличивание даёт ряд преимуществ и является рекомендуемой мерой во многих статьях GDPR. GDPR прямо упоминает о концепции «псевдонимизации» или обезличивания данных. До этого Директива 1995 года прямо не регулировала обезличенные данные, считалось, что такие данные тем не менее остаются персональными.

Назначение ответственного лица в ЕС

DPO может быть привлечён к ответственности за нарушения контролирующего лица. GDPR требует, чтобы контролирующие лица и операторы персональных данных, находящиеся вне территории ЕС, назначали в Европе лицо, ответственное за защиту данных (Data Protection Officer, DPO). Есть исключение — назначать DPO не требуется, если обработка данных осуществляется на эпизодической основе, в маленьких объёмах и не касается специальных категорий персональных данных.

Нужно ли назначать DPO — Secourriel

Оценка воздействия

Рабочая группа сформулировала ряд факторов, которые стоит учитывать при оценке рисков. GDPR предусматривает новую обязанность — проводить оценку воздействия (Impact Assessment) всякий раз, когда организация планирует ввести новый способ обработки данных, который может привести к высоким рискам для субъектов персональных данных.

Права субъектов персональных данных

Отметить можно следующие особенности. GDPR предоставляет субъектам персональных данных стандартный пакет прав.

  • Существенно расширен перечень информации, которую субъекты персональных данных вправе запросить. Со всем перечнем можно ознакомиться в статье 15.
  • Также расширен перечень оснований, когда субъект вправе требовать удаления сведений о его персональных данных — статья 17.
  • Предусмотрены случаи, когда субъект вправе ограничить обработку его данных — статья 18.
  • Введено новое право на «переносимость данных». Субъект данные вправе: получить копию своих персональных данных; беспрепятственно перенести свои данные от одного контролирующего лица к другому; хранить свои персональные данные на личном устройстве и другое — статья 20.

Практические шаги и инструменты

Алгоритм простой.

  • Выяснить, применятся ли GDPR к деятельности организации.
  • Если GDPR применяется, то принять меры по соблюдению требований GDPR.
  • Сделать это можно как своими силами, так и путём привлечения внешних консультантов. В любом случае, если вы приняли решение исполнить требования GDPR, стоит сформировать внутреннюю команду, которая будет включать как минимум одного сотрудника из каждого департамента, работающего с персональными данными.

А вот несколько инструментов, которые помогут самостоятельно оценить риски и принять минимальные меры.

Пригодится для желающих изучать оригинал. Поскольку оригинальный текст GDPR на сайте Европейской комиссии воспринимается сложно, команда Algolia сделала читабельный вариант с возможностью поиска и параллельного просмотра статей преамбулы (например, можно быстро перейти к статье 83 и ознакомиться с факторами, которые будет учитывать регулятор при наложении штрафа).

В этом поможет шаблон «Карты информации» или GDPR Data Map. Если с оригиналом знакомиться времени нет, можно сразу перейти к оценке воздействия GDPR на вашу организацию. С помощью этого инструмента можно собрать информацию из разных департаментов организации и понять, как обрабатываются персональные данные.

Как только намечены основные потоки данных и способы их обработки внутри организации, стоит воспользоваться детальным инструментом от команды Everlaw.

Если вам придётся направлять электронные письма клиентам, то команда SalesTools уже разработала для вас несколько шаблонов.

Для самопроверки можно воспользоваться чек-листом.

#право #инструменты

Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть