GDPR – обработка персональных данных по новым стандартам в Европе

С 25 мая 2018 года в Европе вступит в силу общий регламент защиты персональных данных Европейского союза (EU General Data Protection Regulation, сокр. GDPR). Это обновленные правила обработки персональных данных, принятые 27 апреля 2016 года.

Многие, кто работает с продуктами компаний Google или Facebook уже знакомы с этими изменениями. Компании оповещали своих клиентов по электронной почте. Причем начали делать это задолго до мая, оповещая о ходе подготовки к изменениям и корректировках в документации и работе.

Регламент касается не только непосредственно обработки персональных данных, но и сбора, хранения, и передачи. Действие является экстерриториальным, в частности касается Беларуси, Украины и России.

Что это значит?

Регламент применяется к организациям, которые используют интернет-решения для размещения рекламы и сбора данных в Европе и за ее пределами. То есть если сайты или приложения используются пользователями, которые находятся на территории Европейской экономической зоны то GDPR тоже необходимо соблюдать.

В первую очередь регламент для:

• аутсорсинговых IT-компаний
• приложений, облачных решений, которые работают с персональными данными европейских граждан или организаций
• организаторов мероприятий, медицинских компаний, банков и других

В противном случае невозможность выхода на международный рынок и работы с европейскими клиентами. За нарушение закона предусмотрены штрафы до 20 миллионов евро или 2-4% от годового оборота.

Что вам необходимо предпринять если компания подпадает под действие GDPR?

1. Важно собирать только необходимые персональные данные пользователей.

Собирайте только минимально необходимые вам персональные данные. При чем пользователь должен понимать в каких целях они будут использованы, а непосредственно организация доказать необходимость сбора конкретных данных.

2. Убедиться в наличии согласия на обработку данных

Есть 2 возможных варианта:

• Без согласия, если запрашиваемые данные необходимы для связи с пользователем, заключения контракта
• С согласием, если планируется использовать данные в дополнительных целях. В этом случае необходимо запросить разрешение на обработку персональных данных

3. Проследите, чтобы GDPR соответствовала вся цепочка компаний-подрядчиков.

Все стороны, вовлеченные в процесс должны соблюдать регламент во избежание проблем. В противном случае большая часть ответственности будет на одном из исполнителей, о чем он может даже не подозревать.

4. Весь процесс обработки персональных данных должен быть задокументирован.

Это означает, что организация должна быть готова доказать и подтвердить документально соответствие всем нормам регламента GDPR. Соблюдение всех требований по факту недостаточно, регламент указывает на обязательное наличие документов.

Это значит, что в организации должны быть:

• внутренние правила и процедуры работы с персональными данными
• политика обработки персональных данных
• учетные записи обработки персональных данных
• реестры персональных данных

За подробным разъяснением ситуации с именно вашей организацией и разработкой документов мы рекомендуем обратиться к юристам.