Лого vc.ru

Как повлияет новый европейский регламент по защите данных на российские компании

Как повлияет новый европейский регламент по защите данных на российские компании

25 мая 2016 года вступил в силу новый Общий регламент по защите данных (General Data Protection Regulation), принятый Европейским парламентом по итогам почти трехлетних дискуссий. Применение этого документа не ограничивается территорией Европейского союза, а его положения будут иметь последствия в том числе и для российских организаций. Роман Бузько, партнер адвокатского бюро «Бузько и партнеры», рассказал vc.ru об основных положениях нового регламента.

Поделиться

Новый регламент распространяется в том числе на российские организации, которые работают на европейском рынке. Он содержит серьезные новые и дополнительные требования — за их несоблюдение предусмотрены большие штрафы.

Российским организациям стоит выяснить, подпадают ли они под регулирование, и принять соответствующие меры: отказать от европейского рынка либо соблюдать требования. Время есть – положения о штрафах вступают в силу в 2018 году.

На кого распространяется регламент

Регламент распространяется на три категории субъектов:

  • Организации, учрежденные в Европейском союзе и осуществляющие «обработку» персональных данных или контролирующие такую обработку.
  • Иные организации, осуществляющие обработку персональных данных европейских граждан в связи с реализацией товаров или услуг. В комментариях к регламенту разъяснено, что пассивный доступ к сайту или контактным данным организации недостаточен. Необходимо, чтобы организация прямо «предусматривала» возможность реализации товаров или услуг европейским гражданам (язык, платежи в евро и так далее).
  • Иные организации, осуществляющие мониторинг поведения европейских граждан. Под таким мониторингом предлагается понимать «отслеживание» поведения субъектов персональных данных в сети интернете — включая последующую их обработку для составления «профилей» пользователей.

Как видно, регламент применяется не только к организациям, которые учреждены на территории ЕС, но и к другим организациям, которые непосредственно работают на европейском рынке. К наиболее вероятным «жертвам» среди российских организаций можно отнести интернет-сервисы, предлагающие услуги на различных языках и принимающие в качестве оплаты евро, и дата-центры, расположенные на территории России и хранящие персональные данные европейцев.

Отдельные правила регламента

Ниже представлены основные положения, которые могут оказаться неожиданными для российских организаций.

  • Назначение представителя в ЕС. По общему правилу, когда организация не находится на территории ЕС, но подпадает под действие регламента, такая организация должна назначить своего представителя на территории ЕС.
  • Изменились условия получения согласия на обработку персональных данных. Во-первых, субъекты персональных данных отныне всегда должны иметь техническую возможность отозвать свое согласие. Во-вторых, отдельное согласие должно быть дано в отношении каждой отдельной цели обработки такой информации. Общие ('omnibus') согласия презюмируются недействительными.
  • Согласие детей. Регламент содержит совершенно новые правила для получения согласия детей на обработку их персональных данных. Согласие детей до 16 лет должно быть сопровождено согласием их родителей.
  • Уведомление о взломе или компрометации персональных данных. Еще одно новое требование. Отныне организации обязаны уведомлять регулятора, а в отдельных случаях — самих пользователей, об имевших место случаях взлома или компрометации персональных данных. Такое уведомление должно быть сделано без промедлений, но в любом случае не позднее 72 часов с того момента, как организации стало известно о взломе.
  • Обязательства по управлению персональных данных. Регламент предусматривает целый ряд обязательств организационного характера в отношении управления личной информацией: оценка воздействия на личность высокорискованных методик по обработке персональных данных (Privacy Impact Assessments), назначение ответственного лица (Data Protection Officer), бдительность при выборе субподрядчиков, участвующих в обработке, и учет всех действий по обработке персональных данных.

Этим новшества не исчерпываются, но это, пожалуй, самые важные изменения.

Штрафы

Предусматривается две категории штрафов в зависимости от состава нарушения:

  • 20 млн евро или 4% от глобального оборота (большее из указанного) за нарушение основных принципов, прав субъектов персональных данных, положений об их международной передаче и некоторые другие нарушения.
  • 10 млн евро или 2% от глобального оборота (большее из указанного) за нарушения следующих обязательств: получение согласия на обработку персональных данных детей, принятие технических и организационных мер для их защиты, назначение представителя в ЕС, уведомление о взломах или компрометации и целый ряд других обязательств.

В комментариях к регламенту пояснено, однако, что вместо штрафа может быть сделан выговор (reprimand) в случаях, когда совершенное правонарушение является незначительным, или наложенный штраф будет чрезмерен (несопоставим с нарушением). Полномочия по определению конкретных сумм штрафов предоставлены национальным органам власти государств-членов ЕС.

Рекомендации

Российским организациям стоит оценить возможность применения положений регламента к их деятельности. При этом стоит обратить внимание на наличие среди своих клиентов европейских граждан. Также стоит быть внимательным тем организациям, которые осуществляют мониторинг поведения европейских граждан.

