General Data Protection Regulation [GDPR] Защита персональных данных граждан ЕС.

GDPR для России General Data Protection Regulation

Новая эра в защите данных GDPR


GDPR – Постановление Европейского Союза №2016/679 принятое Европейским парламентом, совместно с Советом Европейского Союза и Европейской комиссией для усиления и унификации защиты граждан в пределах Европейского Союза.
Постановление Европейского Союза №2016/679 принято 27 апреля 2016 года.
Документ регулирует оборот и экспорт персональных данных за пределы ЕС (Российский аналог – трансграничная передача персональных данных в 152 ФЗ РФ). 
GDPR направлен на усиление самостоятельного контроля гражданами и резидентам ЕС за их личными данными,  а также направлен на упрощение нормативного регулирования обмена персональными данными для международного бизнеса и объединения регулирования оборота персональных данных в рамках ЕС.
Сейчас оборот персональных данных в ЕС регулирует Директива 95/46 / EC) [2] от 1995 года, требующая от правительств государств входящих в ЕС принятия специальных законов по защите данных граждан ЕС.
GDPR вступит в силу с 25 мая 2018 года после двухлетней подготовки и перехода на новые стандарты. Постановление отменит действующую директиву 95/46 / EC) [2] от 1995 года и будет действовать на всей территории ЕС являясь обязательным к применению всеми государствами членами ЕС. 
Новые правила будут применять регистраторы доменных имен в ЕС сообщает корпорация ICANN. Письмо содержит результаты голосования регистратур CENTR и свидетельствует об их готовности скрыть часть публикуемых данных Whois для соблюдения требований General Data Protection Regulation.

Как повлияет GDPR на российские компании?

Новые требования GDPR распространяются на компании имеющие соглашения с гражданами или лицами находящимися на территории ЕС. Если российская компания имеет соглашения с гражданином ЕС или получает информацию о гражданах ЕС, в соответствии с критериями предъявляемые правилами, на компанию распространяются правила GDPR.

Условия применения регулирования GDPR к российским компаниям:

  • GDPR распространяется на операции по обработке
    персональных данных в контексте присутствия на территории
    ЕС их оператора или обработчика, независимо от того,
    производится ли такая обработка на территории ЕС или нет;
  • Действие GDPR распространяется на «обработку персональных
    данных, находящихся на территории ЕС субъектов, которая
    осуществляется оператором или обработчиком, не имеющим
    присутствия на территории ЕС, в тех случаях, когда такая
    деятельность по обработке относится к:
    ► Предложение товаров или услуг находящимся на территории ЕС
    субъектам персональных данных как на возмездной, так и на
    безвозмездной основе; 
    ► Отслеживание действий пользователей при условии, что таковые
    осуществляются в пределах ЕС.

*Регулирование GDPR не связано с гражданством ЕС, под защиту GDPR попадают любые лица которые находятся на территории ЕС. 
*Формулировка «предложение товаров и услуг находящимся на территории ЕС субъектам персональных данных» главным образом нацелена на сайты интернет магазинов, которые не имеют физических офисов на территории ЕС.
Compliens GDPR 
► аудит соответствия требованиям GDPR
► Анализ текущих процессов обработки персональных данных (ПДн) на предмет:
► определения целей обработки
► минимально необходимого для достижения целей обработки набора персональных данных, а также
типов обрабатываемых ПДн
► определение юридической законности для обработки ПДн (особенно важно при использовании
больших данных – big data и внешних источников ПДн, таких как социальные сети)
► определение сроков хранения
► выявление задействованных информационных систем
► определение типов получателей ПДн (извне организации), включая транграничную передачу данных, а
также юридическое обоснование передачи ПДн вовне
► Пересмотр существующих и планируемых к внедрению информационных решений и процессов на предмет
соответствия концепциям проектируемой конфиденциальности и конфиденциальности по умолчанию
(privacy by design & by default)
► Определить необходимость в назначении ответственного за защиту данных (Data Privacy Officer) и решить,
как будет организована внутренняя система управления защитой данных
► Внедрение новых, специфичных для GDPR процессов (по оценке рисков нарушения конфиденциальности,
по уведомлению регулятора о выявленных фактах нарушения), политик и процедур
► Провести оценку рисков нарушения конфиденциальности (Data Protection Impact Assessment – DPIA) для
критичных процессов обработки ПДн
Ссылка на документ https://gdpr-info.eu/art-20-gdpr/
Proright-Legal Services-IT Юридические услуги для ИТ проектов в Интернете