GDPR, Генеральный регламент по защите данных

GDPR | Генеральный регламент по защите данных

Регламент GDPR – О чем он

Цель Регламента GDPR

Какие данные являются персональными?

Примеры персональных данных:

• имя
• фотография
• электронная почта
• голос или банковские реквизиты

Разные требования к различным заинтересованным лицам

Что на практике должны делать организации?

Роли Аккаунтор

Аккаунтор исполняет различные роли при обработке персональных данных в зависимости от специфики обработки.

Аккаунтор в роли Поставщика услуг

• услуг по расчету заработной платы
• бухгалтерских услуг
• ИТ-услуги внешнего размещения

Однако, при предоставлении услуг Аккаунтор является не только процессором, но также и контролером данных. В таком случае мы

Таким образом, мы отвечаем за обработку в качестве контролера данных.

Аккаунтор в роли Работодателя

Практический пример такой ситуации:

Следовательно, поставщик медицинских услуг является контролером данных.

Как компания Аккаунтор подготовилась к GDPR?

Ответственный за защиту данных и иные лица, отвечающие за защиту данных

Общие принципы конфиденциальности, документация и внутренние тренинги

• правам физических лиц,
• оценке воздействия на защиту данных и
• действующему согласию.

Реализация GDPR по подразделениям

Информационная безопасность

Коммерческие услуги по GDPR

Консультация

По вопросам общего соблюдения и деятельности на уровне группы, пожалуйста, пишите на privacy@accountorgroup.com

По вопросам коммерческих услуг, предоставляемых нами в отношении GDPR, пожалуйста, обращайтесь: daniil.berlizov@accountor.ru or givi.enukidze@accountor.ru

Общие сведения

На кого распространяется действие Регламента GDPR?

В чем заключается разница между процессором данных и контролером данных?

Общие термины и определения относительно Регламента GDPR?

Когда необходимо выполнять оценку воздействия на защиту данных?

GDPR — общий регламент защиты персональных данных

• Автор: Богдан Косохатько
• Стандартные юридические процедуры: Юридическая консультация
• Дата публикации: 31/08/18

В материале данного комментария мы поможем вашей компании привести свою деятельность в соответствие новому законодательству.

Понятия и термины

Нужно сразу определиться с терминами, которые используются в GDPR, чтобы в дальнейшем понимать кто является субъектами:

Контроллер — это тот, кто собирает данные и определяет цели такой операции.

Оператор — физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера.

Персональные данные — любая информация, касающаяся физического лица, может ее идентифицировать.

Территория действия

Законность обработки

Обработка персональных данных считается законной, только при выполнения следующих условий:

Запрет обработки по отдельные группы данных

Санкции в случае несоблюдения GDPR одной из сторон

В случае нарушения требований, могут наступать следующие последствия:

Шифрование информации

Ограничение хранения данных

Права субъекта данных

Сертификация

Подготовка к GDPR

Для того чтобы подготовиться к правилам нового Регламента необходимо привести в соответствие 3 составляющие своей компании:

Внешняя

Внутренняя

Техническая

Она отделена от внутренней и внешней, но одновременно и связана с ними.

Внешний вид и построение сайта

Для начала нужно создать так называемую «карту» персональных данных.

Также надо отметить, какая информация собирается, и как долго ее будут обрабатывать, хранить.

Должно также быть указано, в каких случаях данные передаются третьим лицам.

Действия после проведения анализа и оценки рисков

Общий регламент о защите персональных данных (General Data Protection Regulation): идеи для совершенствования российского законодательства

Автор: Грибанов А.А.

Оглавление

Определение персональных данных

Также рекомендуется Вам:

Условия обработки компанией персональных данных ее контрагентов

Согласие на обработку персональных данных в форме электронного документа

Определение биометрических персональных данных

Указание в письменном согласии сведений о конкретном лице, осуществляющем обработку персональных данных по поручению оператора

Получение предварительного согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг

Уведомление Роскомнадзора об обработке персональных данных

Действие Закона о персональных данных в пространстве

1) использование доменного имени, связанного с Россией (.ru, .рф, .su), и/или

2) наличие русскоязычной версии сайта, созданной владельцем сайта или по его поручению иным лицом, и/или

2) с мониторингом их поведения в той мере, в которой их поведение имеет место в пределах Европейского союза.

Политика обработки персональных данных

1) наименование и контактную информацию оператора;

2) контактную информацию лица, ответственного за организацию обработки персональных данных (data protection officer);

3) цели и правовое основание обработки;

4) получателей или категории получателей персональных данных;

5) информацию о намерении оператора передавать персональные данные в третьи страны и международные организации;

6) время хранения персональных данных или, если это невозможно, критерии определения этого времени;

7) прочую информацию.

Заключение

[2] См.: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М., 2016. С. 580.

[5] См.: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. С. 585.

[6] См.: Там же. С. 589.

[10] Ibid. P. 9 – 12.

[11] См.: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху «Больших данных» (Big Data). С. 52.

[12] Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. С. 584.

[13] См.: Федеральный закон «О персональных данных»: Научно-практический комментарий (постатейный).

[14] Article 29 Data Protection Working Party. Gu >

[15] См.: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху «Больших данных» (Big Data). С. 58.

[17] Article 29 Data Protection Working Party. Gu >

[18] См.: Федеральный закон «О персональных данных»: Научно-практический комментарий (постатейный).

[19] См.: https://pd.rkn.gov.ru/operators-registry/operators-list/ (дата обращения: 26.02.2018).

[21] Апелляционное определение Московского городского суда от 10.11.2016 по делу N 33-38783/16.

[23] См.: Article 29 Data Protection Working Party. Gu >

Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR)

(Действие Регламента распространяется на Европейское экономическое пространство)

Европейский Парламент и Совет Европейского Союза,

Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 16 Договора,

На основании предложения Европейской Комиссии,

После передачи проекта законодательного акта национальным парламентам,

На основании заключения Европейского комитета по экономическим и социальным вопросам 2 ,

На основании заключения Комитета регионов 3 ,

Действуя в соответствии с обычной законодательной процедурой 4 ,

Принимая во внимание следующие обстоятельства:

приняли настоящий Регламент:

Настоящий Регламент является обязательным в полном объеме и подлежит прямому применению в государствах-членах ЕС.

Совершено в Брюсселе 27 апреля 2016 г.

От имени Европейского Парламента

От имени Совета ЕС

2 ОЖ N C 229, 31.07.2012, стр. 90.

3 ОЖ N C 391, 18.12.2012, стр. 127.

11 Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (ОЖ N L 95, 21.04.1993, стр. 29).

18 ОЖ N C 192, 30.06.2012, стр. 7.

Регламент адресован государствам-членам Европейского Союза. Российская Федерация членом ЕС не является.

Настоящий Регламент вступает в силу на двадцатый день после своего опубликования в Официальном Журнале Европейского Союза

Настоящий Регламент должен применяться с 25 мая 2018 г.

Переводчик — Новикова Е.В.