Опубликовано

Legal Alert: новый регламент ЕС о защите персональных данных

GDPR

25 мая 2018 года в ЕС вступил в силу новый Регламент о защите персональных данных. Кратко его называют GDPR (по английской аббревиатуре названия). Это один из самых важнейших законов за последнее время, так как он вводит новые требования относительно использования и защиты персональных данных. Еще значимее то, что этот закон распространяется не только на европейские компании и граждан, но и на иностранных лиц, которые используют личные данные граждан ЕС.

На кого распространяется GDPR?

Новый Регламент принят на территории Европейского Союза и защищает личные данные граждан Европейского союза. Он имеет экстра территориальный характер, то есть регламенту обязаны подчиняться любые компании и лица, которые используют персональные данные граждан ЕС в коммерческих целях. Например, компания зарегистрирована в России и на своем сайте предлагает товары с доставкой в Европу. Соответственно, если компания получает данные европейских потребителей, то она должна подчиняться GDPR в отношении граждан ЕС.

Какие требования содержатся в европейском регламенте о защите персональных данных?

Компания, которая использует, обрабатывает и хранит персональные данные граждан ЕС, должна внедрить определенные технические и организационные меры для выполнения требований ЕС. К таким мерам относятся ведение политики защиты персональных данных, уведомление надзорных органов при нарушении использования персональных данных, внедрение технических средств защиты, получение согласия от субъектов персональных данных, назначение ответственных лиц в компании.

Для соответствия GDPR компаниям необходимо разработать политику конфиденциальности, о которой необходимо информировать своих клиентов и подрядчиков. Также необходимо получить однозначное согласие на обработку персональных данных. В компании должны действовать внутренние политики, к которым относятся реестр действий по обработке персональных данных, реестр нарушений в сфере персональных данных, инструкции и другие документы. 

Какие должностных лиц необходимо назначить для соответствия GDPR?

Если компания обрабатывает значительно количество персональных данных, то компания обязуется назначить своего представителя в ЕС (даже если компания не зарегистрирована в ЕС). Второе должностное лицо – ответственный за защиту данных (data protection officer), чья контактная информация должна быть доступна субъектам персональных данных. При этом ответственный за защиту данных может быть как сотрудником компании, так и сторонним лицом.

Какие предусмотрены штрафы за нарушение GDPR?

За нарушение отдельных положений GDPR предусмотрены штрафы – до 20 млн евро или до 4% от общего годового оборота компании за предыдущий финансовый год, в зависимости от того, какая сумма больше.

Рекомендации

Мы рекомендуем провести анализ персональных данных, обозначить виды персональных данных, определить цели использования персональных данных. На основании внутреннего анализа необходимо задокументировать процесс обработки персональных данных, а также порядок действий, в случае нарушений. Клиенты должны быть ознакомлены с целями обработки персональных данных, со сроком хранения персональных данных, им должны быть известны контактные данные ответственных лиц в компании.