Frequently Asked Questions

Что такое GDPR?

C 25 мая 2018 года в Европе вступят в действие  правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Новшеством GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним.

GDPR действует только в Европе ?

Нормы GDPR прямо распостраняються на всех, кто так или иначе работает с физлицами или компаниями Европы. Это это коснется финансовые компании, технологических, медиа- и телеком-компании, фармацевтических компаний, транспортных компаний, интернет-магазинов, поисковые системы и т.д. Все к кому попадают персональные данные (в понятии GDPR) субъектов ЕС подпадут под действие GDPR.

Что является персональными данными с точки зрения GDPR ?

Понятие персональных данных с точки зрения GDPR включает в себя любую информацию, касающуюся конкретного человека, то есть личные, публичные или профессиональные данные, имена, адреса и финансовая информации, а так же и все остальное то, что может идентифицировать личность (например, IP-адреса, MAC-адреса, идентификация пользователей при регистрации для входа в систему, данные биометрической идентификации, данные о географическом местоположении, видеоматериалы, статистика лояльности клиента, посты и фото в социальных сетях).

Что такое уведомление о случаях нарушения GDPR?

Субъекты GDPR обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.
Список национальных регуляторов в области персональных данных по всем странам ЕС. Также есть общеевропейский регулятор - Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган - Европейский совет по защите данных (European Data Protection Board - EDPB).

Роскомнадзор говорит, что требования Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, это правда?

В ноябре на VIII Международной конференции «Защита персональных данных» руководитель Роскомнадзора Александр Жаров отметил, что требования Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России, поскольку Российская Федерация не является участницей международных договоров с ЕС. На них распространяется действие только российских законов в этой сфере в соответствии с общепринятыми международными принципами обработки персональных данных.» К сожалению точка зрения руководитель Роскомнадзора соответствует действительности только отчасти. Мелких ISP провадеров GDPR возможно и не коснеться, а вот средних и крупных операторов и хостинговые компании увы будет касаться напрямую. И словами Александра Жарова в Европе прикрыться увы не получится.

GDPR и Трансграничная передача данных.

Контролер, может передать персональные данные оператору, находящемуся за пределами Евросоюза. Это происходит в нескольких случаях: а) если передача санкционирована Комиссией ЕС (передача разрешена в 11 странах, их список указан на официальном сайте комиссии, Россия в данном списке не фигурирует); б) если в стране-адресате внедрены необходимые меры, обеспечивающие адекватный уровень защиты ПДн. Адекватный уровень защиты может быть подтвержден Сертификатом соответствия требованиям GDPR.

Что такое DPIA?

 В рамках планирования и организации мер по защите персональных данных граждан компании обязаны проводить оценку влияния процессов обработки персональных данных на права и свободы владельцев ПДн — Data Privacy Impact Assessment (DPIA). Кроме того, организациям необходимо принять условия концепции проектируемой конфиденциальности и конфиденциальности по умолчанию, так называемые privacy by design и privacy by default. Согласно концепции privacy by design организация должна учитывать риски, связанные с персональными данными, на всех этапах процесса обработки данных (при проектировании дизайна процесса обработки, формировании функциональных требований к ИТ-системам, настройке механизмов безопасности в ИТ-системах и средствах защиты, при передаче данных в архивное хранение и при их уничтожении). Концепция privacy by default подразумевает, что организация в рамках четко сформулированных целей должна обрабатывать минимально необходимый состав персональных данных.

Search