GDPR, Генеральный регламент по защите данных
GDPR | Генеральный регламент по защите данных
Регламент GDPR – О чем он
Цель Регламента GDPR
Какие данные являются персональными?
Примеры персональных данных:
- имя
- фотография
- электронная почта
- голос или банковские реквизиты
Разные требования к различным заинтересованным лицам
Что на практике должны делать организации?
Роли Аккаунтор
Аккаунтор исполняет различные роли при обработке персональных данных в зависимости от специфики обработки.
Аккаунтор в роли Поставщика услуг
- услуг по расчету заработной платы
- бухгалтерских услуг
- ИТ-услуги внешнего размещения
Однако, при предоставлении услуг Аккаунтор является не только процессором, но также и контролером данных. В таком случае мы
Таким образом, мы отвечаем за обработку в качестве контролера данных.
Аккаунтор в роли Работодателя
Практический пример такой ситуации:
Следовательно, поставщик медицинских услуг является контролером данных.
Как компания Аккаунтор подготовилась к GDPR?
Ответственный за защиту данных и иные лица, отвечающие за защиту данных
Общие принципы конфиденциальности, документация и внутренние тренинги
- правам физических лиц,
- оценке воздействия на защиту данных и
- действующему согласию.
Реализация GDPR по подразделениям
Информационная безопасность
Коммерческие услуги по GDPR
Консультация
По вопросам общего соблюдения и деятельности на уровне группы, пожалуйста, пишите на privacy@accountorgroup.com
По вопросам коммерческих услуг, предоставляемых нами в отношении GDPR, пожалуйста, обращайтесь: daniil.berlizov@accountor.ru or givi.enukidze@accountor.ru
Общие сведения
На кого распространяется действие Регламента GDPR?
В чем заключается разница между процессором данных и контролером данных?
Общие термины и определения относительно Регламента GDPR?
Когда необходимо выполнять оценку воздействия на защиту данных?
GDPR — общий регламент защиты персональных данных
- Автор: Богдан Косохатько
- Стандартные юридические процедуры: Юридическая консультация
- Дата публикации: 31/08/18
В материале данного комментария мы поможем вашей компании привести свою деятельность в соответствие новому законодательству.
Понятия и термины
Нужно сразу определиться с терминами, которые используются в GDPR, чтобы в дальнейшем понимать кто является субъектами:
Контроллер — это тот, кто собирает данные и определяет цели такой операции.
Оператор — физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера.
Персональные данные — любая информация, касающаяся физического лица, может ее идентифицировать.
Территория действия
Законность обработки
Обработка персональных данных считается законной, только при выполнения следующих условий:
Запрет обработки по отдельные группы данных
Санкции в случае несоблюдения GDPR одной из сторон
В случае нарушения требований, могут наступать следующие последствия:
Шифрование информации
Ограничение хранения данных
Права субъекта данных
Сертификация
Подготовка к GDPR
Для того чтобы подготовиться к правилам нового Регламента необходимо привести в соответствие 3 составляющие своей компании:
Внешняя
Внутренняя
Техническая
Она отделена от внутренней и внешней, но одновременно и связана с ними.
Внешний вид и построение сайта
Для начала нужно создать так называемую «карту» персональных данных.
Также надо отметить, какая информация собирается, и как долго ее будут обрабатывать, хранить.
Должно также быть указано, в каких случаях данные передаются третьим лицам.
Действия после проведения анализа и оценки рисков
Общий регламент о защите персональных данных (General Data Protection Regulation): идеи для совершенствования российского законодательства
Автор: Грибанов А.А.
Оглавление
Определение персональных данных
Также рекомендуется Вам:
Условия обработки компанией персональных данных ее контрагентов
Согласие на обработку персональных данных в форме электронного документа
Определение биометрических персональных данных
Указание в письменном согласии сведений о конкретном лице, осуществляющем обработку персональных данных по поручению оператора
Получение предварительного согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг
Уведомление Роскомнадзора об обработке персональных данных
Действие Закона о персональных данных в пространстве
1) использование доменного имени, связанного с Россией (.ru, .рф, .su), и/или
2) наличие русскоязычной версии сайта, созданной владельцем сайта или по его поручению иным лицом, и/или
2) с мониторингом их поведения в той мере, в которой их поведение имеет место в пределах Европейского союза.
Политика обработки персональных данных
1) наименование и контактную информацию оператора;
2) контактную информацию лица, ответственного за организацию обработки персональных данных (data protection officer);
3) цели и правовое основание обработки;
4) получателей или категории получателей персональных данных;
5) информацию о намерении оператора передавать персональные данные в третьи страны и международные организации;
6) время хранения персональных данных или, если это невозможно, критерии определения этого времени;
7) прочую информацию.
Заключение
[2] См.: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М., 2016. С. 580.
[5] См.: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. С. 585.
[6] См.: Там же. С. 589.
[10] Ibid. P. 9 – 12.
[11] См.: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху «Больших данных» (Big Data). С. 52.
[12] Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. С. 584.
[13] См.: Федеральный закон «О персональных данных»: Научно-практический комментарий (постатейный).
[14] Article 29 Data Protection Working Party. Gu >
[15] См.: Савельев А.И. Проблемы применения законодательства о персональных данных в эпоху «Больших данных» (Big Data). С. 58.
[17] Article 29 Data Protection Working Party. Gu >
[18] См.: Федеральный закон «О персональных данных»: Научно-практический комментарий (постатейный).
[19] См.: https://pd.rkn.gov.ru/operators-registry/operators-list/ (дата обращения: 26.02.2018).
[21] Апелляционное определение Московского городского суда от 10.11.2016 по делу N 33-38783/16.
[23] См.: Article 29 Data Protection Working Party. Gu >
Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR)
(Действие Регламента распространяется на Европейское экономическое пространство)
Европейский Парламент и Совет Европейского Союза,
Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 16 Договора,
На основании предложения Европейской Комиссии,
После передачи проекта законодательного акта национальным парламентам,
На основании заключения Европейского комитета по экономическим и социальным вопросам 2 ,
На основании заключения Комитета регионов 3 ,
Действуя в соответствии с обычной законодательной процедурой 4 ,
Принимая во внимание следующие обстоятельства:
приняли настоящий Регламент:
Настоящий Регламент является обязательным в полном объеме и подлежит прямому применению в государствах-членах ЕС.
Совершено в Брюсселе 27 апреля 2016 г.
От имени Европейского Парламента
От имени Совета ЕС
2 ОЖ N C 229, 31.07.2012, стр. 90.
3 ОЖ N C 391, 18.12.2012, стр. 127.
11 Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (ОЖ N L 95, 21.04.1993, стр. 29).
18 ОЖ N C 192, 30.06.2012, стр. 7.
Регламент адресован государствам-членам Европейского Союза. Российская Федерация членом ЕС не является.
Настоящий Регламент вступает в силу на двадцатый день после своего опубликования в Официальном Журнале Европейского Союза
Настоящий Регламент должен применяться с 25 мая 2018 г.
Переводчик — Новикова Е.В.