Многие думают что регламент по защите персональных данных (GDPR) действует только в странах Евросоюза, в чем глубоко заблуждаются. Он является экстерриториальным и распространяется также на компании, за пределами Евросоюза.
Главным принципом этого регламента является защита прав и свобод физических лиц при обработке их персональных данных (далее ОПД). В этой статье мы постараемся рассказать вам, кому в России необходимо выполнять требования этого регламента, что именно делать для этого и что грозит за его несоблюдение. Если вы планируете или уже сотрудничаете с гражданами Евросоюза, вам обязательно надо знать и соблюдать GDPR.
GDPR в России распространяется на компании, которые
- Предлагают физическим лицам свои услуги и имеют веб-сайт на одном из официальных языков Евросоюза. А также предоставляют возможность оплаты услуг валютой стран Евросоюза, либо эти услуги являются бесплатными.
- Не расположены на территории Евросоюза, но фактически ведут деятельность на его территории и занимаются ОПД его граждан.
- Проводят сбор и анализ данных о посетителях сайтов стран Евросоюза, а их результаты используют самостоятельно, либо продают или передают иным лицам.
- Продают товары с доставкой в Евросоюз с возможностью оплаты в евро.
- Расположены на территории Евросоюза (например являются филиалом).
Если вы ведете сбор, хранение, передачу или обработку ПД резидентов и граждан Евросоюза, то вы автоматически попадете под GDPR: вне зависимости от вашего территориального нахождения.
Основные принципы GDPR:
- Ограничение в количестве собираемых данных. Нельзя собрать больше, чем вам нужно.
- Правомерность, честность и отчетливость. Все способы и намерение сбора и обработки ПД должны быть подробно описаны в политике конфиденциальности.
- Целостность и конфиденциальность. Обеспечение защиты и конфиденциальности данных от незаконной обработки, порчи или утилизации.
- Правильность. Неверные личные данные пользователей подлежат изменению или утилизации по их требованию.
- Ограничение цели. Вы должны подробно известить, с каким намерением вы проводите сбор и обработку данных.
- Ограниченное время хранения. Данные должны утилизироваться после их окончательной обработки.
Теперь каждый пользователь имеет право знать о том, что его персональные данные собираются, запрашивать их у компании и просить об утилизации этих данных.
Как соблюсти GDPR:
- Информируйте своих пользователей о сборе их персональных данных
- Дайте пользователям возможность соглашаться на сбор и обработку их данных
- Организуйте “двойное согласие”
- Предоставьте данные пользователя и удаляйте их по первому требованию
- Сообщайте о потере данных
Что грозит за несоблюдение GDPR?
Уровень наказания, зависит от множества факторов: величины нарушения, числа пострадавших и степени ущерба, который им причинен, а также от того умышленно или случайно совершено это нарушение.
Конечно это мощно подпортит репутацию вашей компании, показав нечестность и неправомерность с вашей стороны. Пользователи с опасением будут доверять вам свои данные, что скорее всего приведет к потерям значительнее, чем штрафы. Вы рискуете как клиентами, так и партнерами.
Подведем итог
В случае если ваш бизнес никаким образом не связан с Евросоюзом и не касается его граждан, то вам не стоит об этом беспокоиться. А вот если ваша компания сотрудничает и контактирует с ними, либо на его территории, тогда вам стоит изучить регламент более подробно и соблюдать пункты касающиеся вас.