Акция месяца | 8 800 505 88 90

Активировать демодоступ >

Кадровое дело

GDPR — кто обязан применять в России

20 августа 2019
160
Средний балл: 0 из 5

GDPR-регламент вступил в силу в Европе 25 мая 2018 года. Расскажем, какие изменения ждут российские компании, если их услуги ориентированы на международный и европейский рынок, каковы основные принципы обновленных европейских правил по работе с персданными можно применить в организациях на добровольной основе уже сейчас.

Скачайте документы по теме:

Что такое GDPR в Европе

С мая 2018 года вся Европа переходит на новые правила обработки персданных. Они установлены в 28 странах ЕС общим регламентом по защите персональных данных (Регламентом ЕС 2016/679 от 27.04.2016, или GDPR — General Data Protection Regulation). Иными словами, GDPR — новый регламент защиты персональных данных, заменивший рамочную Директиву о защите данных 95/46/ЕС от 24.10.1995.

Экстерриториальный принцип действия по введению новых европейских правил обработки является важнейшим нюансом GDPR. Во многих российских компаниях услуги ориентированы на международный и европейский рынок, поэтому установленные новым регламентом правила следует внимательно изучить. Ответственность за нарушение обработки данных по GDPR ужесточена. Для компаний предусмотрены штрафы до 20 миллионов евро, это около полутора миллиардов рублей, или четыре процента годового глобального дохода организации.

Что понимают под термином персональные данные

К персональным данным относится любая информация об идентифицированном или идентифицируемом физическом лице, то есть субъекте таких данных, если на основании полученных сведений можно прямо или косвенно определить это лицо. К такой информации относится:

  • имя;
  • сведения о местоположении;
  • одно или несколько сведений о физической или физиологической, о генетической, экономической, культурной, социальной идентичности субъекта и так далее.

Определение сведений конфиденциального характера достаточно обширное, например, даже IP-адреса могут расцениваться в качестве персданных. Существует ряд определенных типов сведений, относящихся к категориям конфиденциальных персданных. К такой информации относится расовое, этническое происхождение субъекта, его религиозные, политические, философские взгляды, членство в профсоюзах и так далее. К этой группе относят и биометрические, генетические данные, которые используют для идентификации определенного лица, сведения, касающиеся состояния здоровья, сексуальной ориентации или сексуальной жизни.

Кто обязан применять GDPR: новый регламент защиты персональных данных

GDPR — новый регламент защиты персональных данных — имеет экстерриториальное действие. Он применяется ко всем организациям, обрабатывающим персданные резидентов и граждан ЕС, независимо от того, где находится такая компания. Разумеется, что филиалы, представительства российских организаций, расположенные на территории ЕС, а также компании, услуги которых ориентированы на международный, европейский рынок, должны полностью соответствовать новым европейским требованиям по обработке персданных.

GDPR — что это, когда он должен применяться:

  • если организация расположена в России, но продает товары онлайн или оказывает услуги разного рода пользователям, в том числе из ЕС, обработка персданных должна проводиться по регламенту GDPR;
  • услуги или товары адаптированы на языки жителей ЕС;
  • услуги или товары оплачивают в местных валютах стран ЕС;
  • услуги или товары предоставляют на национальных доменах верхнего уровня, применяемого в странах ЕС.

Все организации, которые обрабатывают персданные европейцев в РФ при реализации онлайн-продаж (например, РЖД, авиакомпании, хостелы, гостиницы и иные учреждения), непосредственно подпадают под действие GDPR, соответственно обязаны соблюдать обновленные европейские правила по обработке персональных данных.

Необходимо учитывать, что помимо непосредственной обработки персданных в GDPR используют понятие мониторинга поведения субъектов данных, это загоняет под действие нового регламента ещё одну категорию субъектов. В частности, GDPR должны применять те организациям, которые созданы за пределами ЕС, если они контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС) в качестве контролера или процессора. Такой мониторинг включает:

  • отслеживание резидентов ЕС в интернете;
  • использование соответствующих методов обработки данных для проведения профилирования отдельных лиц, а также их поведение или их отношение к чему-либо, к примеру, для анализа или для прогнозирования личных предпочтений.

Европейский законодатель разделяет такие понятия, как контроллер данных (data controller), процессор данных (data processor). Контроллер несет большую юридическую ответственность, нежели процессор. По своей сути контроллеры вправе решать, что происходит с персданными, они несут полную ответственность за их обработку. При этом процессоры являются только некими «исполнителями». К примеру, облачная система, которой пользуются сотрудники организации для таких целей, как выполнение поставленных задач или проектов, где хранят конфиденциальные данные клиентов, относится к процессору, а организация является контроллером.

