На сегодняшний день вступила в силу новая модель обрабработки персональной информации (GDPR –General Data Protection Regulation) вместо Директивы 95/46/Евросоюза действующей с 1995 года. Эта модель наделяет представителей ЕС инструментарием по управлению персональной информацией. В то же время усиливается значимость при нарушение этих требований, а неустойки достигают десятков миллионов евро либо процентную величину от валового дохода предприятия.

Модель GDPR обладает масштабным действием и применима во всех компаниях, которые работают с  персональными данными граждан и резидентов Евросоюза, а так же не зависит от локализации этой компании. Это относится и к представительствам, и к филиалам. Кроме обработки информации еще употребляется такое положение как мониторинг поведения субъектов данных, создающее еще один критерий условий.   Модель GDPR используется компаниями, которые существуют за границами Евросоюза, в случае, когда они осуществляют контроль за поведением жителей Евросоюза.

Такой контроль охватывает:

  • Наблюдение за представителями Евросоюза в сети интернет;
  • Применение инструментов работы с информацией для группировки отдельных индивидов и их позиции к чему-либо.

Так же выделяются понятия Data controller и Data processor.

Data controller имеет большую ответственность и принимают решения о персональних данных, а Data processor являются исполнителями. Как реальный пример, облачный сервис, используемый работниками, на котором хранятся данные клиентов является Data processor, а вы – Data controller.

В законе прописано: «Персональные данные – это любые сведения, позволяющие идентифицировать личность». Понятие весьма широкое и мы понимаем, что даже IP адрес к ним относится. Стоит добавить, что выделяют группы персональных данных, относящиеся к приватным. Такая информация подразумевает такие идентификаторы как экономические, генетические, культурные, умственные и социальные.

Выделяют шесть критериев обработки данных:

  • Правомерность и ясность. Персональная информация должна  подвергаться обработке легально и справедливо. Всю информацию нужно излагать максимально ясно и понятно;
  • Целевое назначение. Информация будет использована только для целей, заявленных компанией;
  • Минимум информации. Информацию стоит консолидировать в масштабах, не превышающих цели для обработки;
  • Достоверность. Недостоверные данные подлежат уничтожению;
  • Срочность хранения. Информация будет храниться продолжительностью не превышающей необходимую для этой цели;
  • Безопасность данных. При обработке информации должна быть обеспечена защита от недоброжелателей.

Основные требования:

  • Предприятия должны извещать компетентные органы о любых нарушениях в срок 72 часа с момента выявления;
  • Права физических лиц в GDPR. Представители Евросоюза могут удостоверяться о факте обработки их персональной информации, имеют право настаивать  на прекращении обработки данных, а так же другой информации касательно персональных данных. В модели GDPR есть понятие  «право на забытье» (right to erasure, right to be fogotten) и оно позволяет удалить информацию и обезапаситься от утечки данных третьей стороне.
  • Перенос данных (right to data portability). Суть этого права в том, что субъект имеет право потребовать передать копию личных данных другой стороне;
  • GDPR диктует требования для получения согласия на обработку информации. Согласие должно быть четким и прозрачным, а также иметь возвратную силу и быть получено без принуждения.
  • Что касается детской категории, то их данные требуют более детальной защиты. Согласие на обработку делегируется родителям. Возрастная граница в Евросоюзе до 16 лет.
  • Контролер процедуры по защите данных должен назначаться добровольно во всех компаниях, проводящих  масштабную обработку информационных данных. Этот работник проходит регистрацию у национального регулятора.

Если ваша компания попадает под действие европейскых норм, либо будете налаживать бизнес в страны Евросоюза,тогда вам не помешает провести аудит методов и средств обработки данных, применяемых в компании. Так же оценить уровень безопасности своих ресурсов. В случае необходимости и соответсвия GDPR, внедрить актуальные инструкции и провести обучение коллектива и предусмотреть схемы откликов на  запросы европейских управляющих органов.

Помощь в внедрении, [email protected]