Корректировки

ЧТО ТАКОЕ GDPR?

Общий регламент по защите данных (GDPR), согласованный Европейским парламентом и Советом в апреле 2016 года, заменил Директиву о защите данных 95/46 / ec весной 2018 года в качестве основного закона, регулирующего порядок защиты компаниями личных данных граждан ЕС. Компании, которые уже соблюдают Директиву, должны убедиться, что они также соблюдают новые требования GDPR, вступившие в силу с 25 мая 2018 г. Компании, которые не смогут достичь соответствия GDPR до указанного срока, будут подвергнуты строгим штрафам и санкциям.

Требования GDPR применяются к каждому государству-члену Европейского Союза, стремясь обеспечить более последовательную защиту потребительских и личных данных во всех странах ЕС. Некоторые из ключевых требований GDPR к конфиденциальности и защите данных включают:

  • Требование согласия субъектов на обработку данных
  • Анонимизация собранных данных для защиты конфиденциальности
  • Предоставление уведомлений об утечке данных.
  • Безопасная передача данных через границу.
  • Требование от определенных компаний назначить сотрудника по защите данных для надзора за соблюдением GDPR.

Проще говоря, GDPR устанавливает базовый набор стандартов для компаний, которые обрабатывают данные граждан ЕС, чтобы лучше защитить обработку и перемещение личных данных граждан.

КТО ПОДЛЕЖИТ СОБЛЮДЕНИЮ GDPR?

Цель GDPR — наложить единый закон о безопасности данных для всех членов ЕС, чтобы каждому государству-члену больше не нужно было писать свои собственные законы о защите данных, и законы были согласованы во всем ЕС. Помимо членов ЕС, важно отметить, что любая компания, которая продает товары или услуги резидентам ЕС, независимо от ее местонахождения, подлежит регулированию. В результате GDPR повлияет на требования к защите данных во всем мире.

ТРЕБОВАНИЯ ОБЩЕГО ПОЛОЖЕНИЯ О ЗАЩИТЕ ДАННЫХ

Сам GDPR состоит из 11 глав и 91 статьи. Ниже приведены некоторые главы и статьи, которые могут оказать наибольшее потенциальное влияние на операции по обеспечению безопасности:

  • Статьи 17 и 18 — Статьи 17 и 18 GDPR предоставляют субъектам данных больший контроль над персональными данными, которые обрабатываются автоматически. В результате субъекты данных могут более легко передавать свои личные данные между поставщиками услуг (также называемое «право на переносимость»), и они могут указывать контроллеру стереть их личные данные при определенных обстоятельствах (также называемое «правом на стирание»).
  • Статьи 23 и 30 — Статьи 23 и 30 требуют, чтобы компании применяли разумные меры защиты данных для защиты личных данных и конфиденциальности потребителей от потери или разглашения.
  • Статьи 31 и 32 — Уведомления об утечке данных играют большую роль в тексте GDPR. Статья 31 определяет требования к единичным нарушениям данных: контролеры должны уведомить надзорные органы (SA) о нарушении личных данных в течение 72 часов с момента обнаружения нарушения и должны предоставить конкретные детали нарушения, такие как характер и приблизительное количество нарушений, затронутые субъекты данных. Статья 32 требует, чтобы контроллеры данных как можно быстрее уведомляли субъектов данных о нарушениях, когда нарушения подвергают их права и свободы высокому риску.
  • Статьи 33 и 33a — Статьи 33 и 33a требуют от компаний проведения оценок воздействия на защиту данных для выявления рисков для данных потребителей и обзоров соответствия требованиям защиты данных, чтобы гарантировать устранение этих рисков.
  • Статья 35 — Статья 35 требует, чтобы определенные компании назначали сотрудников по защите данных. В частности, любая компания, обрабатывающая данные, раскрывающие генетические данные субъекта, его состояние здоровья, расовое или этническое происхождение, религиозные убеждения и т. д., должна назначить сотрудника по защите данных; эти сотрудники служат для консультирования компаний по вопросам соблюдения нормативных требований и выступают в качестве контактных лиц с SA. Некоторые компании могут подпадать под действие этого аспекта GDPR просто потому, что они собирают личную информацию о своих сотрудниках в рамках процессов управления персоналом.
  • Статьи 36 и 37 — Статьи 36 и 37 определяют должность сотрудника по защите данных и его обязанности по обеспечению соблюдения GDPR, а также отчетности перед надзорными органами и субъектами данных.
  • Статья 45 — Статья 45 распространяет требования о защите данных на международные компании, которые собирают или обрабатывают личные данные граждан ЕС, подвергая их тем же требованиям и штрафам, что и компании, расположенные в ЕС.
  • Статья 79. В статье 79 излагаются штрафы за несоблюдение GDPR, которые могут составлять до 4% от глобального годового дохода компании-нарушителя в зависимости от характера нарушения.

