Персональные данные: новые правила в Европейском Союзе
Новые правила о защите персональных данных (GDPR) одобрены 14 апреля 2016 и вступают в силу предположительно в мае 2018. Эти правила будут распространятся не только на европейские компании, но и на компании из других стран, которые предлагают товары и услуги в Европейском Союзе.
Эти правила заменяют Директиву Европейского Союза, принятую в 1995 году, которая действует на сегодняшний день. Что нового будет в области персональных данных в Европе?
Во-первых, теперь регулирование может распространяется на компании за пределами ЕС. Правила должны соблюдать любые компании, которые обрабатывают персональные данные в целях предложения товаров или услуг в ЕС (в том числе и бесплатных) или которые мониторят поведение граждан в ЕС. Предложением товаров и услуг в конкретной стране, входящей в состав ЕС, считается использование языка или валюты, которые используются в этой стране, и возможность заказать товары или услуги в этой стране. А мониторингом считается применение специальных технологий, которые позволяют использовать данные о пользователе, чтобы повлиять на его выбор или определить его предпочтения. Так что компании, физически находящиеся за пределами ЕС, но виртуально влияющие на пользователей, находящихся в ЕС, попадают под действие новых правил.
Во-вторых, регулирование предусматривает необходимость получать согласие пользователей на обработку их персональных данных. И при этом на обработку данных с разными целями нужны будут отдельные согласия. Такое согласие должно быть свободным, сознательным и конкретным и может быть отозвано в любой момент. Согласие не будет считаться свободным, если пользователь вынужден дать такое согласие, чтобы получить доступ к сайту, программе или приложению. Исключением являются случаи, когда персональные данные пользователя требуются для исполнения соглашения. А в случаях, когда персональные данные собираются и обрабатываются для маркетинговых целей, пользователь должен иметь возможность не соглашаться со сбором и обработкой его данных. И необходимо будет отдельно обращать внимание пользователя на то, что у него имеется такое право.
В-третьих, у компаний, работающих с персональными данными, появятся новые обязанности. Они должны будут вести учет операций с персональными данными (тип данных и цели для которых они обрабатываются), а также проводить внутренний аудит. А проекты, связанные с использованием персональных данных, должны будут предусматривать исполнение некоторых обязанностей компаниями. Например, обязанность минимизировать использование данных в соответствии с принципом data protection by design (т.е. ограничивать использование данных только определенными целями, использовать по возможности обезличенные данные). Все компании должны будут принять внутренние документы, касающиеся мер, которые нужно предпринимать при нарушении порядка обращения с персональными данными.
В-четвертых, о любых нарушениях, связанных с персональными данными, компании должны уведомлять контролирующие органы в течение 72 часов. Также нужно будет вести внутренний реестр нарушений.
Отдельные положения нового документа касаются трансграничной передачи персональных данных. При передаче данных за пределы ЕС нужно будет сообщать пользователям о связанных с этим рисках. Трансграничная передача персональных данных в рамках компаний одной группы возможна, но при этом все компании, входящие в группу должны иметь обязательные корпоративные правила, касающиеся охраны персональных данных.
Ну и наконец нужно отметить увеличение размера ответственности за нарушения. Максимальный штраф теперь будет составлять либо 20 миллионов евро, либо 4% от годового мирового оборота бизнеса.
Обсуждая новые изменения, европейские юристы отмечают, что компании, работающие с персональными данными, должны будут провести большое количество мероприятий для того, чтобы их деятельность в дальнейшем соответствовала новым правилам. Например, разработать новые внутренние документы, провести внутренний аудит, проверить существующие соглашения с пользователями, провести обучение персонала и назначить ответственных лиц в компании.
© Megamozg