Право на забвение, трансграничная передача и комплаенс по-европейски: что дают пользователям и бизнесу GDPR и 152-ФЗ

В эпоху глобальной цифровизации всех отраслей экономики и проникновения веб-интерфейсов и приложений в ежедневные действия людей на первый план вышла задача безопасности сбора, хранения и обработки персональных данных. В РФ эта область регулируется ФЗ-152, в Европейском союзе – GDPR (Общий Регламент по защите данных, вступивший в силу 25 мая 2018 года).

За более чем трехлетнюю историю GDPR как закона сумма штрафов, уплаченных бизнесом во всем мире, превысила 1 миллиард 200 миллионов Евро. Несоответствие требованиям грозит бизнесу не только штрафами, но и блокировкой работы сайта и/или приложения на территории ЕС.

АйТи Провайд (IT Provide) – российская компания, резидент Skolkovo, которая создает программные решения в сфере защиты персональных данных в России (152-ФЗ) и в Европейском Союзе (GDPR).

Имея за плечами большой опыт и экспертизу в сфере информационной безопасности, наша команда решила создать SaaS решение, призванное помочь малому бизнесу и стартапам, а также зрелым компаниям, готовым к масштабированию в Европе, получить статус GDPR Ready с помощью пяти простых инструментов за 48 рабочих часов. Для сравнения, самому разобраться в GDPR — это как заново получить новую престижную профессию: долго, дорого и не очень понятно, где взять менторов.

Есть иной путь – найти проверенных специалистов по защите персональных данных (Data Privacy Officers) и отдать GDPR комплаенс на аутсорсинг.

Но важно понимать следующее: средняя рыночная ставка такого специалиста – от 200 Евро в час, и таких часов может быть потрачено от 4 до бесконечности, т.к. 100% GDPR комплаенс не достижим (на практике).

Как правило, бизнесу или стартапам, выходящим на рынок ЕС, в первую очередь, необходимо привести сайт и мобильное приложение в соответствие со всеми требованиями GDPR, иначе их ждут санкции и штрафы от регуляторов.

Data Protection Authorities (DPA) - это регуляторы, которые созданы специально для защиты прав субъектов GDPR в каждой (!) из стран ЕС.

Согласно ч.1 ст.58 GDPR они обладают следующими полномочиями:

· запрашивать любую информацию, касающуюся обработки персональных данных;

· проводить аудиты защищенности персональных данных;

· получать от оператора и обработчика доступ ко всем персональным данным и ко всей информации, необходимой для выполнения своих задач;

· получать доступ к любым помещениям оператора и обработчика, в том числе к любому оборудованию и средствам обработки данных.

При выявлении нарушений, согласно ч.2 ст.58 GDPR, они могут:

· выдавать ПРЕДУПРЕЖДЕНИЯ и замечания о том, что текущий порядок обработки персональных данных нарушает положения Регламента;

· выдавать ПРЕДПИСАНИЯ о необходимости выполнения запроса / запросов субъекта;

· потребовать привести в соответствие с Регламентом операции по обработке персональных данных в определенный СРОК;

· наложить временное или постоянное ОГРАНИЧЕНИЕ на обработку данных;

· выдать предписание об УДАЛЕНИИ либо уточнении персональных данных;

· наложить административный ШТРАФ вместе с иными мерами либо вместо них;

· потребовать ПРЕКРАТИТЬ ПЕРЕДАЧУ персональных данных в третью страну либо в международную организацию.

На практике первые штрафы за нарушение GDPR для компаний, находящихся вне ЕС, могут отсутствовать. Конкретные размеры штрафов определяются индивидуально и зависят от большого количества факторов.

Тем не менее, многомиллионные штрафы в евро — это реальная верхняя планка за нарушение регламента GDPR, если компания сознательно и долгое время нарушала права субъектов. Также последствием отказа от выполнения требований GDPR для российских компаний может стать блокировка сайта на территории ЕС либо отдельных государств-членов ЕС.

Все это – прямые риски для бизнеса, которые необходимо здраво оценить и избежать последствий. На исправление потребуется два-три месяца, которые на этапе выхода на рынок нельзя себе позволить.

Физическое местоположение вашего бизнеса, компании или учреждения не важно при определении необходимости соблюдения GDPR. Поэтому под действие регламента GDPR попадают Россия, Украина, Беларусь, Казахстан и другие русскоговорящие страны.

Основной список стран GDPR можно посмотреть на сайте.

Европейский GDPR работает по принципу экстерриториальности. Это означает, что страны, на которые распространяется GDPR — это не только страны ЕС, но любые страны мира. Важно то, что требования GDPR относятся к компаниям и в ЕС, и в любой стране, если продажи или реклама направлены на физических лиц в ЕС. При этом GDPR не требует принятия законов на национальном уровне и действует на операторов напрямую.

Действует ли GDPR в России? Требования GDPR распространяются на компании в любой стране, если эти компании работают с физлицами в ЕС. Для того, чтобы ваша компания в России попадала под действие европейского GDPR и несла полную ответственность в соответствии с его нормами, достаточно выполнить как минимум одно из условий применимости GDPR.

Например, доступна ли версия вашего корпоративного сайта на одном из европейских языков? Пройдите тест и узнайте, касается ли применение GDPR в России вашей компании! А также получите бесплатную первичную консультацию, если сомневаетесь в вопросах применения GDPR в РФ.

1. Простота установки и использования.

После того, как вы создадите политики и формы согласия, они останутся у вас навсегда! Не нужно делать сотни версий и хранить их на своих компьютерах!

2. Актуальность

Мы автоматически обновим ваши документы в соответствии с требованиями новых законов и постановлений.

3. Экономия на судебных издержках

Зачем тратить целое состояние на юриста, если вы можете использовать команду юристов и консультантов Defendocs, чтобы соответствовать требованиям. Просто напишите нам. https://itprovide.pro/contacts

Мы помогаем российским стартапам, а также малому и среднему бизнесу, обеспечить выход на рынки Евросоюза с соблюдением всех требований соответствия GDPR.

У нас за плечами более 10 лет опыта обеспечения инфобеза для госсектора и крупнейших игроков рынка в РФ.

Мы успешно провели пилоты для резидентов Skolkovo Технопарк и получили первые продажи. Постоянно улучшаем наш сервис и готовы к масштабированию.

Добро пожаловать в легкий и понятный GDPR Compliance с сервисом Defendocs!