Gdpr новый регламент защиты персональных данных — влияние на рф

Как влияет Gdpr новый регламент защиты персональных данных на российские компании

gdpr новый регламент защиты персональных данных - влияние на РФ

GDPR новый регламент защиты персональных данных, разработанный в ЕС, оказывает влияние также и на некоторые российские компании. Общий (генеральный) регламент о защите персональных данных начал действовать с 25 мая 2018 года, целью его внедрения было усиление и унификация защиты ПД всех лиц в Европейском Союзе.

Предполагалось, что путем унификации регулирования в рамках Евросоюза будет упрощена нормативная база для международных экономических отношений.

Целью данной статьи является выяснение, каких предприяти коснется GDPR — это важно, поскольку регламент затрагивает не только организации, прошедшие регистрацию на территории Евросоюза, но и фирмы, чья деятельность ведется вне ЕС, в том числе и в РФ.

Gdpr новый регламент защиты персональных данных — основные понятия

Прежде чем разбираться, чем грозит игнорирование нового Регламента ЕС российскими компаниями, следует обозначить некоторые понятия:

Субъект данных — физическое лицо, чьи персональные данные подлежат обработке.

Обработчик данных — организация, совершающая обработку данных от имени контролера данных.

Контролер данных — организация, которая собирает данные от резидентов Евросоюза.

Gdpr новый регламент защиты персональных данных с точки зрения российского законодательства

Разумеется, требования Евросоюза, в том числе и новый регламент защиты персональных данных, формально не распространяется на предприятия, зарегистрированные и осуществляющие деятельность на территории России. Причин тому две:

  1. Россия не является страной-участницей Европейского Союза.
  2. Не существует ни одного международного соглашения, которое предполагало бы согласие России на применение порядков GDPR.

Но тему внедрения в ЕС нового регламента следует обсудить, поскольку GDPR уже сегодня оказывает опосредованное влияние на бизнес в нашей стране.

Одно из положений GDPR говорит о том, что организация, подпадающая под действие нового регламента и передавшая персональные данные обработчику, продолжает нести ответственность за соблюдение положений регламента при осуществлении обработки ПР своими контрагентами, в том числе теми, которые не несут обязательств по соблюдению требований GDPR.

Из этого следует, что организации-партнеры, находящиеся в Евросоюзе и передающие на обработку данные лиц, пребывающих в ЕС, будут проводить тщательную оценку рисков, связанных с сотрудничеством с компаниями за пределами Европейского Союза. Ведь, если требования нового регламента, вступившего в силу, будут нарушены, на организации в ЕС будет наложен штраф.

Проблема российских компаний, сотрудничающих с европейскими организациями, заключается в том, что имплементация требований нового регламента возможна для них исключительно при условии полного соблюдения норм действующего законодательства РФ в той части, в которой положения GDPR не противоречат нашим законам. В идеале, необходимо следить за полным соблюдением российского законодательства в сфере персональных данных с принятием во внимание недавно вступившего в силу закона Яровой.

Когда российская компания попадает в зону действия GDPR

Gdpr новый регламент защиты персональных данных будет оказывать влияние на компанию в следующих случаях:

  1. Организация учреждена на территории ЕС.
  2. У компании имеется представительство или филиал на территории Евросоюза.
  3. Деятельность предприятия ориентирована на рынок Евросоюза (предлагает услуги или товары лицам, пребывающим в Евросоюзе).
  4. У организации в ЕС имеется агент (к примеру, агент может на территории ЕС осуществлять судебное представительство).
  5. Организация определяет способы обработки персональных данных или цели их обработки совместно с юридическим лицом из ЕС.
  6. Фирма передала дочерней компании в Евросоюзе данные на обработку.
  7. У организации имеются дочерние компании или филиалы в одной из страны ЕС.
  8. Компания, передавшая организации персональные данные на обработку, соблюдает регламент и требует соблюдения его положений.
  9. Материнской организацией были приняты правила обработки персональных данных, сформированные с принятием во внимание положений нового регламента ЕС.
  10. Внутри группы компаний действуют правила обработки персональных данных, составленные с принятием во внимание GDPR.
  11. Организация отслеживает действия на территории стран Евросоюза субъектов персональных данных, находящихся в ЕС (или поручает подобное отслеживание обработчику персональных данных).

Какие могут быть последствия, если не соблюдать Gdpr новый регламент защиты персональных данных

Для начала выясним, что потребуется сделать российским компаниям, попадающим под влияние нового регламента защиты персональных данных, чтобы соответствовать GDPR:

  • осуществить пересмотр процессов проведения обработки персональных данных с точки зрения соблюдения норм GDPR;
  • процессы, не отвечающие требованиям Регламента, привести в соответствие с его требованиями;
  • отправить на доработку внутренние акты компании, касающиеся обработки персональных данных;
  • провести внутри компании тренинги по GDPR.

Теперь можно озвучить те последствия, к которым приведет несоблюдение требований нового Регламента ЕС компаниями, чья деятельность так или иначе зависит от ЕС:

  1. Ухудшение репутации организации в части защиты персональных данных на международном рынке. Как следствие — отказ предприятий сотрудничать и потеря потенциальных клиентов.
  2. Нарушение доступности интернет-ресурсов для субъектов персональных данных в Евросоюзе, задействованных в сборе данных.
  3. Нарушение не- и коммерческих отношений с организациями на территории Евросоюза (прекращение отношений с контрагентами, добавление компании в «черный список», закрытие корр. счетов банка).
  4. Наложение штрафов (по итогам проверки компаниями, находящимися в Евросоюзе).
  5. Жалобы со стороны субъектов персональных данных к регулятору.

Читайте также статью ⇒ «Персональные данные с 1 июля 2017 года: ужесточение ответственности + штрафы«.

Законодательные акты по теме

Постановление (Европейский союз) 2016/679 Постановление ЕС, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в ЕС

Типичные ошибки

Ошибка: Российская компания, сотрудничающая с организацией в ЕС, узнала о нарушении требований GDPR и умолчала об этом.

Комментарий: Компании обязаны уведомлять регулирующие органы о случаях нарушений, связанных с ПД европейцев, в течение 72 часов после обнаружения нарушений.

Ошибка: Российская компания обрабатывает персональные данные европейских пользователей без получения на то их согласия.

Комментарий: Согласие субъекта на обработку его ПД должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Если у пользователя не было выбора, или он не мог отозвать свое согласие без ущерба для себя, согласие на обработку ПД будет признано недействительным.

Ответы на распространенные вопросы про Gdpr новый регламент защиты персональных данных в ЕС

Вопрос №1: Должна ли компания, которая вынуждена обрабатывать данные резидентов ЕС, отвечать требованиям GDPR, если она находится в России?

Ответ: Да. Новый регламент имеет экстерриториальное действия и применяется ко всем организациям (вне зависимости от места их нахождения), обрабатывающим в ходе своей деятельности персональные данные резидентов/граждан стран ЕС.

Вопрос №2: Должна ли компания, обрабатывающая персональные данные жителей Европы при реализации онлайн-продаж, соответствовать требованиям GDPR?

Ответ: Да. Компании, реализующие онлайн-продажи европейцам, обязаны обрабатывать их персональные данные с учетом новых требований Регламента.

Оцените качество статьи. Мы хотим стать лучше для вас:

Источник: http://online-buhuchet.ru/gdpr-novyj-reglament-zashhity-personalnyx-dannyx/

GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка

В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation).

Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.

Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными.

С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании.

В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям. Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:

Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.

Должна ли такая организация соблюдать GDPR?
Да.

Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что: — услуги/товары адаптированы на местные языки жителей ЕС; — услуги/товары оплачиваются в местных валютах ЕС; — услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.

Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.

Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов.

GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).

Читайте также:  Налоговый период при оплате транспортного налога

Мониторинг может включать: — отслеживание резидента ЕС в интернете; — использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне.

По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.

Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить.

К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4).

Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными. Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных.

Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах.

Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9). Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:

1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.

2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Уведомление о случаях нарушения GDPR Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.

Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.

Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).

Права субъекта данных (физического лица)

Источник: https://habr.com/company/digitalrightscenter/blog/344064/

Как российским компаниям подготовиться к вступлению в силу новых правил GDPR?

Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR)

В мае 2018 г. в Евросоюзе вступает в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Все компании, которые обрабатывают (как внутри, так и за пределами ЕС) персональные данные граждан европейских стран, обязаны соблюдать требования этого документа.

Сфера действия новых правил GDPR распространяется на все 28 стран ЕС. Этот документ заменит существующие законы о защите персональных данных в европейских странах.

