Сегодня: 20 июня 2018
Russian English Greek Latvian French German Chinese (Simplified) Arabic Hebrew

Все, что вам будет интересно знать о Кипре на нашем сайте Cyplive.com
самый информативный ресурс о Кипре в рунете

Кипр переходит на новые правила обработки персональных данных

24 мая 2018
Теги: Кипр, Информация, Общество, Законы, ЕС

В мае 2018 года Европа, в том числе и Кипр переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок. 

С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR. 

Кто в зоне действия GDPR?

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. 
Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.

Должна ли такая организация соблюдать GDPR? - Да!

Ведь услуги и товары очевидно предлагаются жителям Европы, потому что: 

  • услуги/товары адаптированы на местные языки жителей ЕС
  • услуги/товары оплачиваются в местных валютах ЕС
  • услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС

Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных. 

Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС). 

Что подразумевается под персональными данным в GDPR?

Персональные данные — это любая информация, относящаяся к физическому лицу, по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица. Любые фотографии с лицом. Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными. Существуют также определенные типы персональных данных, относящиеся к категории персональных данных: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах, генетические, биометрические данные, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации.

6 принципов обработки данных по GDPR:

  • Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
  • Ограничение цели. Данные должны собираться и использоваться в тех целях, которые заявлены компанией.
  • Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо.
  • Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены.
  • Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки. 
  • Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения. 

Ключевые требования:

  • Уведомление о случаях нарушения GDPR
  • Права субъекта данных (физического лица) 
  • Право на переносимость данных
  • Согласие на обработку
  • Особая защита персональных данных детей
  • Назначение ответственного за защиту персональных данных

Что делать?

Если вы входите в зону действия нового европейского регламента о защите данных или планируете предоставлять услуги и товары в страны ЕС и на Кипр, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).

Вывод:

GDPR — важнейший законодательный документ, который повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.

От этого закона могут пострадать фотографы, так как станет невозможным выкладывать в сеть фотографии, сделанные в публичных местах, на которых присутствуют люди, необходимо будет согласие каждого на фотографии. С другой стороны, такая фотография может быть быстро удалена, по требованию любого физического лица, находящегося на фото. – Источник

Кэтти Kэйдж
Cyprus Butterfly