Если регламент применяется, российская организация должна позаботиться либо об ограничении своей деятельности на территории ЕС во избежание применения закона, либо о принятии соответствующих мер по соблюдению его требований.

У организаций, решивших принять меры по соблюдению положений регламента, есть два года (до 25 мая 2018 года), когда положения о санкциях вступят в силу.

Присылайте колонки, соответствующие требованиям редакции, на secret@vc.ru

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

придется нанять ещё одного юриста, чтобы понять, что тут написано

0

Сергей, если есть вопросы, готовы пояснить.

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Алексей Кулешов

1. Между 1С уровня фриланса (это исключительно задачи начального уровня в малом бизнесе) и SAP просто пропасть, это совершенно разные весовые категории и необходимости переходить из одного в другое просто нет, т.к. по зарплатам разницы нет. Еще надо понимать что 1С (а SAP тем более), если говорить о топовой карьере, это проектная работа и командировки.

2. Нужно исходить из рынка и изначальных условий. Если вы студент из ИТ с хорошим английским, живете в Москве, можно делать карьеру в Java. Хотя 10 лет назад популярность Java совсем не была очевидна и лично у меня есть внутренние ощущения, что ее популярность идет на спад, так что входить в эту технологию сейчас возможно не лучшее время. Я не подскажу что сейчас учить, но сразу скажу что C++ это очень узкий и специфический рынок труда.

3. Ваш крайний вариант это еще одно заблуждение. Даже через 5-6 лет такой теоретик COBOL никому не нужен будет. Чтобы стать востребованным и дорогим специалистом, нужны вертикальные компетенции (сильные знания предметной области + хорошие техники программирования)

4. Искать себе изначально предметную область это из области фантастики. Первая работа это скорее та, куда взяли, а не та, которую выбрал сам. Возможны исключения для очень одаренных ребят, сильно везучих и блатных.

Общий совет - откройте любой сайт с работой, посмотрите что нужно и оцените уровень вакансий, т.е. есть ли junior позиции ? Соберите требования кроме языка программирования, выпишите все неизвестные аббревиатуры и гуглите поочередно до просветления.

P.S. Я не теоретик и не студент, 16 лет стажа коммерческого программирования за плечами.

С чего начать изучение программирования ради заработка
0
Valentin Dombrovsky
Travelabs

Ребята, Убери будет держать цены низкими столько, сколько сможет, чтобы выдавить конкурентов с рынка, а потом спокойно подымет их, не имея конкурентов.
Классно, конечно, не видеть очевидных вещей и из этого создавать типа умные заметки...

«Uber не поможет эффект масштаба»: почему сервис по заказу поездок никогда не станет прибыльным
0
Yuriy Khait
SREDA Digital

Елена, радуюсь вашим успехам. :)
Позвольте немного прокомментировать.

Для SaaS и услуг по подписке довольно сложно принимать решения относительно эффективности рекламных каналов и контента только по воронке трафик -> лиды -> объём продаж -> ROI.

Так или иначе, для сервиса, который уже 3 года работает с ненулевыми продажами имеет смысл считать такие показатели как churn rate, LTV, CAC и каждому инструменту присваивать роль, которую он играет в процессе сделки.
К примеру, e-mail-маркетинг редко эффективен для привлечения новых регистраций, однако, с одной стороны это канал доставки контента, с другой - инструмент удержания клиентов.
Контент-маркетинг - вообще не должен продавать, но передвигает часть аудитории с одной ступеньки принятия решения на другую.
Директ на поиске - привлечение тех, чей спрос уже сформирован, ремаркетинг в РСЯ - возврат незавершивших регистрацию.

Построенная таким образом модель наверняка поможет вам решить задачу масштабирования бизнеса в будущем.

Что же касается поднятия постов в facebook - отслеживать эффективность отдельных постов помогут просто UTM-метки. Однако "поднимать" имеет смысл разные посты на разные аудитории.
Тем, кто пока ничего не понимает в стандартизации и дедубликации - бессмысленно давать промо-код на бесплатные проверки или тестовый период. А тем, кто уже является вашим пользователем, но пока не применяет возможности сервиса в полную силу - посты о том, как работать с вашим API вполне способны помочь.

В любом случае, желаю не останавливаться на достигнутом! :)

Кейс из России: Как увеличить оборот B2B-сервиса с нуля до 14 млн рублей в год с помощью контент-маркетинга
0
Александр Дегтярев

До определенной суммы подоходный налог отсутствует практически во всех европейских странах. Пример в Германии это суммы менее 9 000 долларов, Франция менее 6 800 долларов, Великобритания менее 15 000 долларов. Доллары взяты относительно удобства, дабы не уравнивать разные валюты

Налоговая служба потребовала 60 млн рублей от бывшего издателя проектов Look At Media
0
Максим Мостовой
Куппи.ру

Примеры западных стран, отказавшихся от налогов будут?

Налоговая служба потребовала 60 млн рублей от бывшего издателя проектов Look At Media
0
Показать еще