6 основных принципов обработки данных по GDPR и ключевые требования к Европейским компаниям

Обновленный подход Европейского законодательства к обработке персональных данных может быть кратко сформулирован в виде 6 основополагающих принципов:

  1. Законность, справедливость и прозрачность. Именно по этим трем критериям и должна проходить обработка персональных данных на любом уровне контроля. Вся информация о процессе, целях и прочих тонкостях должна быть донесена до пользователя в максимально простой и доступной форме.
  2. Ограничение целей. Ваши персональные данные должны быть использованы той или иной компанией лишь с теми целями, которые заявлены в пользовательском соглашении и никаких других.
  3. Минимизация объемов данных. Компании должны собирать и обрабатывать лишь тот минимум Ваших персональных данных, который необходим для того или иного процесса. Ни больше, ни меньше.
  4. Точность данных. Данные, которые являются неточными, устаревшими или неверными, по требованию конкретного пользователя должны быть либо исправлены, либо удалены.
  5. Ограничение срока хранения. Данные должны обрабатываться в форме, которая подразумевает их хранение на срок не более, чем того требует тот или иной процесс.
  6. Целостность и конфиденциальность. Компания, которая собирает Ваши персональные данные обязуется защищать их несанкционированной (незаконной) обработки, уничтожения или повреждения.

Ключевые требования

 

Уведомления в случае утечки данных или нарушения GTPR

Компании обязаны сообщить регулирующим органам о любых нарушениях процессов хранения и обработки персональных данных в течении 72 часов после обнаружения нарушения.

6 основных принципов обработки данных по GDPR и ключевые требования к Европейским компаниям

Например, в ноябре 2017 года стало известно о хакерской атаке на сервера компании Uber, в ходе которой произошла утечка персональных данных более чем 57 миллионов клиентов и водителей компании. Сама утечка произошла в конце 16-ого года, то есть за год до того, как о ней стало известно в СМИ. Если бы в тот момент действовал GTPR, то минимум, что грозило бы компании Uber — это штраф в размере 4 процентов от годового оборота.

Ранее управляющим органом по подобного рода вопросам была, так называемая, Рабочая Группа по статье 29 или Working Party 29, которую после вступления в силу GTPR заменил новый орган — Европейский совет по защите данных (EDPB).

Права субъекта данных (физического лица)

GDPR включает в себя значительное расширение прав граждан и прочих субъектов ЕС по контролю за принадлежащими им данными. Каждый имеет право отправить запрос на подтверждение факта обработки данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные могут быть раскрыты и при каких обстоятельствах, период хранения и обработки. Также за каждым субъектом остается право уточнять источник получения тех или иных данных, требовать их исправления в случае каких-либо неточностей или устаревания, и, конечно же, требовать немедленного прекращения обработки своих данных.

6 основных принципов обработки данных по GDPR и ключевые требования к Европейским компаниям

Отдельным пунктом стоит рассказать о праве на забвение, которое дает возможность субъектам права удалять свои персональные данные, чтобы избежать их несанкционированного распространения или угрозы передачи третьим лицам.

Право на переносимость данных

Данное право является нововведением и оно не было заявлено ни в каких предыдущих актах. Его суть заключается в том, что компании, обладающие Вашими персональными данными, обязаны по Вашему запросу БЕСПЛАТНО предоставлять Вам электронную копию Ваших персональных данных с целью их интеграции.

Согласие на обработку

Отныне устанавливаются высокие требования к форме получения согласия на обработку данных, которое должно быть недвусмысленно выражено самим пользователем в виде четкого утверждения либо же в форме его активных действий. Иными словами — теперь простой галочки напротив фразы “Я согласен” может быть НЕДОСТАТОЧНО! Согласие на обработку может быть признано недействительным, если у пользователя просто не было выбора (например, если сайт “не пускал” пользователя на следующую страницу без его согласия на обработку его данных) или не было возможности отозвать собственное согласие без ущерба самому себе. Если пользователь дает согласие на обработку своих данных, контроллер обязан это продемонстрировать. Кто такой контроллер, Вы можете прочитать, пройдя по данной ссылке.

6 основных принципов обработки данных по GDPR и ключевые требования к Европейским компаниям

Также вопросы могут вызвать пользовательские соглашения и прочие акты, в которых уже по умолчанию “проставлены галочки” или имеются сходные способы ввести пользователя в заблуждение. Согласие отныне не может выражаться в виде бездействия или молчания того или иного пользователя. Информация о процессах обработки персональных данных должна быть размещена таким образом, что любой заинтересованный мог без труда ее отыскать.

Особая защита детей

Особой прерогативой теперь являются и данные детей, так как последние не так хорошо осведомлены о всех рисках, последствиях, гарантиях и прочих тонкостях обработки персональных данных в силу возраста. Согласие на обработку персональных данных должно быть авторизовано родителями, опекунами или другими законными представителями. Каждое государство-член ЕС устанавливает свой порог для родительской авторизации (как правило, это промежуток от 13 до 16 лет).

Назначение ответственного за защиту персональных данных

Данное требование устанавливается к компаниям, осуществляющим регулярный и систематический мониторинг лиц или же осуществляют обработку в больших объемах специальных персональных данных. Например, данные о здоровье или сведения об уголовных судимостях.

6 основных принципов обработки данных по GDPR и ключевые требования к Европейским компаниям

В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.

Любая организация имеет право назначить отдельного сотрудника, который будет контролировать процесс защиты данных и управлять за процессами, связанными с их обработкой. Информация о сотруднике должна быть опубликована компанией, а также направлена национальному регулятору по защите персональных данных соответствующей страны Европейского Союза.

6 основных принципов обработки данных по GDPR и ключевые требования к Европейским компаниямВ последнее время всё большее значение представляет правовая безопасность сайта. Нарушения закона "О персональных данных" или авторских прав может привести к штрафам в несколько сотен тысяч рублей. Проверить ваш сайт и сделать документацию можно здесь.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *