На страже личной безопасности

0
22
Фото для иллюстрации

В Евросоюзе принято постановление о защите личных данных, цель которого – предотвратить их неоправданное использование и утечку. Регламент 2016/679 вступил в силу 25 мая 2016 года и будет введён в действие 25 мая 2018 года.

Новая рамочная система защиты персональных данных в ЕС была принята после четырёх с лишним лет обсуждения. В апреле 2016 года Европарламент окончательно ратифицировал «Общие положения о защите данных» – GDPR (General Data Protection Regulation), которые заменят действующую Директиву о защите персональных данных и будут непосредственно применяться во всех странах-участницах Евросоюза. Принятие GDPR знаменует собой новую веху в законодательстве ЕС о защите персональных данных, так как они призваны унифицировать правила и создать единый и надёжный механизм по защите данных граждан ЕС.

На кого распространяется система?

Новая система распространяется на следующие категории субъектов:

  • организации, учреждённые в ЕС и осуществляющие «обработку» персональных данных или контролирующие такую обработку;
  • организации, осуществляющие обработку персональных данных европейских граждан в связи с реализацией товаров или услуг;
  • организации, осуществляющие мониторинг поведения европейских граждан в сети интернет, включая последующую их обработку, для составления «профилей» пользователей;
  • организации, учреждённые за пределами ЕС, чья деятельность по обработке персональных данных связана с предложением товаров и услуг (даже безвозмездным) субъектам данных в Евросоюзе.

Права носителей данных

Одной из главных целей Еврокомиссии при разработке новой системы защиты данных было повышение защиты прав граждан. GDPR даёт новые и гарантирует настоящие права физическим лицам, а также устанавливает ограничения для юридических лиц в данной сфере.

В частности, это право лица требовать информацию об обработке его персональных данных, право доступа к данным при определённых обстоятельствах, право исправления неправильных данных, право возражать против обработки данных для целей прямого маркетинга и требовать их возврата.

В этих же целях GDPR обязует организации публиковать корпоративные политики защиты данных в понятном и легкодоступном для пользователей виде. Специальные «иконки» на веб-сайтах будут объяснять, каким образом, кем и под чью ответственность будут обрабатываться персональные данные.

Изменяются условия получения согласия на обработку персональных данных. Согласие должно быть дано свободно, быть конкретным, информативным и однозначным. Запросы на получение согласия должны быть чётко отделены от других условий, а также изложены чётким и понятным языком. Помимо этого, согласие на обработку персональных данных должно быть настолько же легко отозвать, как и предоставить, и оно предоставляется в отношении каждой отдельной цели обработки такой информации.

Обязанности обработчиков данных

Существенное отличием новой системы от её предшественниц – определение прямых обязанностей обработчиков данных. Речь идёт, например, об обязанности вести письменный реестр операций по обработке персональных данных; назначить, если требуется, инспектора по защите данных, представителя в ЕС (если у обработчика нет представительства в ЕС); уведомлять регулятора и самих пользователей об имевших место случаях взлома или компрометации персональных данных (не позднее 72 часов с того момента, как организации стало известно о взломе).

Регламент также содержит обязательство получения согласия детей на обработку их персональных данных и реализации целого ряда мер организационного характера в отношении управления личной информацией, включая оценку воздействия на личность высокорискованных методик по обработке персональных данных, бдительность при выборе субподрядчиков, участвующих в обработке, и учёт всех действий по обработке персональных данных.

При определённых условиях организации обязаны в рамках своей программы отчётности назначать ответственное лицо – инспектора по защите данных (Data Protection Officer). Это будет происходить в том случае, если обработка данных осуществляется государственным органом, если основная деятельность организации требует регулярного и систематического мониторинга субъектов данных или при масштабной обработке специальных категорий данных.

Определение персональных данных

GDPR касается личных данных сотрудников, клиентов, поставщиков и «других людей». Под понятием персональных данных «Общие положения о защите данных» подразумевают: имя и фамилию, пол, возраст, дату рождения, семейное положение, адрес, паспортные данные, IP-адрес и т.д.

«Понятие личных данных в регламенте определяется очень широко. Главным образом это те данные, которые касаются идентифицированных или идентифицирующихся физических лиц. Если предприятие имеет клиентскую базу, обратную связь или анкету пожеланий, адреса электронной почты, фотографии, записи камер наблюдения, программу лояльности клиентов, резюме и прочие подобные данные, то новое постановление ощутимо затронет предприятие», – поясняет ведущий юрист компании Squalio Элина Гирне.

Штрафы

GDPR устанавливает многоуровневые санкции в зависимости от состава нарушения законодательства о защите данных:

  • 20 млн евро или 4% от оборота (большее из указанного) за нарушение требований к международной передаче данных, основных принципов, прав субъектов персональных данных и некоторые другие нарушения;
  • 10 млн евро или 2% от оборота (большее из указанного) за нарушение положений о получении согласия на обработку персональных данных детей, принятии технических и организационных мер для их защиты, назначении представителя в ЕС и др.

В комментариях к регламенту поясняется, что вместо штрафа может быть сделан выговор в тех случаях, когда совершённое правонарушение является незначительным, или наложенный штраф будет чрезмерен (несопоставим с нарушением). Полномочия по определению конкретных сумм штрафов предоставлены национальным органам власти государств-членов ЕС.

Дальнейшие действия

Таким образом, к 25 мая 2018 года организации обязаны привести внутренние процессы в соответствие с новым законодательством. В этой связи должны быть приняты меры организационного, процедурного и технического характера, в рамках которых:

  • организации должны будут доказать, что обрабатывают только те данные, которые необходимы для достижения отдельной цели обработки такой информации;
  • указать, каким образом используются персональные данные на протяжении всего процесса их обработки, кому и каким сотрудникам доступны данные;
  • создать систему слежения, контролирующие сети, систему оповещения для безопасного хранения данных.

«Для применения подобных решений необходимо иметь достаточную производственную мощность, поэтому для малых и средних предприятий проще всего будет достигнуть подобной функциональности, используя облачные услуги для хранения данных. Крупные производители, например, Microsoft и Google, уже работают над достижением такой функциональности в облачных услугах Office 365 и Google G Suite», – отметила Элина Гирне.

Подпишитесь на нашу рассылку и присоединяйтесь к 140 остальным подписчикам.
Производитель спецкабелей Kabex - Пражский Телеграф data-lazy-src=
Предыдущая статьяНе умеете говорить, получайте
Следующая статьяТёмные места прекрасной Праги

ОСТАВЬТЕ ОТВЕТ

Введите Ваш Комментарий
Введите Ваше Имя