С учетом того, что новые правила GDPR будут применяться экстерриториально, их соблюдение будет обязательным для российских компаний, имеющих присутствие в ЕС.

Несмотря на то что документ начнет действовать с 25 мая 2018 года, мы рекомендуем российским компаниям уже сейчас приступить к приведению процессов обработки персональных данных граждан ЕС в соответствие с принятыми правилами. Стоит учитывать, что объем работ в зависимости от бизнес-процессов компании может оказаться весьма существенным.

Дмитрий Бирюков рассказывает о вступлении в силу новых требований GDPR

Вы можете пройти короткий тест, чтобы определить обязана ли ваша компания соблюдать требования GDPR EU, а также узнать подробнее о том, что необходимо предпринять компаниям для обеспечения соответствия требованиям.

Пройти тест

Новый Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR) вносит ряд изменений в правила, регулирующие защиту персональных данных, включая некоторые обязанности:

  • учитывать правила защиты персональных данных на этапе планирования (например, ИТ-решений);
  • документировать процессы обработки персональных данных;
  • проводить оценку рисков, связанных с обеспечением неприкосновенности частной жизни;
  • уведомлять надзорные органы в области защиты персональных данных об инцидентах, связанных с обеспечением безопасности персональных данных.

Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн евро или до 4 % от годового оборота компании.

После вступления  в силу новых требований GDPR  к многим организациям по всему миру начнут поступать запросы по обработке персональных данных (DSR). Выполнение таких запросов, например, на доступ к данным, удаление или перенос данных, может потребовать значительных усилий.

Как компаниям построить эффективный процесс управления этими запросами, чтобы не быть застигнутыми врасплох? На первый взгляд это может показаться проблематичным, однако мы обращаем ваше внимание на пять важнейших факторов, которые сделают этот процесс проще.
 

Подробнее

Новый «Общеевропейский регламент о защите персональных данных» (General Data Protection Regulation, GDPR) вносит фундаментальные изменения в принципы управления и обработки персональных данных.

Отныне механизмы защиты персональных данных превратятся из «дополнительной опции», добавляемой в последний момент, в тщательно разработанный компонент систем обработки данных.

Это значит, что компаниям придется пересмотреть свой подход к использованию технологий.
 

Подробнее

Фирма PwC разработала ряд услуг, которые помогут нашим клиентам в решении широкого спектра их потребностей в области GDPR:

Определение применимости требований и области их применения: анализ существующих бизнес-процессов компании и потоков данных. Выявление обработки персональных данных лиц, находящихся в ЕС, анализ применяемых для обработки персональных данных технологий. Определение области применения GDPR.

Оценка несоответствий требованиям: Выявляение процессов и систем требующих изменения для соответствия к GDPR. Определение потенциальных рисков, связанных с GDPR. Анализ рисков и определение их приоритетности. Разрабатка рекомендаций по приведению деятельности Компании в соответствие с требованиями GDPR.

Планирование мероприятий по приведению в соответствие: Создание плана действий, необходимых для приведения процессов в соответствие с требованиями GDPR. Определение необходимых ресурсов для проведения трансформации, ответственных за трансформацию лиц, а так же осуществление приоритизации выполнения задач и согласование сроков выполнения.

Реализация мероприятий по приведению в соответствие: проектирование и реализация внедрения организационных мер, необходимых для соответствия GDPR.

Оказание консультационной поддержки при самостоятельном приведении в соответствие.

Поддержка: консультационная поддержка в ходе эксплуатации внедренных процессов обработки и защиты персональных данных. Проведение регулярных повторных оценок соответствия требваниям GDPR с заранее определенной периодичностью и комплексностью.

Мы в социальных сетях

Источник: https://www.pwc.ru/ru/publications/gdpr.html

Гид по новому регламенту защиты данных — Оффтоп на vc.ru

10 пунктов, которые нужно знать для GDPR-friendly кампаний.

Регламент GDPR — Общий регламент по защите данных — постановление Европейского союза для усиления защиты персональных данных всех лиц Европейского союза.

Для кого: для всех компаний, которые осуществляют сбор или хранение данных лиц Европейского союза (даже если физически не находятся в Европе)

Полный текст регламента.

Постановление вступило в силу 25 мая 2018 года, напрямую влияет на все действия компаний связанных с сбором данных. За невыполнение нового регламента штраф может достигнуть 20 000 000 евро или 4% финансового оборота компании за предыдущий год.

В законе расширено понятие персональных данных, установлено «право на забвение», введена роль офицера безопасности.

Мы решили разобраться в новом законе, и у нас получился гид, следуя которому, вы приведете свою компанию к новому регламенту.
Осторожно: информации много, если вам некогда читать, скачивайте pdf-файл, чтобы всегда иметь его под рукой.

Глоссарий:

Персональные данные (ПД): любая определяющая информация, относящаяся к физическому лицу: имя, фамилия, возраст, пол, e-mail, номер телефона, псевдоним, адрес IP, семейное положение, банковские данные, геолокация, данные навигации.

! Рабочий e-mail также попадает в эту категорию.

! Cookies с 25 мая 2018 года будут считаться персональными данными.

Читайте также:  Ндфл с дивидендов в 2018 году. ставка ндфл и порядок расчета

Сбор персональных данных: действие получения персональных данных, вне зависимости от метода сбора, цели и источника.

! Покупка e-mail баз также является сбором персональных данных.

Обработка персональных данных: любые операции с данными: сбор, хранение, организация, архивация, передача другим лицам, адаптация, модификация, уничтожение и др. ! Просто хранение персональных данных тоже является их обработкой.

Sensitive data: персональные данные раскрывающие расовую и этническую принадлежность, политические предпочтения, религиозные убеждения, генетические данные, сексуальную ориентацию.

! Сбор и обработка таких данных строго запрещена, за исключением легального разрешения.

Ответственный за обработку: сторона, которая определяет цели «зачем» и методы «как» в сборе и обработке данных.

Подрядчик: сторона, которая обрабатывает данные для ответственного за обработку и следуя его инструкциям. Может одновременно им и являться.

DPO (офицер безопасности): Референтное лицо, назначенное компанией, которое отвечает за соблюдение постановления. Может быть внутренним сотрудником и внешним подрядчиком.

Сбор данных во время маркетинговых кампаний

Пункт 1: Как составить обязательную Политику Конфиденциальности

Постановление GDPR в целом выступает за активную коммуникацию прав пользователю.

Вам нужно опубликовать или обновить Политику конфиденциальности на онлайн и офлайн интерфейсах.

В обновленной политике должны быть следующие пункты:

  • Кто является ответственным за обработку данных;
  • Кто является DPO;
  • Зачем собираются данные;
  • Кому данные отправляются (даже если данные отправляются вне Европейского союза);
  • Период обработки и хранения данных;
  • Перечисление пользовательских прав (право доступа, исправления, уничтожения, лимитирования и др.);
  • Контакт, куда можно обратиться за активацией этих прав;
  • Обращение за помощью в нужные инстанции.

Политика Конфиденциальности должна быть предоставлена пользователю в момент сбора данных отдельно от бланка заполнения. Она должна быть объяснена доступным и понятным языком. Можно создавать несколько политик конфиденциальности для разных маркетинговых кампаний, можно создать одну, и ссылаться на нее.

Соглашение — большой и важный пункт в новом постановлении. Это именно тот момент, ради которого мы запускаем маркетинг активности и пользователь нажимает «Да, я хочу получать информацию от вашей компании».

Так вот, согласно новому постановлению, соглашение должно быть абсолютно понятным пользователю. Оно также должно быть представлено отдельно от любых других требований.

Внимание: GDPR запрещает соглашение с уже поставленными галочками. Отсутствие активности пользователя или молчание НЕ может быть принято за соглашение.

Пункт 3. Как составить корректную форму запроса данных?

Идеальный бланк:

  • Запрашивает только необходимые данные для цели именно этой кампании.
  • Запрашивает отдельные согласие на все планируемые действия (отправка рассылки, использование данных для профайлинга, коммуникация с пользователем)
  • Запрашивает согласие на правила конкурса или маркетинговой операции
  • Запрашивает принятие политики конфиденциальности

После сбора данных, вы должны:

  • удостовериться в их правильности, и удалить некорректные данные
  • обеспечить их безопасное и конфиденциальное хранение
  • хранить их только определенный период времени.

При контроле вы будете обязаны показать, что эти принципы соблюдаются.

Распространение маркетинговых операций

Пункт 4. Как быть со списком имейлов, которые уже есть в вашей базе?

Помните, что пользователь может в любой момент забрать свое соглашение.

