Загальні правила захисту данних (GDPR)

Загальне положення про захист даних (GDPR)

Загальним регламентом про захист даних (GDPR) є Регламент ЄС № 2016/679 від 27.04.2016 «Про захист фізичних осіб при обробці персональних даних та їх вільному переміщенні» та скасування Директиви про загальні положення Положення про захист даних Європейського Союзу № 95/46.

Цей алгоритм почав діяти 25 травня 2016 року і є фундаментальним для використання в країнах Європейського Союзу.

Усі держави-члени ЄС, які враховують персональні дані осіб – членів Європейського Союзу, коли продають або пропонують їм різні послуги чи товари.

А також тих, хто стежить за поведінкою суб’єкта на просторах ЄС.

Ці аспекти враховують такі аспекти:

• Інформація відображається однією з мов;
• фіксована вартість в євро валюті;
• згадуються користувачі з Європейського Союзу.

ОСНОВНІ ПОНЯТТЯ НОВОГО РЕГЛАМЕНТУ GDPR

Оновлений документ GDPR позначає такі поняття, як «контролер» (англійська контролер) та «процесор» (англійська процесор) персональних даних.

Фізична або юридична особа, держава, а також будь-яка державна установа чи організація, яка, окремо або в поєднанні з іншими, формує мету та методи обробки PD, є “контролером”.

Цей орган відповідає за наступні обов’язки:

• вести облік звітів;
• якщо ситуація цього вимагає, співпрацюйте з обробниками персональних даних;
• впровадити технологію захисту особистої інформації;
• оцінювати взаємодію між обробкою персональних даних та правами суб’єктів на певні види обробки;
• спробуйте надіслати повідомлення національному органу із захисту даних (DataProtectionAuthorities) протягом 72 годин про витік ПД, а також суб’єктам цих даних.

Юридична або фізична особа, держава чи окремий орган, який обробляє особисту інформацію від імені та за замовленням контролю, є «обробником». Його безпосередні обов’язки:

• запровадження письмового реєстру поточних операцій, що виконуються від імені або за замовленням контролю;
• своєчасне відправлення сповіщення про витік даних контролеру;
• активна участь у транскордонній діяльності з передачі інформації;
• у певних ситуаціях вимога про призначення представника в ЄС, якщо цього спочатку не було.

РЕГЛАМЕНТ GDPR: КОГО ЦЕ ЗАСТОСУЄ

Документ ЄС застосовується до всіх компаній, які збирають, зберігають або обробляють персональні дані членів Європейського Союзу (тобто обробників та контролерів), незалежно від місцезнаходження цих організацій.

Ці Регламенти забороняють переміщення персональних даних членів ЄС за його межами, загрожуючи застосуванням санкцій.

Станом на квітень 2018 року Єврокомісія визнає ті країни, які не мають належного рівня захисту від ПД: Нова Зеландія, Гернсі, Уругвай, Швейцарія, Ліхтенштейн, Норвегія, Ісландія, Андора, Південна Корея, Аргентина, Канада, Ізраїль, о. Мен, Фарерські острови, Японія. США.

ПРИНЦИПИ РЕГУЛЮВАННЯ GDPR

Основним принципом Регламенту є те, що якщо неможливо примусити обробника або контролера персональних даних у певній країні нести відповідальність, передбачену Регламентом, тоді всі операції з PD членів Європейського Союзу будуть нелегітимний.

ЯКА ЗМІНА ЗНАЧИТЬСЯ НА ПОЧАТКУ РЕГЛАМЕНТУ GDPR?

До основних нововведень належать:

• регулювання процедури отримання дозволу від користувачів на обробку персональних даних під час їх отримання, процедури викрадення та багатьох інших прав;
• у випадку, коли сфера обробки PD досить об’ємна (з 5000 записів та 250 працівників), GDPR має право вимагати від обробника та контролера створення посади інспектора для захисту інтересів та персональних даних;
• Вимога GDPR щодо створення системи захисту, а також технічних регламентів щодо охорони ПД;
  користувач отримує право подати скаргу до наглядового органу в будь-якій країні ЄС для захисту ПД. У цьому випадку в тексті до поліції повинна бути інформація про його місцезнаходження та контакти;
• Вимоги GDPR – призначити постійного обробника в ЄС, якщо власник проекту не перебуває в ЄС і регулярно проводить різні операції з даними.

САНКЦІЇ, ЯКІ ЗАВДАЮТЬСЯ ВІД НЕВІДПОВІДНОСТІ ПРАВИЛАМ

GDPR передбачає суттєві санкції за невиконання правил обробки PD для нинішніх жителів Європейського Союзу. Штраф оцінюється приблизно в 20 мільйонів євро, або 4% від загального фінансового обороту корпорації).

Ці вимоги не обмежуються межами встановленої політики нерозголошення інформації Інтернет-ресурсу.

ЯК ПЕРЕМІСТИТИ СВОЙ СЕРВЕР З ЗАГАЛЬНИМИ РЕГЛАМЕНТАМИ ЗАХИСТУ ДАНИХ (GDPR)

Щоб повністю узгодити свою компанію з правилами GDPR, ми рекомендуємо наступне:

• розробити розділ «Політика конфіденційності» з урахуванням вимог GDPR;
• виконувати вимоги державного законодавства про охорону ПД, а також отримувати інформацію від місцевого відповідного органу;
• призначити інспектора з охорони ПД;
• створити систему оповіщення та угоди користувачів шляхом проведення аудиту;
• впровадити та описати систему технічного забезпечення та захисту ПД, регулюючи їх у внутрішній документації);
• щоб уникнути розбіжностей із новим регулюванням, рекомендується передати право власності на компанію (або проект) члену однієї з країн ЄС.

Експерти Eternity Law International допоможуть вам проаналізувати ваш Інтернет-ресурс на відповідність вимогам GDPR, складуть правильну політику конфіденційності, а також проконсультують вас щодо окремих юридичних питань.