Коротко о новом постановлении Европейского союза о защите личных данных

25.05.2018 вступающее в силу новое постановление Европейского союза о защите личных данных расширит права людей и добавит ряд обязательств предпринимателю. Постановление распространится на все страны союза (в т.ч. Норвегию, Лихтенштейн и Исландию). От предпринимателей и государственных учреждений реформа защиты данных требует более строгих правил по защите личных данных физических лиц. Физические лица же, в свою очередь, получают больший контроль над своими личными данными. Самым большим изменением является наказание в связи с нарушением защиты личных данных. Максимальная сумма штрафа составит 20 миллионов евро или 4% от всемирного оборота организации, в зависимости от того, что больше.

Физическими лицами обычно являются клиенты и работники организации. В свете новой реформы очень важно помнить, что любые личные данные человека – это его собственность! Для обработки данных всегда должно быть основание. Обрабатывать можно данные, обнародованные физическим лицом по собственной инициативе, на основании закона или для осуществления государственной власти, на основании договора, с личного согласия лица и, например, на прочем основании, в журналистике или для сбора статистических данных.

У частного лица есть право:
• получать информацию об основании и цели обработки личных данных
• требовать доступ к своим личным данным
• требовать изменение данных
• требовать удаление данных
• требовать ограничение обработки данных
• требовать перенос данных (например, от одного работодателя к другому)
• забрать обратно свое согласие на обработку данных
• получать информацию о праве на жалобу в инспекцию по защите данных
• получать информацию о последствиях, в случае непредоставления личных данных (например, для карты клиента)
• получать информацию о вынесении автоматизированных решений и информацию об используемой для их вынесения логике (например, при получении банковского кредита)
• получать информацию, в случае использования данных для иных целей, нежели они были получены
• получать информацию, если данные получены от третьего лица.

К наиболее важным обязанностям предпринимателя относятся:
• подтверждение согласия лица на обработку личных данных
• оповещения частного лица о процедуре, основании и целях сбора информации
• описание процедур обработки информации
• ведение электронного регистра по категориям обработки
• создание и оценка матрицы прав пользователей информации
• оповещение инспекции по защите данных в течение 72 часов после обнаружения нарушения
• при необходимости назначать специалиста по защите данных
• при необходимости проводить оценку воздействия защиты.

Некоторые советы предпринимателям по подготовке к вступлению в силу постановления о защите данных – пересмотреть всевозможные используемые в организации опросники, в т.ч. по оценке удовлетворенности клиента, анкета работника для заключения трудового договора и т.д., внутриорганизационные документы, особенно правила организации работы, договора с поставщиками услуг облачного сервиса и данные, запрашиваемые для оформления счетов частным лицам.

Удачного углубления в новые требования и внедрения их в организацию!

Обзор составлен:
Наталия Горпинченко | Accountex OÜ