Законы ЕС не имеют влияния на жизнь Российской Федерации, однако те компании, которые могут получить данные о гражданах Евросоюза в процессе работы, обязаны соблюдать Генеральный регламенте о защите персональных данных (GDRP ).
По мнению создателей регламента, ужесточение правила защиты персональных данных (ПД) устраняет правовую неопределённость, укрепляя права граждан и облегчая ведение экстратерриториального бизнеса. Все компании и структуры – от интернет-магазинов до вузов, получающие персональную информацию от партнеров, покупателей, сотрудников, обязаны учитывать требования нового документа.
Принципы GDPR:
- Прозрачность и законность сбора ПД.
- Ограничение целей сбора.
- Минимальность собираемых данных.
- Точность информации.
- Управление собственными ПД со стороны субъекта данных.
- Безопасность, информирование субъекта об утечке ПД в трёхдневный срок.
- Защита ПД.
- Ограничение сроков, уничтожение данных после достижения поставленной цели.
- Обработка ПД детей только с согласия законных представителей.
- Подотчетность ответственным за соблюдением регламента лицам.
GDPR вводит понятия:
- контроллер данных – лицо, контролирующее цель и средства обработки ПД;
- процессор данных – лицо, обрабатывающее поступившие от контроллера ПД;
- субъект данных – владелец ПД;
- специальные категории ПД – вторичная информация, дополняющая данные.
Игнорировать регламент затруднительно. Среди клиентов даже маленькой компании может оказаться клиент с двойным гражданством. Поэтому рекомендовано:
- Разослать субъектам старых клиентских баз повторный запрос на обработку персональной информации.
- Ввести уточняющие критерии при заполнении форм на обработку, учитывающих отдельные разрешения на каждую форму ( e - mail , телефон, геолокация, рассылка сообщений и т.п.).
Штрафы за нарушение GDPR огромны, составляя до 4% от годового оборота компании или сумму до 20 млн евро.
В РФ соблюдение регламента желательно, но необязательно. При нарушении пунктов GDPR работа на территории ЕС будет полностью заблокирована до удовлетворения взыскания. Для компаний, имеющих европейских клиентов и партнеров, проще подстраховаться, подстроившись по требования регламента.
Существует вероятность, что Роскомнадзор «подтянет» требования по обработке ПД под европейские, более жесткие стандарты, для унификации и упрощения работы. В России регламентация обработки, хранения и удаления персональной информации граждан зафиксирована в Федеральных законах № 149-ФЗ и 152-ФЗ.
Для европейцев и россиян, имеющих выход на рынок США, требуется не только соблюдать регламент ЕС, но и учитывать местный калифорнийский закон (CCPA ), отличающийся расширенными критериями обработки ПД.
Подробнее: https://myinfoguard.com/zashhita-dannyh/gdrp-ccpa-149-fz-i-152-fz/