В январе 2012 года Европейская комиссия сформулировала планы относительно реформы защиты данных в Европейском Союзе, чтобы Европа "соответствовала духу цифровой эры". Почти четыре года спустя было достигнуто соглашение о том, что эти преобразования предусматривают и как они будут реализованы. GDPR был издан в 2016 году, вступил в силу 25 мая 2018 года и действует не только на европейском пространстве.
Общий регламент по защите данных (ЕС) 2016/679 ("GDPR") в законодательстве Европейского союза является положением о защите данных и конфиденциальности для всех лиц на территории Европейского Союза (ЕС) и Европейской экономической зоны (ЕЭЗ). Он также касается экспорта персональных данных за пределы ЕС и ЕЭЗ. GDPR направлен, прежде всего, на предоставление контроля физическим лицам над их персональными данными и на упрощение правового регулирования для международного бизнеса путем унификации положения в рамках ЕС.
Рассмотрим ключевые принципы GDPR:
- понятие "персональные данные" означает любую информацию, касающуюся идентифицированного или идентифицируемого физического лица ("субъект данных");
- GDPR применяется к обработке персональных данных полностью или частично автоматизированными средствами и к обработке персональных данных иными способами, отличными от автоматизированных средств, которые являются частью системы регистрации или предназначены для формирования системы регистрации;
- GDPR применяется к обработке персональных данных в контексте деятельности учреждения контролера или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет. Регламент распространяется на обработку персональных данных субъектов данных, находящихся в Союзе, контролером или процессором, не учрежденным в Союзе, в случае когда деятельность по обработке связана с предложением товаров или услуг, независимо от того, требуется ли оплата субъекта данных таким субъектам данных в Союзе или мониторинг их поведения в той мере, в которой их поведение происходит на территории Союза;
- персональные данные обрабатываются на принципах законности, справедливости и прозрачности в отношении субъекта персональных данных; способом, обеспечивающим надлежащую безопасность персональных данных;
- персональные данные должны собираться для определенных, четко выраженных и законных целей и не подвергаться дальнейшей обработке способом, несовместимым с этими целями;
- персональные данные должны быть достаточными, релевантными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются; точными и, при необходимости, актуальными; храниться не дольше, чем это необходимо для целей, для которых они обрабатываются;
- обработка осуществляется на основании согласия субъекта данных или иных законных оснований, указанных в статье 6 GDPR;
- согласие должно быть свободно выраженным, определённым, информативным и четко сформулированным указанием на пожелания субъекта данных, с помощью которого он, путем заявления или посредством четких позитивных действий, выражает согласие на обработку своих персональных данных.
Следует обратить внимание на права субъекта данных. GDPR значительно расширил эту категорию. В GDPR субъектам данных предоставляются следующие права:
- право на получение информации;
- право доступа;
- право на уточнение;
- право на уничтожение;
- право на ограничение обработки;
- право на переносимость данных;
- право на возражение;
- право не подвергаться автоматизированному принятию решений в индивидуальном порядке, включая профайлинг, когда решение будет иметь правовые или иные существенные последствия;
- право на правовую защиту.
Поскольку GDPR уже вступил в силу, большинство контролеров и процессоров уже предприняли действия с целью соответствия GDPR. Тем не менее большое количество компаний за пределами Союза всё еще ожидают осуществления процедур GDPR и задаются вопросом, подпадают ли они под действие GDPR или нет. Во-первых, они должны определить свой статус в соответствии с GDPR, являются ли они "контролером" и/или "процессором". В соответствии с GDPR, "контролер" означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с иными лицами определяет цели и средства обработки персональных данных. "Процессор" означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные по поручению контролера. Во-вторых, они должны определить, обрабатывают ли они персональные данные субъектов данных, которые находятся в Союзе. При соблюдении этих требований должны быть приняты следующие минимальные меры:
- назначение инспектора по защите персональных данных, который будет информировать и консультировать контролера или процессора и сотрудников, осуществляющих обработку, в отношении своих обязательств, следить за соблюдением GDPR, сотрудничать с надзорным органом;
- разработка согласия, которое должно отражать, что оно предоставляется свободно и субъект данных (например, клиент или сотрудник) "проинформирован". Согласие должно содержать право отозвать его в любое время;
- проведение соответствующих технических и организационных мероприятий для обеспечения уровня безопасности, соответствующего риску;
- разработка Кодексов поведения, отражающих политику компании в области защиты данных;
- разработка соглашений, которые должны быть подписаны между контролерами и процессорами данных, а также третьими лицами, участвующими в процедуре обработки данных (аутсорсерами);
- организация обучения персонала.
Компании, подпадающие под действие GDPR, должны предпринять меры в кратчайший срок, поскольку штрафы довольно высоки: они могут доходить до 4% от продаж до максимальной суммы 20 млн. евро. Для обеспечения соблюдения GDPR в кратчайший срок компании могут отдавать на аутсорсинг третьим лицам вопросы, связанные с GDPR, или обучаться через различные образовательные программы и получать юридические консультации.