Профессиональные советы

GDPR на пороге. Вы готовы?

Naama Davidovich

10 April, 2018

Все только и говорят о регламенте GDPR. Но что это такое? Для чего он нужен? Как он повлияет на положение дел на онлайн-площадках и платформах? Давайте разберемся, что к чему.

Что такое GDPR?

GDPR (General Data Protection Regulation) — это общий регламент по защите данных, принятый в ЕС 25 мая 2018 года. Он заменяет директиву о защите данных от 1995 года и местные законы о защите данных, действующие в странах ЕС.

Регламент призван обеспечить единый стандарт в отношении сбора, использования и хранения персональных данных субъектов организациями в странах ЕС.

Какие данные защищает регламент?

GDPR значительно расширяет понятие «персональные данные». Теперь это «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу». Под последним понимается «физическое лицо, которое может быть идентифицировано прямо или косвенно, в частности с использованием идентификатора (например, имени, идентификационного номера, данных о местоположении, онлайн-идентификатора) или параметров, характеризующих данное физическое лицо с физиологической, психологической, генетической, экономической, культурной или социальной точки зрения».

Таким образом, при определенных условиях термин может включать IP-адреса, идентификаторы мобильных устройств, адреса электронной почты, файлы cookie и прочие онлайн-идентификаторы

На кого распространяются требования GDPR?

Действие регламента не ограничивается отдельными странами и распространяется на организации, зарегистрированные на территории ЕС, использующие при осуществлении своей деятельности персональные данные субъектов, являющихся и не являющихся гражданами ЕС. Регламент также распространяется на организации за пределами ЕС, не имеющие формального или физического присутствия на территории ЕС, если такие организации продают товары или оказывают услуги субъектам на территории ЕС или отслеживают их поведение на территории ЕС. Речь, в частности, идет об анализе использования интернет-услуг.

Процесс обработки данных включает различные действия, такие как сбор, запись, структурирование, хранение, адаптация или изменение, поиск, изучение, раскрытие путем передачи, распространения и иного способа, сопоставление или комбинирование, удаление или уничтожение и т. д.

От организаций, зарегистрированных за пределами ЕС, обычно требуется зарегистрировать представителя в стране ЕС, где находятся субъекты, обработкой персональных данных или изучением поведения которых занимается организация. Термин «регистрация» имеет несколько значений, и решение о том, имеет ли организация присутствие на территории ЕС, в каждом случае принимается отдельно.

Основные положения

GDPR включает положения и обязательства, с которыми следует ознакомиться и которые необходимо внедрить в организации. К ним, в частности, относятся следующие:

определение юридических оснований, дающих право на обработку данных;
определение процесса по сбору и обработке персональных данных и разработка сопутствующей документации;
назначение сотрудника, ответственного за обработку данных;
определение обязанностей, которые организация несет в качестве оператора или обработчика персональных данных;
определение порядка реагирования в случае утечки данных и процедур информирования;
определение права субъектов данных на доступ к информации и забвение;
определение порядка передачи данных за пределы ЕС.

Санкции

За несоблюдение требований GDPR предусмотрены административные и экономические меры наказания, включая штрафы в размере до 20 000 000 евро или 4 % от годового оборота организации за предшествующий финансовый год.

Распространяется ли GDPR на вашу организацию?

Владельцы международных магазинов или цифровых платформ, где предлагаются товары или услуги и производится обработка персональных данных, должны знать, распространяются ли на них требования GDPR и каковы эти требования. На вашем сайте могут выполняться сбор, хранение и обработка данных продавцов, клиентов, поставщиков и просто случайных посетителей.

Положения GDPR применяются к организации, независимо от объемов прибыли или даже формального присутствия на территории ЕС. Если вы осуществляете сбор данных, которые могут быть использованы для идентификации лица, являющегося гражданином ЕС, храните такие данные или имеете к ним доступ, вы должны соблюдать требования регламента.

Прежде всего следует разобраться, что означает предложение товаров и услуг субъектам персональных данных из ЕС. Ваш веб-сайт доступен для пользователей из ЕС? На нем используются языки и валюты ЕС? Ваши маркетинговые кампании ориентированы на клиентов из ЕС?

Возьмем, например, сингапурскую компанию, которая продает галстуки ручной работы. У организации нет ни представительства, ни партнеров в ЕС. Товары продаются через Интернет. Организация запускает кампанию, ориентированную на покупателей из ЕС, и переводит некоторые страницы своего сайта. При регистрации и создании учетной записи производится сбор персональных данных, включая имя и адрес электронной почты клиента. Распространяются ли на организацию требования GDPR? Ответ: да.

С принятием GDPR на компании возлагаются новые обязательства: теперь от организаций требуется обеспечивать надлежащий уровень безопасности для процессов обработки данных. По некоторым вопросам GDPR предлагает только базовые схемы и рекомендации. Организации самостоятельно определяют, являются ли они операторами или обработчиками персональных данных, и должны обеспечивать надлежащий уровень безопасности при хранении и использовании данных.

Ключевые вопросы для владельцев компаний

Чтобы оценить соответствие своей организации требованиям регламента, задайте себе следующие вопросы. Какие данные вы собираете? Требуется ли в вашей компании сбор вспомогательной информации? Как организованы процессы сбора, обработки и хранения данных? С какой целью выполняется обработка? Какие политики требуется обновить или создать? Содержит ли ваша политика конфиденциальности полное описание использования персональных данных? Нужно ли в вашей организации вводить должность ответственного за обработку данных? На каких юридических основаниях осуществляется сбор информации? Запрашивается ли согласие клиентов? Можете ли вы обеспечить надлежащую защиту прав субъектов данных? Ваши меры безопасности соответствуют рискам? При оценке соответствия требованиям GDPR от вас потребуется дать ответы на эти и многие другие вопросы.

Пользователи все лучше разбираются в своих правах и больше знают об ответственности организаций, занимающихся сбором данных, а май тем временем уже не за горами.

Какие меры по подготовке к GDPR принимает компания Payoneer?

Мы гордимся высоким уровнем безопасности и прозрачности, который обеспечивается при сборе, использовании и передаче персональных данных клиентов, партнеров и поставщиков. Мы тщательно готовимся к вступлению в силу GDPR, вносим обновления в политики и процедуры, касающиеся предоставления доступа и реализации других прав субъектов данных, а также принимаем прочие меры по обеспечению исполнения требований регламента.

Примечание. Данная статья не является исчерпывающим обзором требований Общего регламента по защите данных (GDPR), а лишь освещает его отдельные ключевые положения. Мы рекомендуем вам самостоятельно ознакомиться с требованиями GDPR и оценить их применимость к вашей организации.

Содержание данной статьи, включая любую информацию, касающуюся цен, сборов и других платежей, является точным и действительным только на дату публикации. Кроме того, изменения в действующих нормативных актах, политиках, рыночных условиях или других соответствующих факторах могут повлиять на точность указанных цен, сборов и других связанных с ними деталей. Следовательно, любая информация, касающаяся цен, сборов и других платежей, может быть изменена; вы несете ответственность за просмотр наиболее актуальной применимой к вам информации. Payoneer предоставляет самую актуальную и точную информацию о ценах и сборах в рамках процесса регистрации аккаунта. Зарегистрированные клиенты могут просмотреть эту информацию в своем онлайн-аккаунте.