Новая эра в защите данных GDPR
GDPR – Постановление Европейского Союза №2016/679 принятое Европейским парламентом, совместно с Советом Европейского Союза и Европейской комиссией для усиления и унификации защиты граждан в пределах Европейского Союза.
Постановление Европейского Союза №2016/679 принято 27 апреля 2016 года.
Документ регулирует оборот и экспорт персональных данных за пределы ЕС (Российский аналог – трансграничная передача персональных данных в 152 ФЗ РФ).
GDPR направлен на усиление самостоятельного контроля гражданами и резидентам ЕС за их личными данными, а также направлен на упрощение нормативного регулирования обмена персональными данными для международного бизнеса и объединения регулирования оборота персональных данных в рамках ЕС.
Сейчас оборот персональных данных в ЕС регулирует Директива 95/46 / EC) [2] от 1995 года, требующая от правительств государств входящих в ЕС принятия специальных законов по защите данных граждан ЕС.
GDPR вступит в силу с 25 мая 2018 года после двухлетней подготовки и перехода на новые стандарты. Постановление отменит действующую директиву 95/46 / EC) [2] от 1995 года и будет действовать на всей территории ЕС являясь обязательным к применению всеми государствами членами ЕС.
Новые правила будут применять регистраторы доменных имен в ЕС сообщает корпорация ICANN. Письмо содержит результаты голосования регистратур CENTR и свидетельствует об их готовности скрыть часть публикуемых данных Whois для соблюдения требований General Data Protection Regulation.
Как повлияет GDPR на российские компании?
Новые требования GDPR распространяются на компании имеющие соглашения с гражданами или лицами находящимися на территории ЕС. Если российская компания имеет соглашения с гражданином ЕС или получает информацию о гражданах ЕС, в соответствии с критериями предъявляемые правилами, на компанию распространяются правила GDPR.
Условия применения регулирования GDPR к российским компаниям:
- GDPR распространяется на операции по обработке
персональных данных в контексте присутствия на территории
ЕС их оператора или обработчика, независимо от того,
производится ли такая обработка на территории ЕС или нет; - Действие GDPR распространяется на «обработку персональных
данных, находящихся на территории ЕС субъектов, которая
осуществляется оператором или обработчиком, не имеющим
присутствия на территории ЕС, в тех случаях, когда такая
деятельность по обработке относится к:
► Предложение товаров или услуг находящимся на территории ЕС
субъектам персональных данных как на возмездной, так и на
безвозмездной основе;
► Отслеживание действий пользователей при условии, что таковые
осуществляются в пределах ЕС.
*Регулирование GDPR не связано с гражданством ЕС, под защиту GDPR попадают любые лица которые находятся на территории ЕС.
*Формулировка «предложение товаров и услуг находящимся на территории ЕС субъектам персональных данных» главным образом нацелена на сайты интернет магазинов, которые не имеют физических офисов на территории ЕС.
Compliens GDPR
► аудит соответствия требованиям GDPR
► Анализ текущих процессов обработки персональных данных (ПДн) на предмет:
► определения целей обработки
► минимально необходимого для достижения целей обработки набора персональных данных, а также
типов обрабатываемых ПДн
► определение юридической законности для обработки ПДн (особенно важно при использовании
больших данных – big data и внешних источников ПДн, таких как социальные сети)
► определение сроков хранения
► выявление задействованных информационных систем
► определение типов получателей ПДн (извне организации), включая транграничную передачу данных, а
также юридическое обоснование передачи ПДн вовне
► Пересмотр существующих и планируемых к внедрению информационных решений и процессов на предмет
соответствия концепциям проектируемой конфиденциальности и конфиденциальности по умолчанию
(privacy by design & by default)
► Определить необходимость в назначении ответственного за защиту данных (Data Privacy Officer) и решить,
как будет организована внутренняя система управления защитой данных
► Внедрение новых, специфичных для GDPR процессов (по оценке рисков нарушения конфиденциальности,
по уведомлению регулятора о выявленных фактах нарушения), политик и процедур
► Провести оценку рисков нарушения конфиденциальности (Data Protection Impact Assessment – DPIA) для
критичных процессов обработки ПДн
Ссылка на документ https://gdpr-info.eu/art-20-gdpr/
