Регламент по защите данных GDPR: основные понятия и принципы применения
GDPR — это общий регламент по защите персональных данных в Европейском Союзе, действующий с 25 мая 2018 года.
General Data Protection Regulation (GDPR) — общий регламент по защите данных, который обладает прямым действием на все страны Европейского союза. Данный регламент действует с 25 мая 2018 года и продолжает свое действие на текущий момент.
Основные понятия GDRP
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить.
Разновидность персональных данных определяется в зависимости от сложности получения, степени секретности и прав на использование третьими лицами. Персональные данные делятся на: биометрические персональные данные; генетические персональные данные; общедоступные персональные данные; специальные персональные данные.
GDPR предусматривает четкое и прозрачное разграничение каждого из субъектов персональных данных:
- контролер (controller) — физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных;
- обработчик (processor) — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролера;
- субъект данных (data subject) — физическое лицо, данные которого обрабатываются.
Территориальная сфера действия
Главная особенность данного регламента — экстерриториальный принцип действия по защите персональных данных, в частности обработки персональных данных, в связи с чем компании, зарегистрированные в Республике Беларусь и ведущие бизнес, ориентированный на европейский и международный рынки (в том числе обработка персональных данных физических лиц из ЕС), должны серьезно отнестись к данному регламенту и оптимизировать процесс работы в части обработки персональных данных на соответствие GDPR.
Контролем за соблюдением GDPR не предполагает обязательства принятия национальных законов и может обладать действием непосредственно на операторов напрямую.
Принципы обработки персональных данных по GDPR
GDPR устанавливает 6 основных принципов по обработке персональных данных:
- законность, справедливость, прозрачность;
- ограничение целью;
- минимизация данных;
- достоверность персональных данных;
- ограничение срока хранения персональных данных;
- целостность и конфиденциальность.
Как контролер (controller), так и обработчик (processor) обязаны обеспечивать соблюдение GDPR по всем основополагающим сферам/специфике ведения бизнеса: заключение соглашения между контролёром и обработчиком; разработка и внедрение локальных нормативных актов; криптографическая защита персональных данных; незамедлительное реагирование и восстановление доступа к персональным данным в случае утери или происшествия и т.д.
Ответственность при нарушении правил обработки персональных данных
Нарушение правил по обработке персональных данных влечет объявление выговора или наложение штрафов, которые обладают строгим и исключительным характером. Ответственность за нарушение GDPR могут достигать 20 000 000,00 евро или 4% годового глобального дохода компании (в зависимости от того, какая сумма окажется крупнее).
В дополнение за несоблюдение GDPR предусмотрены:
- компенсация любого ущерба, который субъект данных может понести при обработке персональных данных с нарушением GDPR;
- риск отказа от сотрудничества со стороны европейских/международных партнеров, что влечет за собой разрыв связей по ведению бизнеса.
Обратим внимание, что независимо от того является ваша компания оператором/контролером (controller) или уполномоченным лицом/обработчиком (processor), контролер (controller) должен оформлять партнерство в процессе ведения бизнеса исключительно с теми обработчиками (processor), которые соблюдают требования GDPR.
Мы предлагаем
Наша компания предлагает оказать содействие вашему бизнесу в конкурентной среде бизнеса по рынку Европейского Союза и помочь:
- повести анализ специфики ведения бизнеса вашей компании и определить, обязана ли ваша компания соблюдать требования GDPR и определить стратегию для внедрения GDPR;
- оценить эффективность и безопасность внедренных в компании программных продуктов; процессов и информационных баз для соответствия GDPR;
- подготовить локальные нормативные правовые акты, политики, процессы, регулирующие защиту персональных данных для целей адаптации команды под требования GDPR;
- оказать услуги по внедрению политик по защите персональных данных в соответствии с требованиями GDPR;
- оптимизировать бизнес-процессы компании в разрезе защиты персональных данных и обеспечения конфиденциальности, в том числе взаимодействие с европейскими/международными контрагентами, а также повышение осведомленности внутри компании по рынку как Республики Беларусь, так и международному рынку;
- предоставить широкий перечень услуг и решений, связанных с защитой персональных данных по любому возникающему вопросу по процедурам обработки персональных данных.
Эксперты:
Екатерина Костиневич
Партнер / Налоговое и правовое консультирование, аутсорсинг бизнес-процессов
Ангелина Сацук
Юрисконсульт