GDPR заменила рамочною Директиву 95/46 / ЕС

GDPR заменила рамочною Директиву 95/46 / ЕС

GDPR - это прогрессивный нормативный документ, который существенно повысит уровень защиты персональных данных, как в ЕС, так и за его пределами. 

Главная цель GDPR - гарантия защиты персональных данных граждан ЕС без привязки к тому, на территории какого государства они находятся. Основным требованием к компаниям, которые работают с такими данными, - надежно защищать их конфиденциальность.

Регламент распространяет свое действие не только на компании, находящихся на территории ЕС, но и на те, что находятся за пределами Союза.

В каких случаях это происходит:

1) компания является оператором персональных данных или обрабатывает персональные данные и находится на территории ЕС;

2) компания расположена за пределами ЕС, но обрабатывает персональные данные граждан ЕС. Это также касается случаев, когда компания занимается продажей товаров или услуг и осуществляет мониторинг поведения пользователей, находящихся на территории ЕС.

Регламент значительно расширил права резидентов ЕС в сфере контроля над их персональными данными.

Регламент вводит новые понятия к субъектному составу в сфере защиты и обработки персональных данных: «Controller», «Processor», «Data Protection Officer». 

Чтобы четко разграничить понятия «контролер» и «процессор», следует отталкиваться от цели обработки персональных данных. Если компания устанавливает цели и средства обработки персональных данных, то это контроллер. Если компания обрабатывает данные по поручению контролера, то она процессор. Как правило, компании из ЕС выступают контроллерами и наделяют украинские или другие компании полномочиями процессора. В то же время возможен вариант, когда украинская компания является контроллером, соответственно и обязанностей на такую компанию возлагается больше. В данном случае возможны несколько вариантов: 

1) заключить стандартные договоры об обработке персональных данных (Data Protection Acts

2) провести сертификацию процессора, которая подтвердит соответствие / несоответствие субъекта требованиям, предъявляемым процессору; 

3) разработать корпоративные правила, утверждаются контролирующим органом компании из ЕС.

Среди нововведений, в частности: право запрашивать информацию о месте и цели обработки данных, категорию данных, обрабатываемых третьих лиц которым предоставляются персональные данные, период обработки персональных данных, источники получения персональных данных, а также право на подтверждение факта обработки персональных данных лица. 

За незначительное нарушение требований GDPR штраф может составлять до 10000000 евро или 2% от годового мирового оборота (в зависимости от того, какая сумма больше). За более серьезные нарушения (например, несоблюдение принципов защиты данных) предусмотрен более высокий размер штрафа - до 20000000 евро или 4% от годового мирового оборота (также в зависимости от того, какая сумма больше).