Май 2018

Общий регламент по защите данных

Уважаемые друзья!

25 мая 2018 года вступил в действие Общий регламент по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Исполнять закон необходимо любому бизнесу, вне зависимости от юрисдикции, в случае, если в работе он использует данные жителей Евросоюза. Требования связаны с хранением данных в обезличенном и зашифрованном виде, они должны быть защищены.

В случае утечки информации необходимо уведомить регулирующие органы в течение 72 часов. GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

Разумеется, филиалы, представительства украинских, российских и других организаций на территории ЕС должны будут соответствовать новым требованиям.

Исходя из положений GDPR scope, все фирмы обязаны:
• Убедиться, что у них есть защищенные системы для защиты данных отдельных лиц от кибер атак и других возможных атак, связанных с случайной потерей данных. Если данные передаются между фирмами, они должны быть зашифрованы, а риск потери данных должен быть сведен к минимуму;
• Иметь возможность идентифицировать, удалять частично или полностью все данные, относящиеся к человеку, если человек запрашивает удаление этих данных. Например, когда человек увольняется, он может теперь запросить, чтобы все данные (за некоторыми исключениями), относящиеся к нему, включая фотографии, были окончательно удалены с локальных дисков и на сетевом уровне.
• Доказать, что сохранённые данные отдельных лиц, используются только с целевым назначением.

Кроме всего, для компаний, осуществляющих обработку персональных данных, GDPR предусматривает новые понятия, такие как DPO (data protection officer) и representative.
DPO (data protection officer) — имеется в виду инспектор по персональным данным, который в некоторых случаях должен обязательно назначаться в штат компании, работающей с персональными данными.

Representative — имеется в виду обязательный представитель (физическое или юридическое лицо), имеет возможность представлять интересы компаний, которые не зарегистрированы на территории Европейского Союза и не имеют своего филиала или представительства для возможности коммуникации с местными органами управления по вопросам защиты персональных данных.

Также, в тексте GDPR скрыто много других требований, исследования и применение которых поможет компании избежать рисков в будущем.
Что бы понят важность этого нововведения, штрафы за несоблюдение или серьезное нарушение этого закона являются значительными и могут составлять до 4% от оборота или до 20 миллионов евро (в зависимости от того, что больше).

Положение GDPR касаются всех без исключения компаний, однако, больше всего нужно сосредоточиться тем компаниям, которые организуют свою деятельность в сфере ІТ технологий и осуществляют ее через всемирную сеть Internet, так как их деятельность в большей степени связана с персональными данными чем деятельность любых других компаний.

Если у Вас возникли вопросы к юристу в связи с вступлением в силу GDPR звоните нам по номеру +38(044)4928716 или пишите на адрес hello@uhy-prostor.com
Мы будем рады Вам помочь.