Вы также в любой момент должны показать пользователю доказательство, что согласие было дано.

На каждого пользователя у вас должна быть полная информация:

  • Дата и время согласия
  • Способ сбора данных
  • Какая информация была коммуницирована пользователю
  • Какие виды согласия пользователь принял, какие — нет
  • Бланк сбора данных
  • Способ коммуникации (e-mail, социальная сеть, другое)

E-mail marketing платформы, например Mailchimp, уже предлагают GDPR-friendly формы. Используйте их.

Пункт 5. Как квалифицировать базу?

GDPR распространяется не только на новые данные, которые вы собираете, но и на те, которые вы уже имеете.

Как провести полную квалификацию вашей базы:

  • Сделайте полный список всех ваших opt-in, со всех кампаний.
  • Проверьте, вся ли информация у вас есть на каждый opt-in. Разделите на «подтверждены» и «не подтверждены».
  • Подтверждены: автоматизируйте процесс. По истечению определенного срока высылайте автоматическое письмо с просьбой обновить согласие. Если обновления не последовало: контакт удаляется.
  • Не подтверждены: отправьте письмо (вы наверняка уже получаете такие письма) с просьбой подтвердить согласие. Если согласия не получено до 25 мая, вы должны удалить контакт из рассылки.

Пункт 6. Как квалифицировать рассылку?

  • Если вы покупаете базы данных у третьих лиц, вы должны удостовериться что подрядчик соблюдает постановление, и пользователи дали свое согласие.
  • Если ваша база собирается через онлайн и офлайн интерфейсы, точно также, пользователи должны дать свое согласие.
  • В вашем письме обязательно должна быть ссылка на отписку от рассылки.
  • Вы должны прокоммуницировать контактное лицо для активации прав.
  • И, наконец, все правила и принципы применяются также к рабочим e-mail-ам.

Пост-кампания

Пункт 7. Как долго хранить данные?

Вы должны определить период хранения данных для осуществления целей маркетинговых кампаний.

Например: данные банковской карты должны храниться только для проведения оплаты, и затем должны быть удалены.

Контакты клиента или потенциального клиента, который не проявляет никакой активности, и не отвечает должны быть удалены по истечению 3-ех лет.

Cookies — хранятся максимум 13 месяцев.

Пункт 8. Что делать с подрядчиками?

Впервые, новое постановление призывает к ответственности подрядчиков и третьих лиц.

  • Подрядчик не может нанять другого подрядчика без письменного согласия клиента (ответственного за обработку)
  • Любая обработка данных подрядчиком должны быть оформлена контрактом
  • Подрядчик должен предоставить гарантии, что данные собираются и хранятся конфиденциально и безопасно — согласно постановлению GDPR — уже с 25 мая.
  • Подрядчик должен обозначить DPO и вести регистр.

! Даже если ваш подрядчик находится не в Европе, он подвергается новому постановлению, так как обрабатывает данные лиц Европейского союза.

Пункт 9. Как организовать cookies?

Как мы уже говорили, согласно GDPR, cookies являются персональными данными.

  • Подразумеваемого согласия больше не достаточно. Обязательно запросить его через действие.
  • Забрать свое согласие должно быть также легко, как его дать.
  • Предупреждение на сайте должно содержать информацию о том, что cookies — это персональные данные.
  • Нужно предоставить опцию отмены

Пункт 10. Как соблюдать права пользователя?

GDPR ввело новые права пользователя:

  • Право доступа. Позволяет клиенту узнать, какую информацию о нем хранит компания.
  • Право портативности. Клиент имеет право при запросе получить эту информацию в корректном, читабельном виде, чтобы далее ее использовать по собственному усмотрению. При этом вы можете продолжать их хранить до истечения «срока годности» данных.
  • Право на забвение. Позволяет клиенту запросить полное уничтожение всех персональных данных, связанных с ним.
  • Право на оппозицию. Позволяет клиенту больше не получать никаких писем ни от вашей компании, ни от ваших партнеров.

Как правильно управлять правами:

  • Завести регламент, адаптировать ваш сайт, добавив информацию о правах.
  • Выбрать сотрудника, который будет ответственен за получение запросов от клиентов. Создать ему отдельный e-mail и бланк запроса на сайте.
  • Коммуницировать этот контакт везде, онлайн и офлайн.
  • Обрабатывать запросы от клиентов как можно быстрее.

Новый закон давно занимает маркетологов европейских компании, а мы уверены в том, что он окажет только позитивное влияние. Тренд на прозрачность информации, новые права пользователя, новый процесс соглашения, все это — новая эра маркетинга.

GDPR поставил точку эре массовых рассылок, бесконечному спаму, ненужным новостям и надоевшей рекламе.

Качество победит количество, и маркетинговые коммуникации станут еще более точными и нацеленными на персональное и доверительное общение с клиентом.

Ваши маркетинговые кампании должны предлагать только то, что действительно интересно клиенту, а ваши рассылки клиент должен ждать и открывать с нетерпением.

Как именно этого добиться? Контентом, который адаптирован под нужды и интересы клиента, клиент-ориентированными маркетинговыми кампаниями и последними знаниями в поведенческой экономике и нейромаркетинге.

Обязательно пишите нам, если у вас есть вопросы или комментарии.

Подготовила Светлана Нигай, маркетолог Great Crew 360° brand communication.

#gdpr

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/flood/38780-gid-po-novomu-reglamentu-zashchity-dannyh

GDPR — всё, что нужно знать о новом регламенте ЕС по защите данных

25 мая 2018 года начал работать новый Общий регламент ЕС по защите личных данных (GDPR). Закон распространяется на все компании, которые обрабатывают личные данные граждан Евросоюза.

Разбираемся, нужно ли что-то менять в своей политике компаниям и фрилансерам из стран, которые не входят в ЕС. А также проясняем вопрос с VPN.

Статья подготовлена при помощи юриста Натальи Мосуновой, докторанта Университета Восточной Англии.

Как понять, касается ли вас GDPR

К небольшим компаниям (особенно за пределами ЕС) требования мягче. Пример: у вас есть сайт на русском языке для ведения бизнеса с русскоязычными клиентами.

На сайт заходит гражданин ЕС и оставляет там данные.

В этом случае вы не подпадаете под новые правила, потому что сайт не был ориентирован на европейскую аудиторию, а у вас не было цели собирать и анализировать данные граждан Евросоюза.

Закон касается вас, если:

  • Товары и услуги на сайте предлагаются европейцам
  • Вы отслеживаете клиентское поведение граждан ЕС

Оба этих условия должны присутствовать одновременно.

Признаки, по которым определяют, что целевая аудитория сайта — европейцы:

  • Сайт написан на одном из европейских языков
  • Цены товаров или услуг указаны в валюте стран ЕС
  • Граждане ЕС любым способом обозначены на сайте, как целевая аудитория

Пока нет конкретных критериев, которые бы помогли определить, занимается сайт активным сбором данных или нет. Наталья Мосунова и юристы из профессиональных сообществ в Фейсбуке считают, что здесь тоже будет учитываться язык, валюта и целевая аудитория. Соответственно, если целевая аудитория сайта не европейцы, то у вас нет цели активно собирать и анализировать их данные.

Читайте также:  Отпуск после декрета: расчетный период, порядок оформления документов

Как быть с пользователями, которые заходят через VPN

Многих предпринимателей запутала ситуация с VPN: на сайт может зайти пользователь из России, но через ip-адрес страны ЕС. На деле это мало влияет на ситуацию.

Если ваш сайт ориентирован на европейскую аудиторию, вы продаете услуги в валюте ЕС и пишете объявления на английском языке — переделывать политику все равно придется. А если нет — то разовая сессия ни к чему вас не обязывает. В этом случае неважно — зашел на сайт настоящий европеец или Анатолий из Москвы через немецкий ip-адрес.

Что делать, если вы подпадаете под GDPR

  • Переписать политику приватности как можно более понятным и простым языком
  • Указать в политике все сторонние компании, которые получают от вас персональные данные, дать ссылки на их политики приватности
  • Настроить уведомление, что ваш сервис собирает файлы cookie — оно должно появляться сразу при входе на сайт
  • Добавить во все формы и анкеты для пользователей уведомления о сборе персональных данных. Галочка перед «Я согласен» по умолчанию должна быть снята
  • Если вы обрабатываете персональные данные на постоянной основе, вам понадобится ответственный представитель в Европе

Новые права пользователей

Человек может обратиться в любую компанию, которой сообщал свои персональные данные, и потребовать полный перечень имеющейся информации о себе в электронном или бумажном виде. Также можно потребовать удалить все сведения.

Как ЕС будет разбираться с нарушителями из других стран

Пока непонятно, как ЕС планирует отслеживать и наказывать компании из других стран. Вариантов здесь немного.

Важное для компаний

Персональные данные — любая информация, которая позволяет прямо или косвенно идентифицировать человека. Помимо имени, адреса и номера телефона, это адрес email, cookie-файлы, IP-адрес и результаты отслеживания поведения в сети.

Отдельная группа — информация о расовом и этническом происхождении, генетических и биометрических данных, религиозных взглядах, сексуальной ориентации и состоянии здоровья. Обрабатывать такую информацию можно только в строго определенных случаях и со множеством ограничений.

Оператор персональных данных — компания, в интересах которой собираются эти данные. Оператор не должен получать информацию без согласия пользователя. В случае нарушения правил хранения или утечки данных он несет всю ответственность.

Если компания собирает персональные данные на постоянной основе и это для нее ключевая деятельность (например, если это сервис почтовых рассылок) — у них должен быть специальный менеджер по обработке персональных данных. Он обязан следить за соблюдением закона, инструктировать сотрудников компании и сообщать руководству, если необходимо принять какие-то меры для защиты данных.

Если данные жителей ЕС обрабатывает компания, не зарегистрированная в ЕС — ей нужно назначить своего ответственного представителя, который постоянно находится в Европе. Таким представителем может быть человек или организация.

Резюме

  • Если европейцы не целевая аудитория вашего сайта — не беспокойтесь по поводу GDPR.
  • Случайные посетители из стран ЕС не делают вас нарушителем новых правил. Это касается и переходов с помощью VPN.
  • Менять политику надо, если товары и услуги на сайте продаются в валюте ЕС, сайт написан на европейском языке и отслеживает клиентское поведение посетителей.

Источник: https://ru.content.guru/articles/vsye-chto-nuzhno-znat-o-novom-reglamente-es-po-zashchite-dannykh-gdpr/

GDPR: новый регламент защиты персональных данных в ЕС

По новому регламенту защиты персональных данных (GDPR), который начал действовать в странах ЕС, компания обязана уничтожить или «забыть» данные по первому требованию их субъекта. Как эти нормы сочетаются с «законом Яровой» и что делать российским компаниям, которые работают с данными иностранцев.

Россия не входит в Европейский союз. Но компаниям, которые имеют дело с клиентами или контрагентами из стран-участниц, приходится учитывать правовое регулирование, которое там применяют.

В частности, обратите внимание на GDPR – новый регламент, который с 25 мая 2018 года действует в отношении защиты персональных данных во всех странах ЕС. Аббревиатура расшифровывается как General Data Protection Regulation.

Нарушение некоторых положений регламента грозит крупным штрафом, и это риск для организаций, у которых есть филиалы на территории стран союза.

Что такое GDPR и как это нововведение касается российских предпринимателей

Новый регламент по своему содержанию во многом похож на закон о персональных данных, который действует в России. С англоязычной версией документа можно ознакомиться на специальном сайте (также в сети встречаются различные переводы GDPR на русский). Основные важные моменты:

  1. К персональным данным отнесли не только ФИО субъекта, дату его рождения и адрес проживания. Также в эту категорию включили почтовый электронный адрес, номер ID-карты, IP и файлы cookies, сведения о нахождении субъекта (например, GPS-координаты). Действие регламента распространяется и на зашифрованные и обезличенные данные субъектов.
  2. Компания обязана получить согласие на обработку, но субъект должен дать его добровольно. Например, при заполнении формы заказа на сайте он должен сам поставить галочку в чек-боксе «Я согласен на обработку». Ему необходимо предоставить выбор отказаться, иначе такое согласие добровольным не считают и признают это нарушением регламента. Кроме того, согласие должно указывать на все цели обработки.
  3. Недопустимо использовать данные в целях, отличных от целей обработки (ст. 6 регламента GDPR). Например, после получения заказа из интернет-магазина покупателю начинают приходить рекламные сообщения от третьих лиц. Если он не давал согласия на передачу данных для таких целей, это нарушение.
  4. Об утечке данных оператор обязан сообщить в течение 72 часов регулятору (ст. 33 регламента).
  5. Компании, которые обрабатывают данные, обязаны принять меры по соответствию обработки требованиям регламента. Что это за меры и как выполнять такие требования, сказано в GDPR (ст. 35). В частности, если компания работает с большим объемом таких данных, ей необходимо назначить инспектора по их защите (ст. 37, ст. 39). Инспектор может быть из числа сотрудников компании или работать по гражданско-правовому договору.
  6. Субъект вправе потребовать информацию об обработке своих данных или целях этого, а также о сроках хранения, мерах защиты и т. п. Кроме того, по требованию субъекта оператор обязан изменять, удалять или «забывать» данные (ст. 15 – 22 регламента).

Если компанию поймают на нарушениях, штраф за них может достичь суммы в 2 млн евро. Или по GDPR взыщут 4% годовой прибыли (ст. 83 регламента).

Требования GDPR актуальны для российских компаний, которые торгуют за рубежом

У документа экстерриториальный принцип применения. В преамбулах № 23 и № 80 к регламенту указали критерии, по которым определяют, должна ли компания его соблюдать. Это необходимо, если компания:

  • из страны, которая не входит в ЕС;
  • распространяет товары, предлагает работы или услуги на территории ЕС;
  • в процессе своей деятельности работает с персональными данными европейцев.

Помимо этого:

  • у компании есть обособленные подразделения на территории стран ЕС;
  • расчеты ведут в евро, обязательства исполняют в ЕС, или есть иные европейские элементы в соглашении;
  • в договоре указали, что его регулирует право ЕС;
  • среди работников компании есть экспаты из стран Европейского союза;
  • у компании присутствует необходимость оформлять доверенности на граждан ЕС.

Для российских компаний, которые работают в данных условиях, требования GDPR имеют силу.

Как регламент GDPR соотносится с нормами российского права  

С 1 июля 2018 года вступают в силу поправки, вошедшие в ФЗ-374 и ФЗ-375 (так называемый «закон Яровой»). Ряд новых требований может вступить в противоречие с требованиями регламента GDPR. Например,  с 1 июля операторы мобильной связи обязаны:

  • хранить сведения о пользователях и их сообщения в течение полугода,
  • предоставлять эту информацию по запросу госорганов независимо от согласия пользователя.

Эти требования распространяются на данные обо всех пользователях мобильной связи, включая граждан ЕС, если они являются клиентами российских операторов. Также требования касаются всех операторов связи на территории РФ, даже если это подразделение европейской компании.

Согласно новому регламенту GDPR оператор связи, который работает с данными граждан ЕС, обязан заботиться о защите персональных данных, в том числе уничтожать их по запросу владельца.

Одновременно он обязан сохранить такие данные в течение 6 месяцев и передать властям, не спрашивая разрешения у владельца, если те направят запрос. Для операторов данных это создает сложную ситуацию. Разъяснений от разработчиков регламента или от Роскомнадзора пока нет.

В настоящий момент можно дать только общие рекомендации для компаний в России, как снизить риски в связи с выполнением GDPR и требований законодательства РФ:

  1. Проверьте внутренние документы о работе с персональными данными на соответствие регламенту. Разработайте четкие инструкции на случай утечки данных, которые принадлежат европейцам. Издайте документы о таких данных на русском и, как минимум, английском, чтобы клиенты из ЕС могли с ними ознакомиться.
  2. В документе о согласии на обработку пропишите цели, а также укажите, что согласие является конкретным, добровольным и информированным. Документ о согласии также должен быть на двух языках минимум. Проверьте, что документ оформили в отношении всех клиентов и иных субъектов.
  3. Проверьте, как хранятся данные. Проанализируйте порядок на соответствие регламенту, введите учет операций по обработке. Продумайте, как открыть представительство в ЕС и назначить инспектора. Согласно GDPR компания должна доказать в случае спора, что она не нарушала регламент. Подготовьтесь к тому, что от субъектов будут поступать запросы и претензии, разработайте схемы действий на такие случаи.
  4. Определите по договорам с европейскими элементами, какой статус у компании в отношении обработки данных. Если она оператор или контролер, то нелишне:
  • включить в текст соглашения заверения, у компании есть все необходимые согласия на обработку данных сообразно требованиям российского и международного законодательства;
  • внести запрет на использование данных граждан ЕС в рекламных целях;
  • если в соглашении использовали скриншоты, проверить, что на них нет данных об IP или иных данных о пользователях.

Источник: https://www.law.ru/article/22117-reglament-gdpr

Ссылка на основную публикацию
Adblock
detector