Ключевые изменения GDPR

By in
Ключевые изменения GDPR

Целью GDPR является защита всех граждан ЕС от неприкосновенности частной жизни и нарушений данных в мире, все более ориентированном на данные, которые значительно отличаются от времени, когда была установлена ​​директива 1995 года. Несмотря на то, что основные принципы конфиденциальности данных остаются верными предыдущей директиве, многие изменения были предложены в политике регулирования; ключевые моменты GDPR, а также информация о последствиях, которые он будет иметь для бизнеса, можно найти ниже.

Увеличение территориального охвата (вне территориальная применимость)
Возможно, самое большое изменение в нормативном плане конфиденциальности данных связано с расширенной юрисдикцией GDPR, поскольку оно применяется ко всем компаниям, обрабатывающим персональные данные субъектов данных, проживающих в Европейском Союзе, независимо от местонахождения компании. Раньше территориальная применимость директивы была неоднозначной и относилась к процессу данных «в контексте учреждения». Эта тема возникла в ряде судебных дел высокого уровня. GPDR делает его применимость очень понятным – он будет применяться к обработке персональных данных контроллерами и процессорами в ЕС, независимо от того, происходит ли обработка в ЕС или нет. GDPR также будет применяться к обработке персональных данных субъектов данных в ЕС контроллером или процессором, не установленным в ЕС, где деятельность связана с: предложением товаров или услуг гражданам ЕС (независимо от того, требуется ли оплата) и мониторинг поведения, который происходит в ЕС. Компании, не входящие в Eu, обрабатывающие данные граждан ЕС, также должны будут назначить представителя в ЕС.

Штрафы
Организации подпадающие под действия и нарушающие GDPR, можно оштрафовать до 4% годового глобального оборота или 20 млн. Евро. Это максимальный штраф, который может быть наложен на самые серьезные нарушения, например, не имея достаточного согласия с клиентом обрабатывать данные или нарушать ядро ​​концепции конфиденциальности по дизайну. Существует многоуровневый подход к штрафам, например. компания может быть оштрафована на 2% за то, что у них нет записей в порядке (статья 28), не уведомляя надзорный орган и субъект данных о нарушении его прав.. Важно отметить, что эти правила применяются как к контроллерам, так и к процессорам.

Согласие
Условия для согласия были усилены, и компании больше не смогут использовать длинные неразборчивые условия, поскольку просьба о согласии должна быть предоставлена ​​в понятной и легкодоступной форме с целью обработки данных, прилагаемой к это согласие. Согласие должно быть четким и отличным от других вопросов и предоставляться в понятной и легкодоступной форме с использованием понятного и простого языка. Должно быть право так же легко отозвать согласие, как оно есть.

Права субъекта данных

Уведомление о нарушении
В соответствии с GDPR уведомление о нарушении станет обязательным во всех государствах-членах, где нарушение данных может «привести к риску для прав и свобод отдельных лиц». Это должно быть сделано в течение 72 часов с момента первого осознания нарушения. Процессоры данных также будут обязаны сообщать своим клиентам, контроллерам, «без неоправданной задержки» после того, как они впервые узнают о нарушении данных.

Право на доступ
Часть расширенных прав субъектов данных, обозначенных GDPR, является правом, которое субъекты данных могут получить у контроллера данных о том, обрабатываются ли персональные данные по ним, где и с какой целью. Кроме того, контроллер должен бесплатно предоставить копию персональных данных в электронном формате. Это изменение представляет собой драматический переход к прозрачности данных и расширению прав и возможностей субъектов данных.

Право быть забытым
Также известный как Data Erasure, право на забвение дает право на удаление персональные данных, прекращает дальнейшее распространение данных и потенциально может заставить третьих лиц прекратить обработку данных. Условия стирания, как указано в статье 17, включают данные, которые больше не имеют отношения к исходным целям для обработки, или субъекты данных, снимают согласие на обработку данных.

Переносимость данных
GDPR вводит понятие переносимость данных – право на персональные данные, полученные от лиц, которые они ранее предоставили контроллеру и могут быть переданы другому контроллеру.

Конфиденциальность по дизайну
Конфиденциальность по дизайну как концепции существует уже много лет, но она только становится частью юридического требования к GDPR. В своей основе конфиденциальность по дизайну требует включения защиты данных с самого начала проектирования систем, а не добавления. В частности – «Контролер должен … надлежащим образом выполнять соответствующие технические и организационные меры .. эффективным образом .. для того, чтобы соответствовать требованиям настоящего Регламента и защищать права субъектов данных». Статья 23 призывает контролеров удерживать и обрабатывать только данные, абсолютно необходимые для выполнения своих обязанностей (минимизация данных), а также ограничение доступа к персональным данным тем, кто должен заниматься обработкой.

Сотрудники по защите данных – Data protection officer
В настоящее время контролеры должны сообщать о своих действиях по обработке данных с помощью местных DPA (Data protection authorities), что для транснациональных корпораций может быть бюрократическим кошмаром, причем большинство государств-членов имеют разные требования к уведомлению. В соответствии с GDPR нет необходимости представлять уведомления / регистрации в каждый местный DPA о деятельности по обработке данных, а также не требуется уведомлять / получать разрешение на переводы на основе положений типовых контрактов (Model Contract Clauses MCC). Вместо должны быть соблюдены требования внутреннего учета, как поясняется ниже, а назначение DPO будет обязательным только для тех контроллеров и процессоров, основные виды деятельности которых состоят из операций обработки, которые требуют регулярного и систематического мониторинга данных в крупном масштабе или специальных категорий данных или данных, относящихся к уголовным судимостям и правонарушениям. Важно отметить, что DPO:

Должны быть назначены на основе профессиональных качеств и, в частности, экспертных знаний о законах и практике защиты данных
Может быть сотрудником или внешним поставщиком услуг
Контактная информация должна быть предоставлена ​​соответствующему DPA
Должны быть предоставлены соответствующие ресурсы для выполнения своих задач и поддержания их экспертных знаний
Необходимо сообщать непосредственно на высший уровень управления
Не должны выполнять какие-либо другие задачи, которые могут привести к конфликту интересов.