рубрики

GDPR в России:что предпринять отечественным компаниям

25 Мая 2018 в 12:18
С 25.05.2018 страны Европейского союза должны перейти на обновленные правила обработки персональных данных. Общий регламент по защите данных является обязательным при обработке личной информации граждан как в границах ЕС, так и за его пределами. Российскому бизнесу это нужно учитывать, если они каким-то образом сами обрабатывают или имеют доступ к персональным данным европейцев.
Оглавление
Если вы обнаружили в тексте ошибку, сообщите нам об этом, выделив ее и нажав Ctrl+Enter

Какие требования у нового регламента и на кого они распространяются

Регламент ЕС 2016/679 от 27.04.2016 — General Data Protection Regulation (общий регламент по защите данных GDPR) — распространяется на граждан 28 стран Европейского союза. Это значит, что его требования актуальны для компаний, в том числе российских, которые собирают, обрабатывают, хранят либо используют персональные данные граждан из 28 государств ЕС. В первую очередь GDPR с 25 мая 2018 года коснется организаций, которые работают в сфере связи, занимаются онлайн-торговлей и рекламой, оказывают туристические, гостиничные, транспортные, культурно-развлекательные услуги.

Сам генеральный регламент о защите персональных данных (GDPR) содержит 6 основных принципов обработки персональных данных:

  1. Персональные данные должны обрабатываться на законном основании, справедливо и прозрачно. Операторы обязаны информировать о целях, методах и объемах обработки личной информации граждан максимально доступно и просто.
  2. Запрещено собирать и использовать персональные данные в целях, не заявленных компанией.
  3. Допустимо собирать данные только в том объеме, который необходим для целей обработки.
  4. По требованию владельца неточная персональная информация должна быть удалена либо исправлена.
  5. Сведения должны храниться не дольше, чем это необходимо для целей обработки. При этом необходимо соблюдать форму, позволяющую идентифицировать субъекта на ранее оговоренный срок.
  6. При обработке данных операторы обязаны обеспечить их защиту от несанкционированной или незаконной обработки, повреждения, уничтожения.

Для соблюдения каждого из этих принципов необходимо гарантировать выполнение определенных требований. Например, политика конфиденциальности компании должна быть написана очень просто и понятно, чтобы субъект персональных данных понимал, для чего, на какой срок и какие именно сведения он передает. Чтобы и оператор, и владелец данных «спали спокойно», предусмотрена регулярная отчетность по каждому пользователю: какой шаг и когда им был выполнен (когда дал согласие, когда данные изменились, когда сведения были удалены). Также компания должна гарантировать, что в случае утечки личной информации граждане узнают о случившемся в течение 72 часов.

Интересен подход и к дополнительной защите личной информации. Если в законе не указано основание для ее уничтожения, оператор обязан удалять ее по первому требованию владельца. Также компании должны проверять, есть ли пользователю 18 лет. Если нет, согласие на обработку личной информации должно предоставляться родителями, и этот факт должен быть отдельно зафиксирован. Обязательно в организации, особенно если у нее большой объем данных, необходимо назначить лицо, ответственное за обработку и хранение информации. Кроме того, компании обязаны настроить внутреннюю систему доступа работников к разным категориям персональных данных в зависимости от их обязанностей.

Описанное выше — это только небольшая часть обновленного регламента GDPR. Но несоблюдение даже таких азов может привести к наложению крупного штрафа. Его максимальный размер — 20 млн евро или до 4 % от годового оборота компании. Необходимо ли наказывать организацию и какие санкции к ней применить, решают надзорные органы государства, в котором допущено нарушение, либо той страны, права гражданина которой не соблюдались.

GDPR: что делать российским компаниям

На VIII Международной конференции «Защита персональных данных», которая прошла в ноябре 2017 года, руководитель Роскомнадзора Александр Жаров заявил, что требования GDPR не распространяются на российских операторов, осуществляющих деятельность на территории России, поскольку наша страна не является участницей международных договоров с ЕС. Но если юридическое лицо (отдельный филиал или представительство) работает непосредственно в одной из европейских стран, то для него, конечно, будут действовать законодательные нормы государств, где осуществляется его деятельность.

Но российским компаниям тоже надо быть готовыми к переменам. Если не удается следовать новому регламенту в целом, то надо учитывать хотя бы общепринятые международные принципы работы с персональными данными.

