GDPR: Новые правила обработки персональных данных в EU
Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.
Территориальное действие GDPR:
Пару интересных моментов по регламенту:
- Если есть хоть один клиент из Европы, чьи персональные данные вы храните, вы автоматически попадаете под GDPR
- Регламент базируется на трёх основных идеях: защита персональных данных, защита прав и свобод людей в защите их данных, ограничение перемещения персональных данных в рамках Евросоюза (Art. 1 GDPR)
- UK всё ещё в EU, поэтому подпадает под действие GDPR, после Brexit-а GDPR будет заменён на Data Protection Bill, который по своей сути очень схож с GDPR (https://ico.org.uk/for-organisations/data-protection-bill/)
- Серьезно ограничивается трансфер данных в третьи страны. Европейская комиссия определяет, в какие “третьи” страны или в какие сектора или организации в этих странах разрешён трансфер персональных данных Art. 45 GDPR. Вот список разрешённых стран.
- Понятно, что внутрь системы просто так надзорный орган никто не пустит, а это значит, что продемонстрировать насколько крута безопасность системы и процессов можно только “на бумаге”. Если безопасность процессов, системы и персональных данных не задокументирована, значит компания не соответствует GDPR. “The controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation.” (Art. 24 GDPR)
Ссылки:
Регламент
Чеклист на соответствие GDPR
Реальный пример штрафа, когда компании сделали рассылку без согласия пользователей
