Страницы

В Европе новое законодательство по защите ПДн

В Европе обновили законодательство в области обработки ПДн: General Data Protection Regulation. Ознакомиться можно тут.



Документ полностью вступает в силу через 2 года, 25 мая 2018 года. 2 года даны европейским (и не только) компаниям на приведение своих процессов в соответствие новым требованиям.

Требования распространяются на всех операторов и обработчиков, вне зависимости от юрисдикции, если они обрабатывают евроПДны. Т.е. некоторые отечественные компании, которые работают с гражданами EU, полностью подпадут под новые требования.

Самое страшное в новом документе - это штрафы.
За нарушение базовых принципов обработки ПДн (ну, например, сбор согласий на обработку) - штраф до 20 млн евро или 4% от оборота. Штрафуют, как видно из текста, как и у нас: не за утечку ПДн, а за несоответствие требованиям закона.

Появился термин "pseudonymisation". По смыслу так наша "анонимизация". Появляются "генетические данные" совместно с биометрией, встроено "право быть забытым".

Местами документ очень напоминает 152-фз: согласие граждан на обработку ПДн, обработка спецкатегорий, запросы граждан, передача третьим лицам, назначение ответственного. Есть аналог и нашей 19 статьи (тут она 24), который обязывает операторов принимать необходимые технические и организационные меры по защите ПДн. Самих мер в законе нет, но введена процедура добровольной сертификации, думаю, меры будут там.

Из новенького - профилирование пользователей теперь требует согласия/договора. Прощай таргетированная реклама? Так же появился раздел про утечки: при утечке ПДн обязательно нужно оповестить ответственный орган за 72 часа.

Еще одна новость: существовавший много лет Safe Harbour Agreement (соглашение между US и EU, позволяющее американским компаниям обрабатывать перс.данные европейцев путем добровольного декларирования соответствия) теперь меняется на более жесткий EU-US privacy shield.  Но подробностей тут пока что нет.

Что всё это значит для нас? Ну, во-первых, ряд наших компаний подпадает под новые требования если работают с европейцами, во-вторых, штрафы за нарушения обработки ПДн с оглядкой на Европу всё-таки поднимут и поднимут сильно.

Комментариев нет:

Отправка комментария