GDPR: основные сведения

17 августа 2018 / By Виктор
  • Home
  • GDPR: основные сведения

С этого года действует GDPR или Регламент. Этот документ оговаривает защищенность персональных данных — ПДн. Какие страны охватывают требования Регламента? Кому необходимо их выполнять? Предусмотрены ли штрафы за несоблюдение нормативов?

Ключевые моменты, определяющие действие Регламента

Документ General Data Protection Regulation, является постановлением Европейского Союза, поэтому считается, что и действует он также на этой территории. Так ли это? Оказывается, нет. Он принят, чтобы упростить нормативную базу на международном уровне, но регулируется ЕС.
В преамбуле речь ведется о предпосылках к принятию соответствующих законодательных норм. Так, в пункте 23 определено, что оператор-обработчик (то есть лицо, которому это было поручено) может продавать какие-либо товары, услуги на территории ЕС. Три основных фактора, устанавливающих соответствие с правилами:
первый — государственная валюта;
второй — упоминание о пользователях;
третий — язык.
Это относится к государствам, которые имеют членство в ЕвроСоюзе. П. 24 преамбулы разъясняет особенности мониторинга действий субъекта персональных данных для последующего анализа, прогнозов предпочтений пользователей и их поведения. Здесь разъяснения касаются отслеживания интернет-пользователей, их профилей.
Статья №2 оговаривает основное условие – правила не относятся к деятельности, не подпадающей под законодательные нормы Европейского Союза.

К каким организациям применим GDPR?

Статья №3 устанавливает, на кого рассчитаны принятые нормы. Исходя из этого, определяют 5 основных критериев их применения.
Первый — работа организации на территории ЕвроСоюза (это может быть филиал либо представительство государства, которое является членом ЕС).
Второй — компания не находится в ЕвроСоюзе, но здесь ведет свою деятельность по обработке персональных данных.
Третий — предложение клиентам товаров с последующей доставкой в ЕС, предполагающие оплату в валюте государства из Союза.
Четвертый — услуги для пользователей на языке страны из Европейского Союза (сюда относится и наличие сайта с информацией на одном из них).
Пятый — собираются и анализируются сведения о посетителях сайтов из ЕС. Впоследствии полученные результаты либо используются самой компанией, либо передаются другим лицам.
Перечисленные критерии не могут применяться в следующих случаях:

  • если работники имеют гражданство одной из стран ЕвроСоюза;
  • если сайт доступен пользователям из ЕС (стат. данные не привязываются к конкретным физическим лицам);
  • если предлагаемые услуги осуществляются за пределами Европейского Союза.

Как контролируется соблюдение Регламента?

Европейский Союз озабочен тем, чтобы защищать права субъектов ПДн. Для этого специально созданы органы – Data Protection Authorities. Их полномочия также оговариваются (часть 1, статья №58):

  1. запрашивание любых сведений для обработки персональных данных;
  2. проведение аудитов защищенности ПДн;
  3. получение от операторов-обработчиков разрешения на использование всей информации, оборудования, средств обработки.

А вот процедуры для контроля государства должны определять самостоятельно. Об этом сказано в части 2 этой же статьи:

  1. выдавать предписания об информировании субъекта о нарушениях нормативов, об уточнении ПДн субъекта либо их удалении;
  2. предупреждения либо замечания оператору-обработчику о нарушении правил GDPR;
  3. наложение административного наказания в виде штрафа;
    требование о прекращении передачи сведений для международных организаций;
  4. требование проведения обработки персональных данных в соответствии с нормами в установленные сроки.

Если компания работает за пределами ЕвроСоюза, то назначается лицо, которое следит за осуществлением контактов между компанией-нарушителем и DPA. Вся ответственность все же лежит на самой компании.
Конкретные суммы административных штрафов нигде не оговариваются. Они должны соответствовать тяжести правонарушения, и в то же время служить мерой предотвращающей подобное в дальнейшем. Величина штрафной санкции устанавливается в индивидуальном порядке.
Еще одной мерой наказания может быть блокирование сайта. Это вполне законный способ для предупреждения вторичных правонарушений.

В чем преимущества?

Соблюдение GDPR необходимо не только для избегания наказаний за их нарушение. Есть и ряд «плюсов»:

  • обеспечение доверительных отношений с клиентами;
  • улучшение информационной безопасности;
  • повышение уровня качества управления информацией (для этого создаются реестры бизнес-процессов, схемы сетей, системы защиты);
  • повышение прозрачности деятельности;
  • сервис-провайдеры могут расширять рынок для предоставления своих услуг.
    Соответствия GDPR может потребовать, например, руководство целой группы организаций, которые обмениваются между собой сведениями.

Резюме

GDPR вступил в действие не так давно. Уже проведен сбор статистики Symantec, согласно которым 80% компаний Европейского Союза не подходят под указанные нормативы.

About The Author

Виктор

Leave a Comment

*Please complete all fields correctly

В блоге представлены не только мои материалы, я делаю композицию из разных материалов, а так же размещаю переводы интересных тем.

Популярные статьи
Комментарии