Новий регламент поширюється в тому числі на російські організації, які працюють на європейському ринку. Він містить серйозні нові і додаткові вимоги - за їх недотримання передбачені великі штрафи.
На кого поширюється регламент
Як видно, регламент застосовується не тільки до організацій, які засновані на території ЄС, а й до інших організацій, які безпосередньо працюють на європейському ринку. До найбільш вірогідним «жертвам» серед російських організацій можна віднести інтернет-сервіси, що пропонують послуги на різних мовах, і приймає в якості оплати євро, і дата-центри, розташовані на території Росії і зберігають персональні дані європейців.
Окремі правила регламенту
Нижче представлені основні положення, які можуть виявитися несподіваними для російських організацій.
- Призначення представника в ЄС. За загальним правилом, коли організація не перебуває на території ЄС, але підпадає під дію регламенту, така організація повинна призначити свого представника на території ЄС.
- Змінилися умови отримання згоди на обробку персональних даних. По-перше, суб'єкти персональних даних відтепер завжди повинні мати технічну можливість відкликати свою згоду. По-друге, окрема згода має бути дано щодо кожної окремої мети обробки такої інформації. Загальні ( 'omnibus') згоди презюмують недійсними.
- Згода дітей. Регламент містить абсолютно нові правила для отримання згоди дітей на обробку їх персональних даних. Згода дітей до 16 років має бути супроводжено згодою їх батьків.
- Повідомлення про злом або компрометації персональних даних. Ще одне нове вимога. Відтепер організації зобов'язані повідомляти регулятора, а в окремих випадках - самих користувачів, про які мали місце випадки злому або компрометації персональних даних. Таке повідомлення повинно бути зроблено без зволікань, але в будь-якому випадку не пізніше 72 годин з того моменту, як організації стало відомо про злом.
- Зобов'язання по управлінню персональних даних. Регламент передбачає цілий ряд зобов'язань організаційного характеру щодо управління особистою інформацією: оцінка впливу на особистість високоризикованих методик з обробки персональних даних (Privacy Impact Assessments), призначення відповідальної особи (Data Protection Officer), пильність при виборі субпідрядників, які беруть участь в обробці, і облік всіх дій з обробки персональних даних.
Цим нововведення не вичерпуються, але це, мабуть, найважливіші зміни.
- 20 млн євро або 4% від глобального обороту (більше з зазначеного) за порушення основних принципів, прав суб'єктів персональних даних, положень про їх міжнародної передачі та деякі інші порушення.
- 10 млн євро або 2% від глобального обороту (більше з зазначеного) за порушення таких зобов'язань: отримання згоди на обробку персональних даних дітей, прийняття технічних і організаційних заходів для їх захисту, призначення представника в ЄС, повідомлення про зломи або компрометації і цілий ряд інших зобов'язань.
рекомендації
Російським організаціям варто оцінити можливість застосування положень регламенту до їх діяльності. При цьому варто звернути увагу на наявність серед своїх клієнтів європейських громадян. Також варто бути уважним тим організаціям, які здійснюють моніторинг поведінки європейських громадян.
Якщо регламент застосовується, російська організація повинна подбати або про обмеження своєї діяльності на території ЄС, щоб уникнути застосування закону, або про прийняття відповідних заходів щодо дотримання його вимог.