Что такое GDPR

⏱ Время чтения: 4 минут

Что такое GDPR: кто должен соблюдать, какие требования и штрафы

GDPR — наиболее строгий в мире закон о конфиденциальности и безопасности данных, который распространяется на все организации, обрабатывающие информацию о жителях Европейского союза, даже если они находятся за его пределами. Рассказываем, что представляет собой GDPR, кто обязан его соблюдать, какие стандарты и принципы следует учитывать. Кроме того, какие возможны штрафы и санкции за нарушение этого закона.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Что такое GDPR и для чего он нужен

GDPR расшифровывается как General Data Protection Regulation — общий регламент по защите данных. Этот законодательный акт Европейского союза призван обеспечить защиту данных и конфиденциальность граждан ЕС. Генеральный регламент по защите относительно новый, он принят в 2018 году.

Его цели:

• защита прав граждан ЕС;

• автоматизация обработки персональных данных (имя, дата рождения, адрес) и конфиденциальных личных данных (религиозные убеждения, этническое происхождение, политические взгляды), чтобы обеспечить их безопасность и защиту от неправомерного использования;

• усиление ответственности организаций, которые собирают и обрабатывают такие данные; 

• установка единых международных стандартов и средств для обработки персданных в ЕС;

• сотрудничество между органами надзора в вопросах защиты и контроля персональных данных;

• повышение осведомленности и контроля граждан над их персональными данными;

• стимулирование роста цифровой экономики.

GDPR обязывает компании уведомлять о любом нарушении безопасности данных в установленные сроки, чтобы гарантировать прозрачность и защиту прав пользователей на конфиденциальность.

На кого распространяется действие GDPR

Действие GDPR распространяется на все организации, которые обрабатывают персональные данные граждан Европейского союза, независимо от того, где находится сама компания. То есть GDPR применим ко всем компаниям вне зависимости от их местоположения, если они собирают, обрабатывают или хранят данные граждан ЕС.

Две категории компаний занимаются персональными данными:

1. Контроллеры данных — любые лица, государственные органы, агентства и другие организации, которые определяют цели и способы обработки персональных данных.

1. Обработчики данных — любые лица, государственные органы, агентства и другие организации, которые обрабатывают персональные данные по указанию контроллера.

На примере здравоохранения:

• контроллер — больница, которая собирает медицинскую информацию о пациентах для диагностики и лечения;

• обработчик — врач, назначенный больницей для проведения определенных процедур или лечения пациента в соответствии с медицинскими нормами и стандартами.

На примере финансовых услуг: 

• контроллер — банк, который собирает личные финансовые данные своих клиентов для предоставления услуг банковского счета или кредита;

• обработчик — финансовый аналитик, который обрабатывает финансовые данные по поручению банка для проведения анализа кредитоспособности клиентов.

Компании и организации, подпадающие под GDPR

В каком случае компании подпадают под действие GDPR.

1. Это корпорации и бизнес Как крупные международные компании, так и малые и средние предприятия из различных отраслей (розничная торговля, финансы, технологии, фармакология, медицина и другие).

2. Это организации из социального и общественного сектора Некоммерческие организации, государственные учреждения, образовательные учреждения, здравоохранение и другие учреждения, которые обрабатывают персональные данные своих клиентов, пациентов, студентов и сотрудников.

3. Это онлайн-платформы и сервисы Если компания предлагает товары и услуги через веб-ресурсы: сайт, приложения, онлайн-магазин, социальные сети и прочие онлайн-платформы. 

4. Если компания пользуется технологиями онлайн-трекинга, чтобы идентифицировать пользователей и анализировать их поведение (Google аналитика, Яндекс Метрика, gdpr cookie-файлы, мониторинг IP-адресов). 

Физические лица, защищаемые GDPR

В обработке данных также участвует субъект данных — физическое лицо, чьи персональные данные собираются и обрабатываются контроллером.

Физические лица под защитой GDPR — это граждане и резиденты Европейского союза, чьи персональные данные обрабатываются организациями, подпадающими под действие этого закона. 

Права субъектов персональных данных по GDPR

GDPR предоставляет гражданам и резидентам ЕС больший контроль над их собственными данными и способы обеспечения их безопасности.

• Право на информирование: получение четкой и понятной информации о том, как их персональные данные собираются и обрабатываются.

