В апреле Европейский парламент принял нормы Общего регулирования защиты данных (General Data Protection Regulation, GDPR). Компании, ведущие бизнес в странах ЕС и обрабатывающие персональные данные их граждан, должны выполнить соответствующие требования к 25 мая 2018 года. Требования согласованы между всеми 28 странами Евросоюза, а значит, компании должны соблюдать внутри ЕС единые стандарты, которые исключительно высоки, и большинству компаний понадобятся значительные инвестиции в реализацию необходимых мер. (Требования распространяются и на многие российские компании, которые могут даже и не подозревать об этом; например, отечественный интернет-магазин может оказаться «оператором» клиентских данных посетившего его гражданина ЕС, а потому должен надлежащим образом обрабатывать, хранить и защищать их. – Прим. ред.)

GDPR содержит 99 статей, которые определяют требования и права, предоставляемые гражданам ЕС, операции и структуру норм регулирования, а также штрафные санкции. Наиболее существенное влияние на бизнес окажут несколько статей.

Что надо знать о GDPRСТАТЬЯ 5. ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Все персональные данные должны обрабатываться прозрачно, в соответствии с действующим законодательством и в целях, определенных их владельцами. Данные разрешено хранить «в форме, позволяющей идентифицировать их субъекта не дольше, чем это необходимо для целей, в которых обрабатываются персональные данные». Все персональные данные должны обрабатываться с учетом требований к безопасности и обеспечению защиты от несанкционированного доступа, потерь и повреждений, с использованием подходящих технических и организационных средств. Указанные средства не регламентированы, но если данные потеряны или украдены, компания может быть обвинена в несоблюдении нормативных требований.

Что надо знать о GDPRСТАТЬИ 6, 7, 8. СОГЛАСИЕ 

Обработка персональных данных должна осуществляться в соответствии с требованиями законодательства; каждый индивидуум должен дать согласие на использование его персональных данных. Собранные данные должны быть нужны для выполнения задач или транзакций, инициированных индивидуумом. Исключение составляют запросы органов государственной власти.

Что надо знать о GDPRСТАТЬЯ 15. ПРАВО ДОСТУПА 

Граждане стран Евроcоюза имеют право знать, какие персональные данные хранит компания и как они используются.

СТАТЬЯ 17. ПРАВО НА ЗАБВЕНИЕ И УНИЧТОЖЕНИЕ ДАННЫХ 

Граждане стран Евроcоюза вправе требовать прекращения обработки и удаления их персональных данных по первому требованию.

СТАТЬЯ 20. ПРАВО НА ПЕРЕНОС ДАННЫХ 

Граждане стран Евроcоюза имеют право на перенос своих персональных данных из одной компании в другую по запросу.

СТАТЬИ 25, 32. ЗАЩИТА ДАННЫХ 

Компании должны предоставлять гражданам стран Евроcоюза разумный уровень защиты данных и конфиденциальности.

Что надо знать о GDPR СТАТЬЯ 35. ОЦЕНКА ВОЗДЕЙСТВИЯ

Компании должны проводить оценку воздействия защиты данных с целью выявления рисков для граждан стран Евроcоюза. В оценке необходимо указать, каким образом компания намерена управлять этими рисками.

Что надо знать о GDPRСТАТЬИ 37, 38, 39. ОТВЕТСТВЕННЫЕ ЗА ЗАЩИТУ ДАННЫХ 

В некоторых компаниях необходимо ввести должность ответственного за защиту данных, который будет контролировать выполнение стратегии в области безопасности и соответствие нормам GDPR. Ответственный должен назначаться, если компания обрабатывает или хранит большие объемы данных о гражданах ЕС, обрабатывает или хранит специальные персональные данные, регулярно осуществляет мониторинг субъектов данных либо относится к органам государственной власти.

Что надо знать о GDPR СТАТЬЯ 83. ШТРАФНЫЕ САНКЦИИ

На компании может быть наложен штраф в размере 20 млн евро или 4% глобального годового оборота – в зависимости от того, какая сумма окажется больше.

– Michael Nadeau. What are the GDPR requirements? CSO. June 29, 2017