Вестник цифровой трансформации

Что надо знать о GDPR
Что надо знать о GDPR

Компании, ведущие бизнес в странах ЕС и обрабатывающие персональные данные их граждан, должны выполнить требования GDPR к 25 мая 2018 года

Источник: europa.eu


15:18 15.08.2017  |  Майкл Надье | Рубрики Индустрия 8928 просмотров



Нормы общего регулирования защиты данных коренным образом изменят процессы обработки, хранения и обеспечения безопасности клиентских данных в Евросоюзе.

В апреле Европейский парламент принял нормы Общего регулирования защиты данных (General Data Protection Regulation, GDPR). От бизнеса требуют обеспечить защиту персональных данных и конфиденциальности граждан Европейского Союза при выполнении транзакций внутри государств, входящих в ЕС. Вместе с тем GDPR регулирует пересылку персональных данных за пределы Евросоюза. Компании, ведущие бизнес в странах ЕС и обрабатывающие персональные данные их граждан, должны выполнить соответствующие требования к 25 мая 2018 года.

Положения эти согласованы между всеми 28 странами Евросоюза, а значит, компании должны соблюдать внутри ЕС единые стандарты. Требования этих стандартов исключительно высоки и большинству компаний понадобятся значительные инвестиции в реализацию и администрирование необходимых мер. (Подчеркнем, что эти требования распространяются и на многие российские компании, которые могут даже и не подозревать об этом; например, отечественный интернет-магазин может оказаться «оператором» клиентских данных посетившего его гражданина ЕС, а потому должен надлежащим образом обрабатывать, хранить и защищать их. — Прим. ред.)

GDPR содержит 99 статей, которые определяют требования и права, предоставляемые гражданам ЕС, операции и структуру норм регулирования, а также штрафные санкции. Наиболее существенное влияние на бизнес окажут несколько статей.

Статья 5: обработка и хранение персональных данных. Все персональные данные должны обрабатываться прозрачно, в соответствии с действующим законодательством и в целях, определенных их владельцами. Данные разрешено хранить «в форме, позволяющей идентифицировать их субъекта не дольше, чем это необходимо для целей, в которых обрабатываются персональные данные». Все персональные данные должны обрабатываться с учетом требований к безопасности и обеспечению защиты от несанкционированного доступа, потерь и повреждений, с использованием подходящих технических и организационных средств. Указанные средства не регламентированы, но если данные потеряны или украдены, компания может быть обвинена в несоблюдении нормативных требований.

Статьи 6, 7 и 8: согласие. Обработка персональных данных должна осуществляться в соответствии с требованиями законодательства; каждый индивидуум должен дать согласие на использование его персональных данных. Собранные данные должны быть нужны для выполнения задач или транзакций, инициированных индивидуумом. Исключение составляют запросы органов государственной власти.

Статья 15: право доступа. Граждане стран Евроcоюза имеют право знать, какие персональные данные хранит компания, и как они используются.

Статья 17: право на забвение и уничтожение данных. Граждане стран Евроcоюза вправе требовать прекращения обработки и удаления их персональных данных по первому требованию.

Статья 20: право на перенос данных. Граждане стран Евроcоюза имеют право на перенос своих персональных данных из одной компании в другую по запросу.

Статьи 25 и 32: защита данных. Компании должны предоставлять гражданам стран Евроcоюза «разумный» уровень защиты данных и конфиденциальности. Что понимается под «разумным уровнем», неясно.

Статья 35: оценка воздействия. Компании должны проводить оценку воздействия защиты данных с целью выявления рисков для граждан стран Евроcоюза. В оценке необходимо указать, каким образом компания намерена управлять этими рисками.

Статьи 37, 38 и 39: ответственные за защиту данных. В некоторых компаниях необходимо ввести должность ответственного за защиту данных, который будет контролировать выполнение стратегии в области безопасности и соответствие нормам GDPR. Ответственный должен назначаться, если компания обрабатывает или хранит большие объемы данных о гражданах ЕС, обрабатывает или хранит специальные персональные данные, регулярно осуществляет мониторинг субъектов данных либо относится к органам государственной власти. По оценке Международной ассоциации специалистов в области конфиденциальности (International Association for Privacy Professionals, IAPP), в целом потребуется заполнить 28 тыс. таких вакансий.

Статья 50: международные компании. Международные компании, собирающие и обрабатывающие данные граждан ЕС, должны соответствовать нормам GDPR.

Статья 83: штрафные санкции. На компании может быть наложен штраф в размере 20 млн евро или 4% глобального годового оборота, в зависимости от того, какая сумма окажется больше.

- Michael Nadeau. What are the GDPR requirements? CSO. June 29, 2017

Теги: Информационная безопасность Индустрия Персональные данные Евросоюз GDPR

На ту же тему: