8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
Перейти к услуге

Особенности реализации GDPR

Содержание данной статьи проверено и подтверждено:

25 мая 2018 года вступил в силу регламент Европейского союза о защите персональных данных. Данный регламент был разработан для защиты персональных данных резидентов и жителей ЕС, а его главной особенностью является то, что его требования распространяются не только на страны Евросоюза. Выполнять требования регламента нужно тем организациям, которые обрабатывают персональные данные резидентов и жителей ЕС вне зависимости от того, где эти организации находятся.

Регламент устанавливает следующие принципы обработки персональных данных:

  • Законность и прозрачность процессов обработки;
  • Ограничение целей обработки и прекращение обработки по достижении её целей;
  • Минимизация собираемых персональных данных;
  • Поддержание точности и актуальности персональных данных;
  • Обеспечение целостности и конфиденциальности персональных данных;
  • Подотчетность организаций, которые осуществляют обработку персональных данных.
В регламенте установлены условия, при которых организация должна соответствовать его требованиям. Так, если обработка не является важной частью бизнес-процессов организации, а служит лишь для обеспечивающих целей, то выполнять требования регламента не нужно. В то же время если данные обрабатываются с целью предоставления услуг, которые могут быть оплачены валютами государств-членов ЕС, соблюдение регламента становится обязательным.

 

Что делать тем, кто подпадает под действия Регламента?

Особое внимание в регламенте уделяется защите персональных данных при осуществлении маркетинговой деятельности. Так, если предполагается, что в целевую аудиторию интернет-магазина входят жители или резиденты ЕС, администрации интернет-магазина необходимо озаботиться вопросом выполнения требований регламента.

В первом приближении видно, что регламент направлен на защиту прав субъектов персональных данных. Это значит, что на сайте должны быть реализованы как минимум следующие элементы:

  • Простой и понятный запрос согласия на обработку персональных данных (и окошко для проставления «галочки»)
  • Простое и понятное описание целей обработки персональных данных
  • Доступная возможность отозвать согласие на обработку или удалить аккаунт в любой момент времени

Кроме указанных выше элементов, на сайте должна быть указана информация об особенностях обработки персональных данных несовершеннолетних лиц.

Регламент предъявляет менее жесткие требования к согласию на обработку, чем 152-ФЗ «О персональных данных». Достаточно понятным языком описать цели обработки и дать субъекту возможность добровольного согласия на обработку – «галочку» он должен поставить сам.

Неудобным моментом является то, что на сайте необходимо реализовывать указанный выше функционал не только в отношении «классических» персональных данных – ФИО, телефон, почты и т. д., но и в отношении автоматически создаваемых cookie-файлов. Собирать их в режиме «по умолчанию» не получится, поэтому на многих англоязычных сайтах сейчас можно встретить окна с указанием того, что сайт собирает cookie и что их сбор можно отключить.

 

Особенности соответствия требованиям регламента

Регламент не подразумевает наличия четких и строгих мер по защите информации и обходится общими формулировками, позволяющими организациям самостоятельно и гибко построить стратегию и процессы обеспечения безопасности персональных данных. Это касается как процессов управления инцидентами и утечками, так и передачи персональных данных субпроцессорам.

Соответствие регламенту обычно подтверждается наличием кодекса сертификации и кодекса поведения в каждой организации, подпадающей под требования регламента. В кодексах указывается перечень применяемых для защиты персональных данных мер и порядок проверки работоспособности этих мер. Если процессы реализации и контроля защитных мер настроены, то организация считается соответствующей регламенту.

Что касается передачи, требования регламента также менее жёсткие, чем в 152-ФЗ. Базы данных, хранящие персональные данные резидентов и жителей ЕС, могут располагаться в любой стране за пределами ЕС при условии соблюдения защитных мер.

 

Заключение

Изначальной целью регламента является защита прав субъектов персональных данных. В регламенте происходит попытка смещения приоритетов при обработке персональных данных с обработчика на субъекта. С одной стороны, это ведёт к усложнению системы обработки и защиты персональных данных. С другой, появляются невиданные ранее возможности для субъектов в мировом масштабе – у них появляется контроль над теми персональными данными, которые они могут предоставлять.

Выполнение требований регламента для организации является большим плюсом, поскольку свидетельствует о наличии зрелых процессов обработки и защиты персональных данных, о наличии необходимой инфраструктуры. А самое главное – о понимании того, что персональные данные нужно и важно защищать, если не ради субъектов, то хотя бы ради отсутствия огромных штрафов, предусмотренных за нарушение регламента.

Задать вопрос эксперту

    Связанные услуги

    Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.