Скопировать ссылку
Кто в зоне действия
Сфера действия новых правил GDPR распространяется на все 28 стран ЕС. Но с учетом того, что регламент GDPR экстерриториальный, его соблюдение обязательно для российских компаний, ориентированных на европейский рынок, то есть для тех, кто работает с гражданами и резидентами Евросоюза или хранят данные о них. Даже если у вас всего один такой клиент, требования регламента ЕС 2016/679 соблюдать придётся. Даже самая маленькая российская компания не может быть на 100 % уверена в том, что у одного из субъектов не появится второе гражданство, которое может оказаться европейским.
В частности, GDPR обязаны соблюдать:
- интернет-магазины;
- туристические компании;
- интернет-медиа;
- транспортные компании;
- технологии коммуникации, соцсети;
- банки и системы онлайн-платежей.
Что нужно сделать, чтобы соответствовать правилам GDPR
1. Составить карту персональных данных personal data map. Для этого нужно определить:
- категории физических лиц, чьи данные обрабатываются. Такими физлицами будут не только сотрудники, но и, например, учредители, подрядчики, клиенты, доверенные лица;
- цели сбора, хранения и обработки персональных данных. Если цель изменилась, то продолжать хранить данные нельзя. Данные собираются только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее;
- предмет персональных данных, который указывает на конкретное физическое лицо. Например, такими данными, помимо имени, паспортных и контактных данных, могут быть ИНН, внутренние ID, cookies-метки;
- срок и порядок хранения. Минимальные сроки хранения тех или иных данных прописаны в законодательстве;
- способ утилизации после истечения срока хранения: удаление или анонимизация. При удалении данных легко доказать, что данные не обрабатываются. При анонимизации придется доказывать, что персональные данные были изменены невозвратным способом.
2. Произвести маппирование (data mapping) в информационных системах, чтобы понимать, где и какие персональные данные находятся. Маппировать нужно как электронные документы, так и документы на бумажном носителе.
Что еще помимо сбора и хранения должен делать предприниматель
- проводить мониторинг поведения субъекта данных и его профилирование на анализе личных предпочтений;
- обеспечить безопасность хранения, а в случае утечки информации или несанкционированного доступа, сообщить об этом в течение 72 часов регулятору страны субъекта данных или самому субъекту.
Перенастройка информационных систем часто растягивается на длительное время и стоит дорого. Но еще дороже штраф за нарушение регламента GDPR, который может достигать 20 миллионов евро или 4 % годового оборота компании.
Можно ли исполнять регламент GDPR без согласия пользователя?
Нет, нельзя. Для сбора, обработки и хранения данных необходимо согласие пользователя. Оно должно быть выражено в форме утверждения или активных действий. Согласие будет недействительным, если у пользователя не было выбора: давать или не давать его. К тому же пользователь в любой момент может отозвать свое согласие. Налицо явный конфликт с законом Яровой, согласно которому все «следы» пользователя в телекоммуникации, интернете сохраняются полгода.
Ну и напоследок мантра: «Я не буду помнить ничьих имен, лиц или персональных данных до явного согласия последних».
