GDPR вступил в силу: компании оказались не готовы

Защита персональных данных в Европейском союзе усовершенствовалась. В ЕС теперь действуют новые правила обработки данных GDPR по экстерриториальному принципу. Это значит, что они затрагивают как американские, так и российские компании, работающие с ЕС. При нарушении правил штрафы возможны до 20 млн евро. Теперь предупреждение и лечение вирусов, способных привести к утечке или повреждению данных, приобретает новое значение. Первыми судебные иски на миллионы посыпались в адрес Facebook (запрещен в России) , Google, Instagram (запрещен в России).

На пользователях ресурсов ужесточение режима скажется лишь в виде необходимости принимать дополнительные соглашения об обработке персональных данных. А вот компаниям придется постараться для обеспечения защиты на обязывающем новыми правилами уровне.

Что входит в понятие «персональные данные»?

Это любые данные физического лица, позволяющие идентифицировать его: ФИО, местоположение, IP-адрес, онлайн-идентификатор, раса, политические взгляды, медицинские данные, информация о сексуальной жизни, религиозные предпочтения.

Что гласят правила GDPR?

1. Допустимо запрашивать не более необходимой для обработки запроса информации.

2. Сохраненные в некорректном виде личные данные должны быть проверены и исправлены.

3. Период хранения данных должен быть не более того, который необходим для обработки запроса пользователя.

4. Использование личных данных допустимо лишь в целях, открыто, просто и прозрачно заявленных компанией.

5. В период использования и обработки личных данных на компании лежит ответственность за обеспечение защиты от незаконного доступа и повреждения.

6. Согласие пользователя на обработку личных данных должно быть в форме утверждения и с возможностью отозвать его. В противном случае согласие считается недействительным.

7. За ребенка согласие на обработку данных должно даваться родителями или законными представителями.

8. Если компания обнаружила нарушения в отношении персональных данных, то обязана за 72 часа сообщить о них регулирующим органам. При попытке сокрытия штраф неизбежен.

9. Граждане ЕС получают:

- возможность запрашивать подтверждение факта обработки их данных,

- право на перенос персональных данных (по запросу пользователя компания должна передать данные выбранной пользователем компании).

Согласование GDPR длилось 4 года. На корректировку политики компаниям отвели 2 года. Однако исследования показали, что более 60% из опрошенных 1000 компаний не способны реализовать защиту персональных данных на должном уровне к установленному сроку – к 25 мая 2018 года. В чем сложность?

По запросу пользователей удалить или скорректировать информацию часто бывает очень сложно: при получении ее в разные сроки и для разных операций большинство компаний сохраняют ее в различных и многочисленных хранилищах и во множестве разнообразных форматов. Особенно это касается ранее собранной информации. К тому же, есть ряд данных, которые неоднозначно относятся к персональной информации.

Портал Электронная почта Владивостока

GDPR вступил в силу: компании оказались не готовы

Что входит в понятие «персональные данные»?

Что гласят правила GDPR?