ЕС GDPR

Штрафы могут составлять 4% от годового мирового оборота за нарушение GDPR или €20 миллионов. Это максимальный штраф, который может быть наложен за самые серьезные нарушения, например, отсутствие достаточного согласия клиента на обработку данных или нарушение основополагающих концепций «Конфиденциальности по дизайну».

Персональные данные - это любая информация, которая может быть использована для прямой или косвенной идентификации человека, такая как имя, фотография, адрес электронной почты, банковские реквизиты, публикации в социальных сетях, медицинская информация или IP-адрес компьютера.

Согласие должно быть дано в понятной и легко доступной форме с целью обработки данных, прикрепленной к этому согласию. Оно должно быть недвусмысленным, легко идентифицируемым и использовать clear и легко понимаемый язык. Также должно быть так же легко отозвать согласие, как и дать его. При обработке чувствительных персональных данных ничего, кроме «опта», не будет достаточным.

Если субъект данных младше 16 лет, потребуется согласие родителей для обработки персональных данных ребенка. Государства-члены могут снизить возраст родительского согласия, но не ниже 13 лет.

DPO должны быть назначены в случае (a) государственных органов, (b) организаций, которые занимаются систематическим мониторингом больших объемов данных, или (c) организаций, которые участвуют в массовой обработке чувствительных персональных данных (ст. 37). Если ваша организация не попадает в одну из этих категорий, то вам не нужно назначать DPO.

Уведомление о нарушении

В соответствии с GDPR уведомление о нарушении станет обязательным во всех государствах-членах, где нарушение данных может «повлечь риск для прав и свобод отдельных лиц». Уведомление должно происходить в течение 72 часов после того, как стало известно о нарушении. Обработчики данных также будут обязаны уведомить контроллеров «без неоправданной задержки» после того, как впервые узнали о нарушении данных.

Право на доступ

Субъекты данных имеют право получить подтверждение от контроллера данных о том, обрабатывались ли их персональные данные, где и с какой целью. Контроллер данных должен предоставить копию персональных данных бесплатно в электронном формате.

Право на забвение

Известное как удаление данных, право на забвение дает субъекту данных право требовать от контроллера данных удалить их персональные данные, прекратить дальнейшее распространение данных и потенциально заставить третьих лиц прекратить обработку данных. Данные больше не должны быть актуальными для первоначальных целей обработки или субъект данных отозвал согласие. Также следует отметить, что это право требует от контроллеров сопоставить права субъекта с «общественными интересами в доступности данных» при рассмотрении таких запросов.

Портативность данных

Субъект данных может получить персональные данные, касающиеся его, которые он ранее предоставил в «общепринятом и машиночитаемом формате», и имеет право передать эти данные другому контроллеру.

Конфиденциальность по дизайну

Конфиденциальность данных должна быть в центре технологических систем, которые контроллеры и обработчики используют для управления информацией субъектов данных, а не просто дополнением.

Информация, которая должна быть предоставлена субъекту данных при сборе данных, была четко определена и включает:

• Личность и контактные данные контроллера и DPO
• Цели обработки, для которых предназначены персональные данные
• Правовая основа обработки
• При необходимости, законные интересы, преследуемые контроллером или третьей стороной
• При необходимости, получатели или категории получателей персональных данных
• Период, в течение которого персональные данные будут храниться, или, если это невозможно, критерии, используемые для определения этого периода
• Наличие права на доступ, исправление или удаление персональных данных
• Право на портативность данных
• Право в любой момент отозвать согласие
• Право подать жалобу в надзорный орган

Важно, что если данные не были получены непосредственно от субъекта данных (возможно, с использованием списка третьей стороны), список варьируется и включает источник, из которого происходят персональные данные:

• Наличие любого профилирования и значимая информация о логике, вовлеченной в это, а также значимость и предполагаемые последствия такой обработки для субъекта данных.
• GDPR представляет собой значительную проблему для маркетологов, получающих данные из списков третьих сторон.

1. Разработайте проактивный план для соблюдения GDPR.
2. Проверьте уведомления о конфиденциальности и политики, и убедитесь, что они соответствуют уровням соблюдения GDPR.
3. Подготовьте план на случай нарушения безопасности.
4. Проведите аудит ваших согласий.
5. Сделайте согласия на маркетинг по принципу "опт-ин".
6. Пересмотрите часть директивы о законных интересах с вашим юридическим консультантом, чтобы убедиться, что она охватывает вашу организацию для использования данных покупателя для обработки и управления этим заказом.
7. Сделайте язык вашего согласия легким для поиска и чтения о использовании личных данных.
8. Создайте план действий для запросов субъектов данных к вашей организации на использование их данных.
9. Станьте ответственными за ваше соблюдение.
10. Обучите своих сотрудников.
11. Иметь clear процессы на месте, задокументированные и проверенные.
12. Назначьте DPO, если это требуется.
13. Убедитесь, что ваши партнеры по контролю/обработке соблюдают требования.

GDPR применяется к организациям, контроллерам и процессорам, расположенным как внутри, так и за пределами ЕС, которые предлагают товары или услуги субъектам данных ЕС. GDPR также применяется к организациям, таким как маркетинговые организации или те, кто поставляет или использует данные, которые отслеживают поведение субъектов ЕС.

Контроллер определяет цели, условия и средства обработки личных данных, в то время как процессор обрабатывает личные данные от имени контроллера.