г. Киев, ул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

GDPR: что это и кому придется внедрить

С 25 мая 2018 года в ЕС действуют General Data Protection Regulation - документ по обработке персональных данных физических лиц. Компаниям, которые занимаются сбором и обработкой персональной информации, следует внедрить требования GDPR. Что это такое и каковы особенности – рассказываем в материале.

 

Что такое GDPR?

GDPR – это свод законов, регламентирующий особенности сбора и обработки личной информации пользователей интернета - физических лиц. Регламент называет их субъектами данных.

  • Цель GDPR – вернуть контроль гражданам над персональными данными.
  • Регламент GDPR предусматривает работу с информацией, которую пользователи предоставили веб-ресурсу:

- ФИО, e-mail, телефон, пол

- IP-адрес, с которого осуществлен вход на ресурс, местонахождение

 

Регламент предусматривает введение новых понятий:

  • контроллеры – организации, собирающие личную информацию;
  • процессоры – организации, которые производят обработку данных.

 

Персональные данные используются только с целью, о которой изначально сообщают, и не передаются третьим лицам. Время хранения информации сводятся к минимуму. Пользователь предупрежден о сборе и согласен с предоставлением информации.

 

Что является персональным данными?

Персональные данные - это сведения, которые идентифицируют личность. К ним относятся ФИО, электронная почта, номер телефона, паспортные данные, семейное положение, профессия, банковские реквизиты, а также данные о геолокации пользователя, устройстве, ОС, Cookies (метаданные).

Также поисковые запросы, сведения о посещенных сайтах и публикациях в соцсетях.

 

Кому нужно внедрять GDPR?

Внедрение GDPR потребуется:

  • компаниям, у которых открыты постоянные или временные представительства в ЕС;
  • компаниям, которые получают и хранят личную информацию пользователей из ЕС;
  • компаниям, которые работают с организациями, которые уже внедрили GDPR.

Даже, если вы ведете бизнес в Украине, но собираете и обрабатываете данные граждан ЕС, вам придется внедрить GDPR. Это и есть специфика регламента.

 

Например, наш клиент создал онлайн-платформу для нетворкинга фрилансеров по всему миру. Чтобы собирать и хранить информацию о пользователях, настраивать таргетированную рекламу и подключать сервисы аналитики, юристы разработали политику конфиденциальности.

 

Собственник бизнеса берет на себя ответственность за обеспечение безопасности данных, если он:

  • ведет бизнес в ЕС: продает товары или предоставляет услуги;
  • нанимает сотрудников из ЕС;
  • получает доступ к данным заказчика из ЕС. Например, банки, медицинские учреждения и страховые компании предоставляют доступ IT-специалистам к персональной информации своих клиентов на время разработки IT-продуктов.
  • собирает данные пользователей из ЕС через ПО: мобильные приложения, игры, SaaS решения, интернет-магазины и маркетплейсы.

 

Принципы внедрения GDPR

  1. Законность и прозрачность – персональная информация может быть получена только законным путем.
  2. Ограничение цели – пользователю сообщают о сборе информации и она не может быть использована для других задач.
  3. Минимизация – не допускается сбор большего массива информации, чем того требует цель.
  4. Точность – некорректные данные удаляются или исправляются.
  5. Ограничение срока хранения – информацию запрещено хранить дольше, чем требуется для обработки.
  6. Конфиденциальность и целостность – защита личных данных пользователей от утечки, потери, передачи третьим лицам, раскрытия.
  7. Подотчетность – контроллер отвечает за соблюдение норм GDPR.

 

Права пользователя

В соответствии с GDPR, у пользователя есть право знать, с какой целью собирают личные данные. Может исправить, очистить, заблокировать обработку персональной информации. К примеру, корпорация Google заплатила штраф в 7 000 000 USD за то, что не удалила личную информацию из результатов поиска по требованию пользователей. Такое решение принял Шведский орган по защите данных.

