В мае 2018 года Европа перешла на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточилась ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании.
Елена Чекаленкова, Руководитель юридического отдела и тендерной группы 
 
Должна ли ваша компания выполнять нормы GDPR?
 
Чтобы разобраться в этом, предлагаем вам ответить на следующие вопросы:
 
1. Головной офис вашей компании находится в Евросоюзе?
2. Головной офис вашей компании находится в стране, которая применяет законодательство ЕС?
3. Ваша компания предлагает услуги/товары гражданам/резидентам ЕС? 
4. Ваша компания занимается исследованием действий лиц на территории ЕС?
 
Если вы согласились хотя бы с одним из этих пунктов, то вам стоит обеспокоиться соблюдением европейских норм.
 
Какие конкретные шаги вы должны предпринять?
 
1. Заручиться согласием на обработку cубъекта персональных данных. Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения. 
 
2. Вести учет всей деятельности по обработке персональных данных: 
 Кто осуществляет обработку ПД;
С какой целью;
Какие данные обрабатываются (обратите внимание, что в Законе о ПД и в директиве эти понятия немного разняться. GDPR к персональным данным относит идентификаторы пользователей, что не делает российский закон);
Кто получает персональные данные;
Сроки хранения/удаления/ ПД;
Описание мер безопасности. 
 
3. Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR.
 
4. Необходимо подготовить комплект организационно-распорядительной документации, определяющей процедуру защиты персональных данных. Документы могут пригодиться для дальнейшего предоставления их в контролирующий орган. В этой части наш и европейский закон похожи, за исключением раздела о сообщении сведений об утечке. GDPR накладывает обязанность по уведомлению контролирующего органа о факте утечки, сведениях для обратной связи, возможных последствиях и мерах по устранению последствий.
 
6 основных принципов обработки данных по GDPR
 
  • Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
  • Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом). 
  • Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки. 
  • Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
  • Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки. 
  • При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения. 
 
Касательно итогов, которые опубликовал Европейский совет по защите данных (EDPB), почти за год было открыто около 206 тысяч дел о нарушении безопасности ПД. Большинство из них по жалобам частных лиц. По словам экспертов большую половину штрафов заплатит Google.  Из громких дел также хотелось бы выделить British Airways.  Ей грозит максимальный штраф из-за уязвимости в платежной системе и утечке данных кредитных карт. 400 тысяч граждан Евросоюза пострадали от утечки сведений о своих идентификаторах. Ожидаемый штраф 20 миллионов евро или 4% годового оборота, в зависимости от того, какая сумма окажется больше. 50 миллионов жителей Евросоюза также пострадали от Facebook. В настоящее время уже возбуждено около 10 дел из-за нарушения GDPR.
 
2018 год был первым после введения директивы и у Европейского регулятора не было цели оштрафовывать нарушителей. Большинство решений носили характер предписаний об устранении нарушений. В 2019 году GDPR проявит себя в полной мере, а регуляторные органы станут действовать более решительно, как следствие, специалисты прогнозируют увеличение количества громких дел. 
 
GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Поэтому, при организации мероприятий по защите персональных данных в вашей компании советуем вам учесть наши рекомендации и взять на вооружение европейские нормы.