• Право на доступ: могут запросить доступ к своим персональным данным и узнать, какие данные обрабатываются и для каких целей.

• Право на исправление: если их персданные неверны или неполны, они имеют право потребовать их исправления или дополнения.

• Право на удаление (право быть забытым).

• Право на ограничение обработки.

• Право на портабельность данных: право получить свои персональные данные в структурированном, общеиспользуемом формате и передать их другой организации.

• Право восстановления: в случае нарушения безопасности данных они имеют право быть проинформированными об этом в установленные сроки.

Основные принципы и требования GDPR

Принципы GDPR

1. Законность, справедливость и прозрачность. Обработка персональных данных должна осуществляться на законной основе, справедливо и прозрачно для субъекта данных.

2. Целевое ограничение сбора данных. Персональные данные могут собираться только для определенных, ясно сформулированных и законных целей и не могут быть обработаны дальше, чем это необходимо для этих целей. Необходимо четко прописывать, зачем их собирают.

3. Минимизация сбора данных. Собранные персональные данные должны быть сведены к минимуму. Собирать только необходимые: для рассылки — email, для рекламы — cookie-файлы, для отслеживания трафика — URL-ссылки и доменные имена. В указанных, например, случаях данные о семейном положении или вере не должны запрашиваться.

4. Точность. Персональные данные должны быть актуальны, и при необходимости должны быть исправлены или обновлены.

5. Ограничение хранения. Персональные данные должны храниться в форме, которая позволяет идентифицировать субъектов данных только в течение необходимого времени для целей обработки. Нельзя хранить данные дольше, чем нужно: компании обязаны периодически проводить аудит данных и удалять то, что не используется.

6. Целостность и конфиденциальность. Должны быть приняты соответствующие меры безопасности для защиты от несанкционированного доступа, утраты, разрушения и утечек данных.

7. Ответственность и принцип Accountability. Контроллеры и обработчики данных должны демонстрировать соблюдение всех принципов GDPR и быть в состоянии доказать это при запросе контрольных органов. 

Требования GDPR 

1. Согласие на обработку информации должно быть ясным и понятным для всех участников процесса.

2. Обработка данных должна происходить в рамках закона, справедливо и прозрачно.

3. Собранные данные должны использоваться только для определенных и законных целей.

4. Собранные данные должны быть точными, актуальными и своевременными.

5. Период хранения данных должен быть ограничен.

6. Передача данных допускается только в страны, которые обеспечивают их безопасность и конфиденциальность.

7. Лица, чьи данные обрабатываются, имеют право на доступ, исправление и удаление персональной информации.

Штрафы и санкции за нарушение GDPR

Нарушения GDPR могут влечь за собой серьезные штрафы. Вопросы штрафов подробно регулируются главой 8 регламента GDPR (статьи с 77 по 84). Санкции могут сильно различаться в зависимости от характера нарушения и размера компании:

• Минимальный размер штрафа в настоящее время составляет 4 000 евро. 

• Максимальный размер штрафа может достигать 20 млн евро или составлять от 2 до 4% годового оборота организации. При определении размера штрафа учитывается общий доход компании.

Органы по защите персональных данных также могут применять другие меры в зависимости от серьезности нарушений: 

• приостановка обработки данных,

• отзыв лицензий,

• компенсация ущерба пострадавшим лицам.

В 2023 году был наложен исторический рекордный штраф в размере 1,2 миллиарда евро на одного из ведущих контроллеров персональных данных — Meta (признана экстремистской организацией в России). Санкция была введена за нарушение правил трансграничной передачи персональных данных в США. Кроме того, надзорный орган потребовал от компании приостановить будущую передачу персональных данных в США в течение пяти месяцев и привести свои операции по обработке данных в соответствие с требованиями GDPR.

Можно сделать вывод, что понимание и соблюдение правил GDPR — это гарант, что ваша компания не пострадает и не попадет под миллионные или миллиардные штрафы. Курс от Moscow Digital School «Защита персональных данных» создан, чтобы специалист мог обучиться всем необходимым навыкам для эффективной работы с персональными данными в соответствии с требованиями законодательства и регламентом GDPR. 

На курсе вы: 

• узнаете, как правильно обрабатывать, хранить и передавать данные;

• поймете особенности российского и международного законодательства;

• научитесь защищать свои и корпоративные данные.