О GDPR начистоту

О GDPR начистоту

0

С 25 мая 2018 года вступает в силу (GDPR) — закон о защите персональных данных (ПД), по которому технологические компании со всего мира будут работать с партнерами и клиентами из Европейского союза. У компаний было два года на подготовку к этому закону, однако далеко не все нормы нового регулирования прозрачны и понятны. Попробуем разобраться в тонкостях применения GDPR для российских компаний.

«В отличие от российского законодательства в области защиты ПД, в Евросоюзе права физических лиц соблюдаются строжайшим образом, и формально подойти к исполнению GDPR не получится», — предупреждает основатель и руководитель отдела консалтинга компании «Б-152» Максим Лагутин.

Это, по его словам, связано с тем, что граждане ЕС активно пользуются своими правами, и, в случае их несоблюдения, легко могут подать жалобу или судебный иск. Более того, европейские компании требуют от своих российских подрядчиков тщательного соблюдения законодательства в сфере защиты ПД.

Вначале стоит определить, какие российские организации попадают под прямое действие нового закона. Во-первых, это — компании, которые имеют юридическое лицо на территории Евросоюза и обрабатывают ПД физических лиц на территории ЕС. Во-вторых, это — компании, не имеющие юридического лица на территории ЕС, но предлагающие товары или услуги физическим лицам на этой территории. И, наконец, последняя категория – компании, не имеющие юридического лица на территории ЕС, но осуществляющие направленный мониторинг действий пользователей на территории Евросоюза. К этой категории относятся банки, которые контролируют транзакции своих клиентов за рубежом, мобильные операторы, отслеживающие пользователей в роуминге, различные интернет приложения, работающие на территории ЕС и т.д.

Кроме прямого, закон GDPR также оказывает косвенное влияние на российские компании. Речь идет об организациях, к которым контрагенты или клиенты выставляют требования по исполнению основных положений GDPR (например, маркетинговые и рекламные агентства). И компаниях, считающих, что они «не должны отставать от конкурентов», заявивших свое соответствие GDPR.

Остановимся подробнее на основных требованиях, прописанных в GDPR. В отсутствие юридического лица на территории ЕС, компания должна назначить там своего представителя. Следующий шаг – определить законные основания для обработки ПД и реализовать права физических лиц и защиты их данных (например, право на забвение, право пожаловаться на действие/бездействие оператора ПД и др.) Далее, компании следует вести учет всех процессов обработки ПД и готовить документацию. Потом компании нужно оценить риски и реализовать организационные и технические меры по их снижению для физических лиц. Для этого разработаны соответствующие методики и рекомендации Евросоюза. И, наконец, последнее требование: компания должна назначить ответственное лицо – т.н. инспектора по защите ПД (DPO), который будет отвечать за соблюдение норм GDPR.

В законе описаны риски, предусмотренные за его неисполнение. Это — штраф, доходящий до 20 млн долл или 4% годового оборота компании.

Кроме того, следует запрет со стороны регулятора одной из стран-членов ЕС нарушителю работать с европейскими компаниями. «Блокировка сайта или внесение его в «черный список» — это слухи, таких карательных мер в GDPR не содержится», — отмечает Максим Лагутин.

По его словам, определить, нужно ли компании соблюдать нормы GDPR или нет, на самом деле, просто.

Руководство компании должно задать себе всего один вопрос: «Насколько критично для нас будет перестать работать с рынком Евросоюза?». Если сумма инвестиций в реализацию требований GDPR превышает потенциальную прибыль от европейских клиентов, то требования можно не выполнять.

«Документ GDPR очень объемный, и некоторые его нормы до сих пор подробно не раскрыты. Потребуется судебная практика и время, чтобы разобраться во всех нюансах закона», — резюмирует Максим Лагутин.

Редакция MCN Telecom

Поделиться статьей

Комментарии: