Регламент защиты персональных данных (General data protection regulation) и ваша компания

GDPR – новый регламент ЕС об обработке персональных данных (ПД), требования которого вступили в силу 25 мая 2018 года.

В данном обзоре мы бы хотели объяснить вам ключевые аспекты GDPR и помочь понять, касается ли GDPR вашей компании.

Понимание базовых принципов GDPR позволит вам увидеть те риски, которые не всегда очевидны, но с которыми ваша компания может столкнуться.

Информация, которой мы делимся, поможет выявить риски и указать на решения, которые следует принять, чтобы избежать негативных последствий.

Регламент затрагивает не только юридические лица, находящиеся и зарегистрированные на территории ЕС, но в определенных случаях и компании, учрежденные и осуществляющие свою деятельность вне территории ЕС, в том числе в России.

GDPR с точки зрения законодательства РФ

Формально требования ЕС, включая GDPR, напрямую не распространяются на РФ, поскольку наша страна не включена в состав ЕС, и нет международного договора, на основании которого РФ дала бы согласие на применение GDPR.

На российские компании Регламент оказывает опосредованное влияние.

Согласно Регламенту, передавая персональные данные обработчику (например, на аутсорсинг), компания, подпадающая под действие Регламента, остается ответственной за соблюдение требований GDPR при обработке персональных данных своими контрагентами, включая тех, кто формально не обязан соблюдать Регламент.

Компании-партнеры, расположенные в ЕС и передающие данные лиц, находящихся в ЕС, будут оценивать риски сотрудничества с организациями, расположенными за пределами Евросоюза, с учетом возможного наложения штрафов в случае нарушений правил Регламента.

При этом имплементация требований GDPR возможна только при условии полного соблюдения требований Российского законодательства в той части, в которой нормы Регламента ему не противоречат. В приоритете – полное соблюдение требований законодательства РФ в сфере ПД (с учетом закона Яровой).

Ваша компания попадает в зону действия GDPR, если:

Последствия несоблюдения требований GDPR

Ухудшение репутации компании на международном рынке в части защиты данных. Отказ клиентов работать с компанией. Потеря потенциальных клиентов.

Нарушение коммерческих и некоммерческих отношений с компаниями, расположенными в ЕС (к примеру, закрытие корреспондентских счетов банковской организации или добавление организации в «черный список», расторжение отношений с контрагентами).

Крупные штрафные санкции (к примеру, по результатам проверки организаций, расположенных в ЕС, при этом источником информации могут быть обращения от субъектов ПД к регулятору).

Нарушение доступности веб-ресурсов для субъектов ПД в ЕС, задействованных в сборе ПД

Для соответствия GDPR требуется: