GDPR Новые Европейские тенденции
Многие частные предприниматели, владельцы бизнеса и CEO слышали о новых правилах, которые будут применяться в Европе для защиты персональных данных, однако мало кто действительно понимает, какая опасность для них кроется за этими правилами. В первую очередь, должны насторожиться те субъекты хозяйствования, которые осуществляют свою деятельность, в том числе и во всемирной сети Интернет, на территории Европейского Союза или прямо либо косвенно имеют доступ к персональным данным лиц, находящихся на территории ЕС.
ЧТО ЖЕ ТАКОЕ GDPR
GDPR (General data protection regulation / Общий регламент по защите данных) (далее — «Регламент»). Этот документ придет на смену Директивы 95/46 / ЕС Европейского Парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных» (далее — «Директива»), действующей в настоящее время. Регламент вступает в законную силу с Мая 2018. (Это не так уж и долго …). Многие эксперты считают, что GDPR будет иметь определяющую роль в будущей мировой практике по защите персональных данных.
Основная разницая между двумя вышеупомянутыми документами заключается в том, что Директива предусматривает необходимость имплементации ее положений в национальные законодательства стран-членов ЕС, для надлежащего ее внедрения и исполнения. Регламент же, в свою очередь, является общеобязательным документом без необходимости имплементации его норм в национальное законодательство каждой страны-участницы. Нормы Регламента являются нормами прямого действия.
Что же касается субъектов, которые не зарегистрированы на территории ЕС, то если такой субъект осуществляет деятельность на территории Европейского Союза или в процессе осуществления своей деятельности он прямо либо косвенно получает доступ к персональным данным граждан ЕС или лиц, находящихся на территории Европейского Союза, то в таком случае к нему применяются те же требования GDPR, что и ко всем другим субъектам, которые подпадают под действие Регламента.
ЧТО НОВОГО НЕСУТ ГРЯДУЩИЕ ИЗМЕНЕНИЯ?
Одной из основных идей, которую несет GDPR, является то, что принципы и правила защиты физических лиц в отношении обработки их персональных данных должны осуществляться независимо от гражданства или места жительства лиц, при этом, уважая их основные права и свободы, в частности их право на защиту персональных данных.
Для субъектов, которые не зарегистрированы в Европейском Союзе, но осуществляют обработку персональных данных в рамках ЕС, должны применяться положения GDPR, если они:
- предоставляют услуги или реализуют товары для физическим лицам, находящимся на территории ЕС, независимо от того, являются ли они гражданами ЕС или нет, а также независимо от того, на платной или на бесплатной основе такие действия осуществляются;
- осуществляют отслеживание и мониторинг поведения физических лиц, находящихся в пределах ЕС;
- предоставляют услуги или выполняют работы для компаний, зарегистрированных в ЕС, учитывая тот факт, что услуги и работы будут касаться персональных данных граждан, находящихся в пределах Европейского Союза.
GDPR, как нормативный акт нового поколения, по словам некоторых экспертов, содержит множество положений, которые будут вынуждать работающие в рамках ЕС крмпании осуществлять целые комплексы действий по:
- получению согласия субъекта персональных данных. Стоит сказать, что для некоторых категорий информации, разрешение должно получаться в виде отдельного документа или в формате отдельного действия, при этом, любое согласие субъект персональных данных должен иметь возможность отозвать в любой момент.
- обеспечению механизмов сбора, обработки и использования персональных данных, которые должны быть прозрачны для лиц, чьи персональных данных это касается;
- обеспечение удаления персональных данных по первому требованию владельца таких данных;
- организации документооборота в соответствии с GDPR в отношении сбора, обработки и использования персональных данных;
- своевременному выявлению и принятию соответствующих мер в случае нарушения прав субъекта персональных данных относительно его персональных данных, а также срочному уведомлению субъекта персональных данных о таком нарушении.
Кроме всего вышеперечисленного, для компаний, осуществляющих обработку персональных данных, GDPR предусматривает новые понятия, такие как DPO (data protection officer) и representative.
DPO (data protection officer) — подразумевается инспектор по персональным данным, который в некоторых случаях должен обязательно назначаться в штат компании, работающей с персональными данными.
Representative — подразумевается обязательный представитель (физическое или юридическое лицо), имеющий возможность представлять интересы компаний, которые не зарегистрированы на территории Европейского Союза и не имеют своего филиала либо представительства для возможности коммуникации с местными органами управления по вопросам защиты персональных данных.
Также, в тексте GDPR скрыто много других требований, исследования и применение которых поможет компании избежать рисков в будущем.
Подготовка к GDPR. Правовые аспекты.
Если вы уже поняли что GDPR будет иметь к вам отношение – не стоит медлить. Подготовьтесь заранее. Не откладывайте все на последний момент, ведь процесс адаптации вашего бизнеса к условиям Регламента может занять даже не один месяц. Вы должны четко осознать и провести предварительный анализ того, какие последствия могут вас ожидать в случае несоответствия условий вашего бизнеса требованиям GDPR. Вместе с этим нужно понимать, что штрафные санкции, которые будут применяться к нарушителям GDPR будут колебаться от 10 до 20 миллионов ЕВРО или колебаться от 2% до 5% годового валового годового дохода компании.
Положение GDPR касаются всех без исключения компаний, однако, больше всего нужно сосредоточиться тем компаниям, которые организуют свою деятельность в сфере информационных технологий и осуществляют ее через всемирную сеть Internet, так как их деятельность в большей степени связана с персональными данными чем деятельность любых других компаний.