Европейское общее положение о защите данных «GDPR» вносит существенные изменения в защиту персональных данных. GDPR устанавливает правила, касающиеся защиты физических лиц в отношении обработки их персональных данных, и правила, касающиеся передачи таких персональных данных.
Поскольку охват GDPR выходит далеко за пределы Европейского Союза, компании за пределами Европейского Союза должны пересмотреть и обновить свою политику и практику конфиденциальности данных. Тем не менее, хотя GDPR вступил в силу 25 мая 2018 года, в то время в отчетах указывалось, что многие компании в Соединенных Штатах еще не внедрили новое регулирование.
GDPR заменяет Директиву 95/46 / EC о персональных данных, которая датируется 1995 годом. За последние два десятилетия на рынке появились новые технологии. Примеры включают Youtube, Facebook, Twitter и Instragram, а также iPhone от Apple. Сегодня у людей есть персональные мобильные устройства, с которых они могут легко обмениваться личной информацией с тысячами, если не с миллионами людей, одним нажатием кнопки – и все это с такого личного мобильного устройства. Например, около двух миллиардов пользователей Facebook делятся своими личными данными, некоторые из них ежедневно.
GDPR применяется к компаниям, обрабатывающим персональные данные, связанные с предложением товаров и услуг в Европейском Союзе или с мониторингом поведения отдельных лиц в Европейском Союзе. Эти новые правила применяются к компаниям, которые передают, обрабатывают или используют личные данные резидентов ЕС за пределами ЕС. GDPR обеспечивает весь подход Европейского Союза к защите персональных данных – это означает, что законы применяются во всех отраслях. Такой подход был принят в других странах, таких как Канада и Австралия. В отличие от этого, Соединенные Штаты, как правило, придерживаются иного подхода к защите данных, то есть секторального подхода.
GDPR определяет личную информацию в широком смысле слова. Персональная информация – это информация, которая может использоваться для идентификации человека как личности посредством ссылки на идентификатор, включая, например, имя, физический или другой адрес, номер телефона, адрес электронной почты, идентификационный номер, имя пользователя в сети, данные о местонахождении, экономические данные, культурной или социальной идентичности и другой подобной информации.
В соответствии с протоколом GDPR обработка информации является законной по кодифицированным причинам, например, если компания обрабатывает персональные данные для выполнения контракта с физическим лицом, или когда физическое лицо дает согласие или выполняет юридическое обязательство. В тех случаях, когда обработка основана на согласии, такое согласие должно быть дано свободно, информировано и недвусмысленно.
Физические лица имеют основные права в соответствии с GDPR. Права включают, например, право на доступ, исправление и удаление личных данных, а также право ограничивать обработку своих личных данных. Физические лица также могут отозвать свое согласие, данное ранее.
GDPR рассматривает права детей на неприкосновенность их частной жизни. Для обработки даннх детей в возрасте до шестнадцати лет требуется согласие родителей. Страны-члены Европейского Союза могут индивидуально установить возраст до тринадцати лет.
Уведомление о некоторых нарушениях обработки персональных данных должно быть сделано в течение 72 часов после того, как стало известно о нарушении, где это возможно, если только нарушение персональных данных приведет к риску дискриминации прав и свобод физических лиц. Если нарушение может привести к высокому риску негативного влияния на права и свободы человека, вы также должны сообщить об этом лицам без неоправданной задержки.
Чтобы соответствовать GDPR, компании должны начать свою деятельность с оценки личных данных, чтобы определить, какие личные данные компания собирает и где и как такие личные данные хранятся. С сегодняшним внедрением облачных сервисов личные данные могут не обязательно храниться на объектах компании.
Когда компания нанимает стороннего поставщика услуг, который обрабатывает личные данные, такие отношения должны регулироваться субподрядчиком. Эти субподряды должны быть пересмотрены и обновлены, чтобы гарантировать, что внешний поставщик услуг соответствует требованиям GDPR, и при необходимости включить стандартные договорные положения, изложенные в GDPR.
Конечно, политика конфиденциальности на веб-сайте компании должна быть пересмотрена и обновлена. Несколько обновлений должны включать четкое определение средств сбора личной информации и перечень прав человека в отношении личных данных.
В заключение, GDPR Европейского союза расширило защиту персональных данных, чтобы охватить те объемы персональных данных, которыми обмениваются люди сегодня, по сравнению с двумя десятилетиями назад. Но компании в Соединенных Штатах Америки могут также подпадать под действие GDPR и должны предпринимать шаги для соблюдения правил. Политика и практика конфиденциальности персональных данных должны быть обновлены.
На видео: GDPR – Основные принципы
