Практика применения GDPR

Общее положение о защите данных (GDPR) – это постановление Европейского союза, основная цель которого – защита физических лиц, так называемых субъектов данных, в отношении обработки и свободного перемещения их персональных данных.

Документ был официально опубликован в 2016 году как «Регламент (ЕС) 2016/679 Европейского парламента и Европейского совета от 27 апреля 2016 года» и вступил в силу 25 мая 2018 года.

Почему ЕС заменил существующий Регламент о защите данных Общим регламентом о защите данных? Общее положение о защите данных существует по нескольким причинам. Во-первых, упомянутая Директива о защите данных, или Директива 95/46/EC, хотя и была адаптирована, но больше не подходит для решения проблем с персональными данными в столь стремительно развивающуюся цифровую эпоху.

Руководящее указание ЕС о защите данных существует с 1995 года. Тогда люди почти не пользовались Интернетом. Несмотря на то что с 1995 года были введены дополнительные правила, ЕС посчитал, что пришло время заменить документ.

В начале 2012 года Европейская комиссия заявила, что ЕС должен идти в ногу с развитием цифровой эпохи во многих аспектах, а не только в отношении защиты личных данных. Он также решил, что пришло время реформировать существующую систему правил защиты данных по той же самой причине. Директива о защите данных была ключевой в этих существующих правилах.

Более того, Директива о защите данных была всего лишь директивой, а Общие положения о защите данных – это регламент. 15 декабря 2015 года Европейский парламент, Европейский совет и Европейская комиссия достигли соглашения относительно введения новых правил защиты данных, которые позже станут известны как GDPR и полностью заменят собой Директиву о защите данных.

Читайте также: GDPR: особенности, распространение и влияние на интернет-проекты

В качестве директивы предшественник GDPR применялся в разных странах. ЕС стремился к гораздо более последовательному подходу. Новые правила предназначены для единого цифрового рынка, в котором организации, обрабатывающие персональные данные, знают, что они могут делать с ними, а что не могут. Созданный регламент предлагает нормативно-правовую базу, адаптированную к реальности современного цифрового мира, при этом субъект данных имеет полное право распоряжаться своими личными данными.

Страны, в которых применяется GDPR, – это все государства, входящие в состав ЕС, а также те, которые применяют ту же валюту и говорят на том же языке, что и граждане ЕС. Кроме того, регламент обязаны соблюдать в том числе те страны, которые обслуживают клиентов из ЕС.

Практически все ресурсы, что мы используем в настоящее время в Интернете, собирают наши личные данные, будь то общение в социальных сетях, онлайн-покупки, открытие банковского счета, общение через Skype, заполнение формы на веб-сайте для получения акций, получение карт лояльности от тех или иных магазинов, онлайн-запись к врачам, подписка на новостную рассылку. Этот список можно продолжать бесконечно.

В свою очередь, компании, предоставляющие различные услуги, имеют множество данных о физических лицах. Они их обрабатывают, хранят, собирают, анализируют и обмениваются ими. Несмотря на то что далеко не многие компании владеют абсолютно всеми нашими личными данными, их объединение может привести к очень глубокому и конкретному формированию представления о личной жизни и конфиденциальных аспектах. Это может привести к злоупотреблению их использованием. Кроме того, огромное количество персональных данных используются даже в тех целях, на которые их владельцы не давали своего согласия.

Таким образом, GDPR наделяет граждан правом контролировать использование собственных персональных данных.

Читайте также: Регламент GDPR: штрафные санкции и использование в России

Контрольный список GDPR – это перечень того, что организация должна сделать, чтобы соответствовать требованиям данного регламента. Тем не менее не существует универсально действующего контрольного списка GDPR.

Поскольку каждая организация отличается, имеет разные цели и виды деятельности, а, соответственно, обрабатывает различные типы персональных данных и имеет свои собственные методы работы, процессы и задачи, контрольный список GDPR составляется в сотрудничестве с межведомственной командой, которая должна убедиться, что все риски учтены, все механизмы защиты созданы и организация всегда знает, где находятся личные данные и как было получено согласие на их обработку.

GDPR предусматривает штрафы GDPR до 4% от годового оборота организации или до 20 млн евро. Это не означает, что в случае несоблюдения и/или нарушений безопасности личных данных организациям придется выплачивать именно эти суммы. Это максимальные штрафы.

В некоторых странах ЕС уже были случаи очень высоких штрафов с учетом ВВП, прежде чем GDPR фактически стал подлежать исполнению. Хотя трудно предсказать, какими будут санкции в каждом конкретном случае, понятно, что все будет зависеть от множества факторов, таких как серьезность нарушения или несоответствия, каким образом права субъекта данных были проигнорированы или скомпрометированы, а также что произошло с персональными данными.

Если, например, они передаются на международном уровне без согласия или доступ субъектов к данным систематически блокируется либо просто игнорируется, применяются максимальные штрафы GDPR.

Следование GDPR означает просто соблюдение всех его правил, касающихся действий компании по обработке персональных данных. Нельзя сказать, что это простая задача, учитывая обширный набор правил и множество изменений в GDPR ЕС, по сравнению с его предшественником – Директивой о защите данных 95/46 / EC.

Читайте также: Регламент GDPR: в каких странах он действует?

Читайте также: GDPR. Как отразится на гемблинг-индустрии?