Вместе с тем эксперты подчеркивают, что на первом этапе — когда регламент внедряют — начнет формироваться национальная правоприменительная (судебная, административная) практика. После этого будет понятно, что надо менять, как адаптировать российские законы и внутренние документы организаций. Поэтому если ваша компания имеет работников или контрагентов из стран ЕС, нужно знать и понимать, что предусматривают новые стандарты, и по мере возможности внедрять их, поскольку штрафы за нарушение порядка обработки личных данных очень высокие и не факт, что российские чиновники (государство) заступятся за бизнес.

Что же нужно сделать прямо сейчас тем, кто имеет доступ к личной информации граждан из стран Европейского Союза?

  1. Внимательно перечитать политику обработки персональных данных. Максимально просто и четко описать, какую информацию собирает компания, для чего она это делает, как использует ее.
  2. Проанализировать существующую форму дачи согласия на обработку данных. Желательно в этой форме не просто написать "Я даю согласие на обработку персональных данных", а еще раз уточнить, какие именно данные передает пользователь.
  3. Сделать несколько разных форм дачи согласия. В одной — предложить оставить согласие на обработку электронной почты, номера телефона, иных личных сведений. В другой — например, отдельным всплывающим окном — просить о согласии обрабатывать сведения о местоположении пользователя.
  4. При наличии базы клиентов из ЕС оптимально будет обратиться к ним за повторным согласием на обработку данных. В письме нужно объяснить, что повторное получение согласия обусловлено вступлением в силу нового регламента. Также необходимо напомнить, какие сведения собираются, и как они будут использоваться. Не лишним будет напомнить о гарантиях безопасности персональных данных пользователей.
Выскажите свое мнение о статье или задайте вопрос экспертам, чтобы получить ответ
Подпишитесь на новости Клуба кадровиков
Раз в неделю мы будем отправлять самые важные статьи вам на электронную почту.
Вы в любой момент сможете отказаться от наших писем, если потеряете к ним интерес.
Способы проверки сотрудника на судимость

Судимость — это статус гражданина, получаемый при нарушениях закона после осуждения судом и влекущий за собой определенные правовые последствия. При приеме нового сотрудника на работу организации часто требуют предоставить справку о судимости либо хотят проверить судимость онлайн самостоятельно.

Кадровики советуют Персональные данные

24 Июля 2018 в 11:24

Фото работника на пропуск требует письменного согласия

Фотографии относятся к биометрической информации, по которой можно идентифицировать гражданина. Поэтому работодатели, которые хотят использовать фотокарточки сотрудников, должны получить согласие на обработку персональных данных. Компаниям также надо знать, что готовятся новые поправки и штрафы в законодательство о персональных данных. Какие — читайте в нашей статье.

Актуально Персональные данные

28 Мая 2018 в 14:01

Как получить ИНН иностранному гражданину

ИНН выдается каждому юрлицу и физлицу для контроля уплаты налогов (ст. 83 НК РФ). Иностранцы, проживающие в нашей стране, также обязаны платить налоги и сборы в казну государства. Как получить ИНН для иностранных граждан 2018, расскажем в статье.

Иностранные работники Персональные данные

25 Мая 2018 в 16:08

Минтруд: за фальшивый диплом не всегда можно уволить

В Трудовом кодексе сказано, что за предъявление поддельных документов при трудоустройстве работника можно уволить. Министерство труда и социальной защиты высказалось о том, в каких случаях расторжение трудового договора с работником на этом основании может быть признано незаконным.

Актуально Персональные данные

21 Мая 2018 в 13:14

СНИЛС: часто задаваемые вопросы

Аббревиатура «СНИЛС» расшифровывается как страховой номер индивидуального лицевого счета, основной функцией которого является назначение пенсии и ее дальнейший перерасчет. Наличие «зеленой карточки» означает, что человек прошел регистрацию в государственной системе пенсионного страхования (п. 1 ст. 6 ФЗ от 01.04.1996 № 27-ФЗ (ред. от 28.12.2016). Из этого материала вы узнаете, как получить СНИЛС физическому лицу.

Персональные данные

17 Мая 2018 в 13:13

Грамотно решаем профессиональные кадровые вопросы
На ваши вопросы отвечают опытные кадровики и юристы
Вы можете задать
вопрос бесплатно
Есть вопрос? Задайте его прямо сейчас.
Ответ гарантируем!

ОШИБКА В ТЕКСТЕ

Коротко опишите суть
ошибки (например: опечатка)
и нажмите "Отправить"

Сообщение отправлено. Спасибо!

ОТМЕНА