25 мая 2018 года начал работать новый Общий регламент Евросоюза по защите личных данных (GDPR). Закон распространяется на все компании, которые обрабатывают личные данные граждан Евросоюза.
Закон обновляет правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Исключительно важным отличием GDPR является экстерриториальный принцип действия новых правил обработки персональных данных.
Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными, одновременно ужесточая ответственность за нарушение правил обработки персональных данных.
Штрафы за нарушение GDPR составляют 2 миллиона евро или 4% от годового оборота компании (начисляется бОльшая сумма из двух вариантов).
Закон касается тех компаний, которые на своих сайтах:
Признаки, по которым определяют, что целевая аудитория сайта — граждане ЕС:
GDPR распространяется на ситуации, когда компания не просто получает или обрабатывает персональные данные, а намеренно и последовательно собирает их с целью создания профайла пользователя, принимает решения в отношении пользователя, анализирует и предсказывает пользовательские предпочтения на основе этих данных.
Таким образом, установлен обязательный активный элемент для применения новых правил к компаниям вне ЕС; случайного взаимодействия с европейским пользователем для этого недостаточно.
Сегодня, пока нет юридических прецедентов, трудно назвать критерии, которые однозначно бы определяли, занимается сайт активным сбором данных или нет. Юристы полагают, что здесь тоже будет учитываться язык сайта, валюта и целевая аудитория. Соответственно, если целевая аудитория сайта не европейцы, то у компании нет цели активно собирать и анализировать их данные.
Организации, обрабатывающие персональные данные граждан ЕС в России, Украине, странах СНГ при реализации онлайн-продаж (авиа и ж/д компании, гостиницы, хостелы и пр), подпадают под действие GDPR и обязаны соблюдать новые правила обработки персональных данных.
Новый закон разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве заказчика, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве исполнителя.
Например, используемые предприятием облачные системы или почтовый клиент, где также хранятся персональные данные европейцев, будет являться процессором данных, а компания-заказчик, соответственно, контроллером.
Контроллер не должен получать информацию без согласия пользователя. В случае нарушения правил хранения или утечки данных он несет всю ответственность.
Если предприятие собирает персональные данные на постоянной основе и это является ключевой деятельностью, то на предприятии должен быть специальный менеджер по обработке персональных данных, обязанный следить за соблюдением закона, инструктировать сотрудников компании и сообщать руководству, если необходимо принять какие-то меры для защиты данных.
Если данные жителей ЕС обрабатывает компания, не зарегистрированная в ЕС — ей нужно назначить своего ответственного представителя, который постоянно находится в Европе. Таким представителем может быть человек или организация.
Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц; или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.
В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.
Персональные данные — это любая информация, относящаяся к субъекту данных (физическому лицу), по которой прямо или косвенно можно его идентифицировать. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
Определение достаточно широкое и дает понять, что E-mail и IP адреса также могут быть персональными данными.
Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.
В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
Физическое лицо может обратиться в любую компанию, которой сообщал свои персональные данные, и потребовать полный перечень имеющейся информации о себе в электронном или бумажном виде. Также можно потребовать удалить все сведения.
GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.
Не рекомендуется использовать по умолчанию поля о согласии с предустановленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя.
Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.
Используйте Сток Мир как виртуальную витрину для ваших товаров. Специализация площадки - обувь и одежда оптом дешево.
Вы – поставщик? Вы – производитель? Представляйте информацию о сезонных товарных лотах для привлечения русскоязычных клиентов.
Сток Мир предоставляет отличную возможность поиска новых торговых партнеров. Детская и женская одежда оптом, обувь - все самые привлекательные предложения оптовиков собраны на одном портале.