GDPR

В мае 2018 года вступает в силу новый регламент стран Евросоюза, который регулирует сбор, хранение, передачу и удаление персональной информации жителей ЕС. Как и почему это коснется каждого мерчанта, работающего с европейским рынком?

14 апреля 2016 года Европейским парламентом был принят GDPR (General Data Protection Regulation) — постановление, законодательно обеспечивающее защиту личных данных каждого жителя Европейского союза. В отличие от ранее действующей директивы 1995 года, новый регламент не просто несет обязательный характер исполнения, он еще и расширяет действие норм, защищающих персональную информацию, практически на весь мир, а именно — на любое физическое или юридическое лицо, так или иначе собирающее информацию о гражданах ЕС.

Под данное описание попадают практически любой интернет-мерчант, оказывающий услуги на территории Евросоюза. Сайты электронной коммерции собирают, как минимум, имя и фамилию, адрес и e-mail покупателя. Компании, имеющие сертификат PCI DSS, и имеющие разрешение на сбор и хранение данных платежных карт, теперь должны дополнительно «подгонять» процесс накопления информации под требования Европарламента. Даже такой, казалось бы, безобидный процесс, как получение адреса электронной почты клиента для рассылки, также жестко регулируется.

Европарламент

Что поменяется при новых правилах.

GDPR — это почти 90-страничный (и это только английская версия) документ, детально расписывающий порядок сбора, хранения, передачи, доступа и удаления личной информации субъектов ЕС. Каждому мерчанту мы рекомендуем внимательно ознакомиться с текстом Постановления самостоятельно, но ниже приведем сокращенный список нововведений:

1. Экстратерриториальность — постановление Парламента ЕС является неотъемлемой частью законодательства всех стран Евросоюза, а также действует на любое лицо, осуществляющее сбор личной информацию субъектов права ЕС.

2. Наказание и штрафы — новыми правилами вводятся штрафы за несоблюдение требований Постановления, вплоть до 4% годового оборота компании или 20 миллионов EUR.

3. Согласие на размещение — любая компания, которую касается данное постановление, обязана откорректировать Пользовательское соглашение в соответствии с GDPR.

4. Уведомление об утечке информации — как процессоры, так и дата-центры, обязаны в течение 72 часов уведомлять пользователя и регулирующие органы о любых возможных и подтвержденных угрозах доступа к личной информации со стороны третьих лиц.

5. Право на доступ, перенос и «право на забвение» – любой житель ЕС теперь является полноправным владельцем личной информации и имеет право запросить компанию, обрабатывающую ее, о том, где данная информация была использована. Кроме того, согласно GDPR, дата-процессор гарантирует хранение личных данных в удобном электронном виде, для того, чтобы по запросу пользователя, данные можно было передать другому процессору, а также полностью удалить с любых носителей в случае необходимости. Таким образом, компания берет данные пользователя «в аренду» и обязуется их вернуть по первому запросу.

6. Ответственный по защите информации — по текущему законодательству, компания, осуществляющая обработку информации, обязана отчитываться о своих действиях перед местными органами информационной безопасности, что, учитывая внешнеэкономическую направленность многих компаний, представляла собой бюрократическую рутину. По новым правилам, компания обязана назначить ответственного по защите данных только в случае, если юридическое лицо осуществляет деятельность как дата-центра или процессора с постоянным контролем и мониторинга хранимой информации, а также, в сферах с высоким процентом фрода. Этот специалист может назначаться как из штата компании, так и аутсорсно, должен отчитываться только перед менеджментом фирмы, а его совмещаемая должность не может быть связана с информацией.

Какие действия предпринимать компаниям?

Несмотря на кажущуюся сложность выполнения требований GDPR, следует понимать, что, во-первых, до вступления постановления в силу есть еще почти год, а это достаточный срок для того, чтобы компания могла проконсультироваться с юристом и наметить план выполнения соответствия, а, во-вторых, большинство правил не слишком отличаются от ранее действующих, и только если Ваша компания не хранит данные клиентов в открытом доступе на Google.Диске, изменения, скорее всего, будут носить лишь номинальный характер.