Рассказывает Светлана Шнайдер, директор по персоналу ОАО «Развитие активов», член комитета по трудовому законодательству Национального союза кадровика, практикующий юрист

Каковы основные принципы GDPR

Общие подходы в Европе к обработке персданных сформулированы в виде шести основных принципов:

  1. Законность, справедливость, прозрачность. Персданные должны обрабатываться законно, справедливо, прозрачно. Любые сведения об основных целях, методах, об объемах обработки данных следует излагать доступно и просто.
  2. Ограничение цели. Все данные субъекта можно собирать и использоваться только исключительно в тех целях, которые изначально заявлены компанией (или онлайн-сервисом).
  3. Минимизация данных. Нельзя требовать представить личные данные в большем объеме, чем это требуется для целей их обработки.
  4. Точность. Личные данные, являющиеся неточными, должны быть немедленно удалены или исправлены по первому требованию субъекта.
  5. Ограничение сроков хранения. Конфиденциальные сведения должны храниться в той форме, которая позволяет быстро идентифицировать субъект данных на срок, требуемый для основных целей обработки.
  6. Целостность и конфиденциальность. При обработке конфиденциальных данных субъектов все компании обязаны обеспечить надежную защиту полученных сведений от проведения несанкционированной или незаконной обработки, от несвоевременного уничтожения, повреждения.

GDPR — новый регламент защиты персональных данных: ключевые требования

Уведомление регулирующих органов и субъектов данных в течение 72 часов, если выявлены нарушения целостности конфиденциальной информации. В качестве примера нарушения данного правила можно привести хакерскую атаку на Uber. Хакеры получили доступ к персданным 57 миллионов пользователей. Прессе об этом сообщили спустя один год. При действии регламента GDPR компания не смогла бы избежать огромного штрафа.

GDPR — новый регламент защиты персональных данных: что применить российским компаниям на добровольной основе

Российские компании не обязаны применять регламент GDPR, но при этом необходимо помнить, что даже самое маленькое предприятие никогда не может быть уверено в том, что подписчик или клиент не имеет двух гражданств, одно их которых окажется европейским. Рационально проверить свои клиентские базы еще раз, чтобы убедиться в том, что организация не входит в зону действия европейского регламента.

На сегодняшний день шесть основных принципов GDPR можно взять на вооружение любой компании. Нелишним мероприятием станет пересмотр политики конфиденциальности, внутренних принципов защиты данных, обучение персонала, введение соответствующей документации процессов обработки и так далее.

Новые требования к обработке и хранению персданных весьма серьезные. Для европейцев в этом есть и положительные стороны. Им легче придерживаться единого свода правил, чем постоянно учитывать отдельные нюансы обработки в каждой отдельной стране ЕС. Соблюдение единого регламента позволит небольшим компаниям выйти на международные рынки. Этого же принципа следует придерживаться и российским компаниям, ориентированным на международный или европейский рынок.

Вывод

GDPR — это важный законодательный документ, на основании которого существенно повышается уровень защиты персданных в ЕС и за его пределами. Российским компаниям следует внимательно ознакомиться с новым регламентом, тем более, когда работа осуществляется на европейском или международном рынке. Регламент GDPR помогает восстановить доверие пользователя-потребителя. В свою очередь это позволит малому, среднему или крупному бизнесу максимально использовать свои возможности на едином европейском цифровом рынке. За сохранностью конфиденциальной информации нужно внимательно следить, чтобы предотвратить всевозможные манипуляции со стороны третьих лиц и избежать многомиллионных штрафов, предусмотренных за несоблюдение или нарушение нового европейского регламента по защите персональных данных.

logo
×
Это только для зарегистрированных кадровиков

Файлы для скачивания доступны специалистам по кадрам, которые зарегистрировались на нашем сайте.
Пройдите короткую регистрацию или войдите на сайт под своим логином.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться и скачать файл
×
Профессиональные тесты доступны только после регистрации!

Заполните короткую форму регистрации, чтобы продолжить тестирование на сайте.
Вас также ждет подарок: мы откроем вам доступ к 3 самым горячим статьям этого месяца от лучших экспертов России

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться
×
Пожалуйста, войдите на сайт или зарегистрируйтесь.

Файлы для скачивания доступны только зарегистрированным пользователям.
Пройдите короткую регистрацию или войдите на сайт под своим логином.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
ИЛИ ВОЙТИ ЧЕРЕЗ СОЦСЕТИ
Зарегистрироваться
×
    Пожалуйста, пройдите бесплатную регистрацию.

    Файлы для скачивания доступны только зарегистрированным пользователям.
    Пройдите короткую регистрацию или войдите на сайт под своим логином.


У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
Заказать звонок