С 2018 года Европа перешла на новые стандарты обработки персональных данных. В силу вступил регламент GDPR, разработанный в 2016 году и заменивший собой устаревшую директиву образца 1995 года. Требования разработаны для стран Европейского союза, но имеют экстерриториальный принцип действия, то есть применимы ко всем организациям, осуществляющим деятельность на европейском или международном рынке.
Зачем нужен GDPR?
General Data Protection Regulation создан в ответ на растущую цифровизацию экономики, активное использование персональных сведений людей и компаний. Эта информация становится ценной «валютой», поскольку открывает широкие возможности для бизнеса, а также для злоупотреблений, мошеннических действий. Повысить уровень защиты и призван новый регламент.
Документ определяет принципы, требования обработки сведений, права субъектов. Он повышает прозрачность работы организаций и повышает доверие пользователей к цифровым продуктам, услугам.
Основные положения регламента
GDPR вводит следующие принципы:
- законность и прозрачность информирования;
- ограничение операций;
- минимизация объема;
- точность;
- ограниченность во времени хранения;
- защищенность, конфиденциальность.
Организации могут назначать ответственных специалистов по вопросам обеспечения безопасности, контролю процессов, соблюдению регламентированных норм. Необходимо сообщать о любых нарушениях в срок до 72 часов.
Существенно расширены права субъектов по контролю собственной информации: люди могут запрашивать подтверждение фактов использования личных данных, а также требовать прекращения их обработки. Вводятся строгие критерии для получения пользовательского согласия.
Предусмотрены особые меры защиты детей как наиболее уязвимой категории граждан. Их согласие должно быть авторизовано родителями (законными представителями).
На кого распространяются введенные правила
Регламент распространяется на все компании, которые обрабатывают сведения граждан и резидентов Евросоюза, вне зависимости от места базирования бизнеса. Например, если компания находится в России и продает товары, услуги пользователям в ЕС, она обязательно должна исполнять General Data Protection Regulation, иначе для нее будут введены санкции или закрыт доступ к рынку.
Для соответствия положениям GDPR следует выполнить комплексную оценку используемых методов и средств работы с информацией, оптимизировать их, доработать политику конфиденциальности и пользовательские соглашения, провести обучение сотрудников. Рекомендуется назначить ответственное лицо и начать вести документацию по обрабатываемым данным.