ОБЕСПЕЧЕНИЕ ИСПОЛНЕНИЯ GDPR И НАКАЗАНИЯ ЗА НЕСОБЛЮДЕНИЕ

По сравнению с прежней Директивой о защите данных GDPR увеличил штрафы за несоблюдение. SA имеют больше полномочий, чем в предыдущем законодательстве, потому что GDPR устанавливает стандарт в ЕС для всех компаний, которые обрабатывают личные данные граждан ЕС. SA обладают полномочиями по расследованию и исправлению ситуации и могут выдавать предупреждения о несоблюдении, проводить аудит для обеспечения соответствия, требовать от компаний внесения определенных улучшений в установленные сроки, отдавать приказ об удалении данных и блокировать передачу данных компаниями в другие страны. Контроллеры и обработчики данных подчиняются полномочиям и штрафам SA.

GDPR также позволяет SA устанавливать более крупные штрафы, чем Директива о защите данных; штрафы определяются в зависимости от обстоятельств каждого дела, и SA может выбрать, применять ли свои корректирующие полномочия со штрафами или без них. Для компаний, которые не соблюдают определенные требования GDPR, штрафы могут составлять до 2% или 4% от общего глобального годового оборота или 10 или 20 млн евро, в зависимости от того, что больше.

GDPR ПРИМЕНЯЕТСЯ ДЛЯ ВСЕХ ГРАЖДАНИН ЕВРОПЫ

Помимо членов ЕС, важно отметить, что любая компания, которая продает товары или услуги резидентам ЕС, независимо от ее местонахождения, подлежит регулированию. Соблюдая требования GDPR, предприятия избегают платить дорогостоящие штрафы, улучшая защиту данных клиентов и повышая доверие к ним.

Теперь, когда это положение о конфиденциальности вступило в силу, веб-сайты, которые не соблюдают его, будут недоступны в европейских странах. Наиболее заметными среди временно заблокированных сайтов были Chicago Tribune и LA Times. Если сайт вашей организации собирает какие-либо регулируемые данные от европейских пользователей то вы обязаны соблюдать GDPR.

ПРИМЕНИТ ЛИ США ТРЕБОВАНИЯ GDPR?

Разговор приобрел резонанс после слушаний в Конгрессе основателя Facebook Марка Цукерберга. Многие штаты приняли собственные законы, наиболее заметным из которых на сегодняшний день является Закон Калифорнии о конфиденциальности потребителей.

Согласно отчету Ovum, около двух трети компаний в США могут переосмыслить свою стратегию в Европе в результате GDPR. Однако, поскольку компании ожидают ужесточения правил конфиденциальности данных в Соединенных Штатах, некоторые понимают, что, возможно, пришло время внедрить более строгие меры защиты данных во всех сферах.

ЛУЧШИЕ ПРАКТИКИ ДЛЯ GDPR:

Все организации, от малых предприятий до крупных предприятий, должны знать все требования GDPR и быть готовыми соблюдать их в будущем. Для многих из этих компаний первым шагом к соблюдению GDPR является назначение сотрудника по защите данных, который будет создавать программу защиты данных в соответствии с требованиями GDPR. После выполнения требований важно быть в курсе изменений в законах и методах правоприменения.

ШАГИ ДЛЯ ОБЕСПЕЧЕНИЯ СООТВЕТСТВИЯ GDPR

  1. Прочтите GDPR физически.

Несмотря на то, что есть разделы, которые нелегко истолковать и содержат больше юридических формулировок, каждый человек, который может быть затронут GDPR, должен попытаться прочитать и понять этот важный закон.

  1. Обратитесь к другим организациям

GDPR распространяется на компании во всем мире, а не только на предприятия Европейского Союза. Если вы или сотрудники вашей организации по-прежнему не понимаете, какие шаги необходимы для достижения соответствия, обратитесь к тем, кто соблюдает требования. Многие компании, вероятно, поделятся шагами, предпринятыми для достижения соответствия.

  1. Уделяйте пристальное внимание своему веб-сайту

Файлы cookie, подписки, хранилище данных и многое другое — это то, что можно легко настроить на веб-сайте. Другое дело, соответствуют ли они GDPR. Несмотря на то, что многие инструменты, используемые для сбора и хранения контактных данных, допущены GDPR, вы все равно должны убедиться, что соблюдаете требования Регламента.

  1. Обращайте внимание на свои данные

Все данные в вашей организации должны соответствовать GDPR, если вы находитесь (в цифровом или физическом виде) в ЕС. Правильно определите, как данные поступают, хранятся и / или передаются и удаляются. Знание каждого пути, по которому может идти личная информация, имеет жизненно важное значение для предотвращения нарушений и обеспечения надлежащей отчетности в случае потери данных.

Основными задачами общественного объединения являются объединение людей и организаций, работающих в сфере информационной безопасности, поддержка их профессионального и карьерного роста, обмен знаниями и опытом, разработка проектов на благо общества, просвещение общественности по вопросам информационной безопасности. .

Facebook-f Linkedin

Menu

Контакты

  • (+994) 55 203 47 77
  • info@inseco.org
  • Улица Афиаддина Джалилова 20, Баку

карта

Основными задачами общественного объединения являются объединение людей и организаций, работающих в сфере информационной безопасности, поддержка их профессионального и карьерного роста, обмен знаниями и опытом, разработка проектов на благо общества, просвещение общественности по вопросам информационной безопасности. .

Facebook-f Linkedin

Меню

Контакты

  • (+994) 55 203 47 77
  • info@inseco.org
  • Улица Афиаддина Джалилова 20, Баку

карта