Защита информации в современный век имеет крайне важное значение. По всему миру страны принимают законы о защите информации, чтобы предоставить гражданам контроль над использованием их личной информации и свести к минимуму риск ее недобросовестного получения. В Евросоюзе основным документом, регулирующим защиту персональных данных, является регламент GDPR.
GDPR — это свод правил, касающихся сбора и обработки персональных данных резидентов ЕС, который регулирует отношения между теми, чьи данные собирают и обрабатывают, и теми, кто их собирает и обрабатывает.
Интересно:
Согласно самому Регламенту, персональными данными являются все сведения о конкретном лице, которые могут помочь его идентифицировать (имя, адрес электронной почты, телефон, IP, местонахождение и т.д.).
GDPR предусматривает сбор и обработку таких данных пользователей только в тех случаях, когда пользователь дал на это свое однозначное согласие.
КРАТКАЯ СВОДКА
На кого распространяется GDPR?
GDPR распространяют свое действие на все компании, которые обрабатывают персональные данные субъектов ЕС вне зависимости от того, где такая компания зарегистрирована и ведет деятельность. То есть, если компания зарегистрирована в России, но собирает и обрабатывает данные граждан ЕС, то российская компания должна соответствовать требованиям GDPR.
Учитывая, что огромное количество услуг предоставляются в онлайн-формате на общемировой основе, каждая вторая компания делает рассылки, а среди клиентов всегда может оказаться гражданин ЕС, значение GDPR приобретает особое значение.
А значит все компании, которые работают или могут работать с персональными данными граждан ЕС, должны соблюдать требования GDPR.
Интересно:
Важное значение также имеют два термина из Регламента: data controller (контролер данных) и data processor (процессор данных). Контролер собирает данные, а процессор (обработчик) — обрабатывает их.
Принципы GDPR
Общий регламент по защите персональных данных основан на ключевых принципах, перечисленных в статье 5:
- Принцип законности, справедливости и прозрачности;
- Принцип ограничения целью (сбор и обработка персональных данных осуществляется для четко сформулированных целей);
- Принцип минимизации данных (сбор и обработка минимально необходимых для достижения цели данных);
- Принцип точности;
- Принцип ограничения хранения данных (не хранить данные дольше, чем необходимо);
- Принцип целостности и конфиденциальности;
- Ответственность контролера за соблюдение всех вышеназванных принципов.
Ознакомиться с основными положениями документа на русском языке.
Санкции за несоответствие требованиям GDPR
За несоответствие GDPR предусматриваются штрафные санкции. В статье 87 Регламента содержатся общие условия наложения штрафов.
Размер административного штрафа оценивается в каждом конкретном случае и зависит от таких факторов, как характер, серьезность и продолжительность нарушения; степень причиненного ущерба; наличие умысла; действия, предпринятые контроллером или процессором для уменьшения ущерба; предыдущие нарушения контролером или процессором; категории персональных данных, затронутых нарушением; любые смягчающие/отягчающие обстоятельства и др.
Так, в некоторых случаях, на компанию может быть наложен штраф в размере до 10.000.000 евро или до 2% от общего мирового годового оборота за предыдущий финансовый год. А в других случаях — до 20.000.000 евро или до 4% от общего мирового годового оборота.
Заключение
Соблюдать GDPR необходимо всем, кто работает с персональными данными хотя бы одного резидента ЕС. Знание положений Регламента по защите персональных данных и его беспрекословное соблюдение позволит избежать больших штрафов.
Каждая компания, занимающаяся сбором и обработкой персональных данных, должна следить за осведомлённостью и выполнением требований GDPR со стороны всех сотрудников.
Если у Вас возникли вопросы касательно применения положений GDPR или требуется иное содействие, мы будем рады Вам помочь. Напишите нам Ваш вопрос, и специалисты GFLO Consultancy ответят в ближайшее время.
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК
