Russian
English
Как соответствовать новым правилам GDPR
Повлияет ли General Data Protection Regulation на бизнес в Российской Федерации?
Law&Trust больше не работает в России. Компания Law&Trust в России передала операционное контроль и управление местному руководству. Новая компания и бренд работает в РФ под названием LegalCraft.
В Европейском Союзе с 25 мая 2018-го вступит в силу GDPR — Общий регламент о защите данных. Соблюдать требования документа должны будут компании, которые занимаются обработкой личной информации граждан ЕС в любой из 28 стран ЕС и за его пределами. Этот регламент станет заменой существующим законам о защите персональных данных в странах Евросоюза. Российские компании, находящиеся в пределах Союза, тоже подпадают под требования документа, поскольку правила GDPR будут применяться экстерриториально, и уже сейчас им следует осуществлять процесс обработки данных согласно новым правилам. Объем работ зависит от бизнес-процессов компании и может оказаться довольно существенным.
О требованиях GDPR и последствиях их несоблюдения
Новый Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR) вносит ряд изменений в правила, регулирующие защиту персональных данных, включая некоторые обязанности:
Новый закон включает в себя такие обязанности:
- учет правил защиты персональной информации на этапе планирования;
- документальное оформление процессов обработки;
- оценку рисков, которые могут затронуть неприкосновенность частной жизни;
- отправку уведомлений об инцидентах, которые коснулись обеспечения безопасности личных данных, в компетентные надзорные органы.
В случае несоблюдения правил надзорный орган в области защиты персональных данных может наложить штраф в сумме до 20 000 000 EUR или до 4% от годового оборота предприятия.
Что делать российским компаниям
Порядок действий для российских компаний зависит от области деятельности, ее организации, архитектуры IT-систем и других нюансов. Возможно, компания должна будет обновить политику и получить разрешение на передачу данных, внедрить новые принципы их защиты, и провести аудит. Может также потребоваться внедрение процедур управления инцидентов, связанных с защитой данных, учитывая установленные Евросоюзом сроки подачи отчетности в компетентные органы.
Для начала, следует оценить уровень конфиденциальности и проанализировать риски, а также выявить и создать карту персональных данных, чтобы быть готовым к вступлению в силу новых требований GDPR. Далее необходимо стандартизировать управление и обработку, а также разработать стандарты конфиденциальности и управления безопасностью. Принципы GDPR должен знать и штат компании. Соблюдение правил должно контролироваться постоянно.
Также компаниям, деятельность которых подпадает под действие регламента, следует провести оценку своих процессов и на предмет соответствия российскому Закону «О персональных данных», действующему с 2006 года.
GDPR и «Закон Яровой»
Вступившие в силу в 2016 году два законопроекта, которые направлены на защиту данных российских граждан от терроризма, требуют, чтобы российские операторы сетей связи (операторы сотовой связи и интернет-провайдеры) фиксировали и сохраняли записи сообщений между всеми пользователями в течение как минимум шести месяцев и предоставляли эти данные властям по их просьбе. Также эти положения расширяют полномочия российских сотрудников правоохранительных органов в отношении мониторинга данных.
Поскольку в «Законе Яровой» не предусматриваются исключения для данных, касающихся иностранных граждан, личная информация граждан ЕС, посещающих Россию или проживающих в России, может стать частью сохраненных сообщений, будет храниться в России и предоставляться российским властям без согласия соответствующих субъектов данных. Такое использование и раскрытие информации противоречит положениям новых правил GDPR, так как они предусматривают усиленную защиту граждан ЕС в отношении обработки персональных данных и свободного перемещения этих данных за пределы ЕС в третьи страны, включая Россию, в которых адекватные меры защиты этих данных отсутствуют.
