Компаниям Тарифы Promo: RU | EN
СТОК-МИР: платфлрма для оптовиков

GDPR - регламент Евросоюза по защите данных

25 мая 2018 года начал работать новый Общий регламент Евросоюза по защите личных данных (GDPR). Закон распространяется на все компании, которые обрабатывают личные данные граждан Евросоюза.

Закон обновляет правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Исключительно важным отличием GDPR является экстерриториальный принцип действия новых правил обработки персональных данных.

Штрафы

Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными, одновременно ужесточая ответственность за нарушение правил обработки персональных данных.

Штрафы за нарушение GDPR составляют 2 миллиона евро или 4% от годового оборота компании (начисляется бОльшая сумма из двух вариантов).

Кого за пределами Европы касается GDPR

Закон касается тех компаний, которые на своих сайтах:

  • Предлагают европейским гражданам товары и услуги,
  • Отслеживают клиентское поведение граждан ЕС (помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных).

Признаки, по которым определяют, что целевая аудитория сайта — граждане ЕС:

  • Граждане Евросоюза обозначены на сайте, как целевая аудитория,
  • Сайт написан на одном из европейских языков, в том числе английском,
  • Цены товаров или услуг указаны в валюте стран ЕС,
  • Товары или услуги предоставляются на национальных доменах верхнего уровня стран ЕС.

GDPR распространяется на ситуации, когда компания не просто получает или обрабатывает персональные данные, а намеренно и последовательно собирает их с целью создания профайла пользователя, принимает решения в отношении пользователя, анализирует и предсказывает пользовательские предпочтения на основе этих данных.

Таким образом, установлен обязательный активный элемент для применения новых правил к компаниям вне ЕС; случайного взаимодействия с европейским пользователем для этого недостаточно.

Сегодня, пока нет юридических прецедентов, трудно назвать критерии, которые однозначно бы определяли, занимается сайт активным сбором данных или нет. Юристы полагают, что здесь тоже будет учитываться язык сайта, валюта и целевая аудитория. Соответственно, если целевая аудитория сайта не европейцы, то у компании нет цели активно собирать и анализировать их данные.

Организации, обрабатывающие персональные данные граждан ЕС в России, Украине, странах СНГ при реализации онлайн-продаж (авиа и ж/д компании, гостиницы, хостелы и пр), подпадают под действие GDPR и обязаны соблюдать новые правила обработки персональных данных.

Контроллеры и процессоры данных

Новый закон разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве заказчика, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве исполнителя.

Например, используемые предприятием облачные системы или почтовый клиент, где также хранятся персональные данные европейцев, будет являться процессором данных, а компания-заказчик, соответственно, контроллером.

Контроллер не должен получать информацию без согласия пользователя. В случае нарушения правил хранения или утечки данных он несет всю ответственность.

Если предприятие собирает персональные данные на постоянной основе и это является ключевой деятельностью, то на предприятии должен быть специальный менеджер по обработке персональных данных, обязанный следить за соблюдением закона, инструктировать сотрудников компании и сообщать руководству, если необходимо принять какие-то меры для защиты данных.

Если данные жителей ЕС обрабатывает компания, не зарегистрированная в ЕС — ей нужно назначить своего ответственного представителя, который постоянно находится в Европе. Таким представителем может быть человек или организация.

Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц; или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.

В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.

Что такое персональные данные в GDPR

Персональные данные — это любая информация, относящаяся к субъекту данных (физическому лицу), по которой прямо или косвенно можно его идентифицировать. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

Определение достаточно широкое и дает понять, что E-mail и IP адреса также могут быть персональными данными.

Права субъектов данных

Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.

В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

Физическое лицо может обратиться в любую компанию, которой сообщал свои персональные данные, и потребовать полный перечень имеющейся информации о себе в электронном или бумажном виде. Также можно потребовать удалить все сведения.

Согласие на обработку

GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.

Не рекомендуется использовать по умолчанию поля о согласии с предустановленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя.

Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

Что делать, если компания подпадает под GDPR

  • Обновить политику конфиденциальности в соответствии с новыми требованиями, разместить ее на сайте,
  • Указать в политике все сторонние компании, которые получают от вас персональные данные, дать ссылки на их политики конфиденциальности,
  • Настроить уведомление, что сайт собирает файлы cookie — оно должно появляться сразу при входе на сайт,
  • Добавить во все формы и анкеты для пользователей уведомления о сборе персональных данных. Галочка перед «Я согласен» по умолчанию должна быть снята,
  • Разработать внутренние политики защиты данных, обучить персонал, провести проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрить меры по встроенной системе конфиденциальности,
  • Назначить сотрудника, ответственного за обработку персональных данных,
  • Если персональные данные обрабатываются на постоянной основе, предприятию понадобится ответственный представитель в Европе,
  • Также следует продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных, которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).

Используйте Сток Мир как виртуальную витрину для ваших товаров. Специализация площадки - обувь и одежда оптом дешево.

Вы – поставщик? Вы – производитель? Представляйте информацию о сезонных товарных лотах для привлечения русскоязычных клиентов.

Сток Мир предоставляет отличную возможность поиска новых торговых партнеров. Детская и женская одежда оптом, обувь - все самые привлекательные предложения оптовиков собраны на одном портале.

Каталог

Мы используем cookie. Продолжая просмотр сайта, вы вы принимаете Соглашение об использовании файлов cookies