 

Как обрабатывать данные согласно GDPR

Компании, которые внедряют правила GDPR, обязаны скорректировать политику сбора и обработки персональных данных. На сайты внедряется форма согласия пользователя со сбором информации. Если он не соглашается – использовать её запрещено. Условия и цель сбора прописывается в соглашения с пользователем. Полученная информация и платежные данные хранятся в личном аккаунте и шифруются платежным сервисом.

 

Последствия невыполнения регламента

Невыполнение норм GDPR повлечет за собой серьезные штрафы для компаний – до 20 млн евро или 4% годового оборота бизнеса.

Международная юридическая фирма DLA Piper опубликовала исследование за период с 26 января 2020 года по 27 января 2021 года. Штрафы по GDPR выросли на 40% и за год составили 158 500 000 USD. Органы по защите данных зарегистрировали 121 165 уведомлений о взломе данных. Это на 19% больше, чем за предыдущий год.

 

Gdpr compliance

Прежде чем выводить продукт на рынок ЕС необходимо провести аудит алгоритмов работы с данными и разработать документы по требованиям GDPR.

 

Если ваша компания разрабатывает ПО для иностранного заказчика, перед началом работы он может прислать GDPR-опросник. Это стандартная процедура, с помощью которой клиент убедится, выполняете ли вы регламент. У вас будет время, чтобы привести в порядок документы или разработать недостающие. Например, инструкции и политики для сотрудников по обращению с персональными данными. Также Data Processing Agreement, где стороны договора берут на себя ответственность обеспечить безопасность данных.

 

Вместо заключения

После скандалов с Cambridge Analytica, появление регламента GDPR объяснимо. О примерах применения санкций GDPR к европейским компаниям мы расскажем в следующих материалах. Для IT-компаний, которые работают с потребителями в ЕС, правила регламента обязательны. GDPR комплаенс поднимет уровень доверия к вашей компании и позволит работать с европейскими партнерами в их правовом поле.

 

Последние статьи
Как организовать релокейт в Польшу: гайд по регистрации IT-компании и оформлению команды
Новая статья
16.06.22
Как организовать релокейт в Польшу: гайд по регистрации IT-компании и оформлению команды
Если вы также собираетесь организовать релокейт в Польшу, статья для вас. IT-юристы рассказывают как выйти на европейский рынок, зарегистрировать компанию, перевезти и оформить команду.
Читать статью
Как составить политику конфиденциальности: подробный туториал от IT-юристов Stalirov&Co
Новая статья
01.06.22
Как составить политику конфиденциальности: подробный туториал от IT-юристов Stalirov&Co
Политика конфиденциальности. Как составить политику конфиденциальности для сайта
Читать статью
Инструкция для IT-компаний по составлению гиг-контрактов
Новая статья
31.05.22
Инструкция для IT-компаний по составлению гиг-контрактов
Рассказываем про плюсы и минусы гиг-контракта, и чем он отличается от договора с ФЛП.
Читать статью
Следите за последними новостями
Перезвоните мне IT-юрист свяжется с вами
для обсуждения деталей
Благодарим за обращение!

IT-юрист свяжется с вами и расскажет о юридических решениях

OK
Благодарим за запрос!

IT-юрист перезвонит вам для обсуждения деталей

OK
Благодарим за отзыв!

Мы будем рады, если вы расскажете о нас друзьям и коллегам

OK
Благодарим за запрос!

Команда IT-юристов свяжется с вами и расскажет о вариантах решений

OK
Благодарим за запрос!

IT-юрист свяжется с вами и задаст несколько дополнительных вопросов

OK
Благодарим за интерес!

Ожидайте рекомендации IT-юристов

OK
Благодарим за запрос!

Команда IT-юристов подготовит решение для вас

OK
Благодарим за обращение!

IT-юрист разберет вашу ситуацию и предложит решение

OK