25.05.2018 г. вступил в силу новый революционный документ, защищающий персональные данные (General Data Protection Regulation, GDPR).
Под такими данными имеется в виду любая информация, с помощью которой можно идентифицировать физическое лицо, независимо от сферы деятельности, от имени, адреса до фотографий, e-mail и IP-адреса.
Нормы были приняты Европейским союзом и соответственно действуют на всей его территории. Это значит, что все страны ЕС должны привести в соответствие с GDPR свое национальное законодательство.
В том числе международным концернам следует применять эти правила. Предусмотрена ответственность за неисполнение норм документа – штраф в размере до 4% от годового валового оборота или до 20 млн. евро.
Каждая страна-участник обязана создать надзорный орган. К компетенции которого будет относиться рассмотрение жалоб, взыскание за административные правонарушения и т.п.
Такой орган будет подконтрольным перед главной Европейским советом защиты данных GDPR.
Главная ценность подписанного регламента в том, что он позволяет социально активным гражданам контролировать свои персональные данные, а именно, знать, какие личные данные сохранены и какие используются.
Отныне, каждый гражданин ЕС может обратиться, в любой удобной форме, к организации с запросом о предоставлении информации о своих данных, а также, запрещать их использование, путем полного удаления из сети Интернет.
Обработка данных будет считаться законной, только если согласие было явным, и выполнено одно из таких условий:
- лично предоставлено разрешение на использование конкретных данных;
- обработка необходима для исполнения обязательств по договору\контракту или если установлено законом;
- существует необходимость получения информации, которую будут использовать с целью защиты жизненных интересов или для исполнения любого задания в общественных интересах;
- обработка требуется для целей и интересов контроллера или третьей стороны, кроме случаев, когда над такими интересами преобладают интересы прав и свобод субъекта данных, требующих охраны его персональных данных.
Например, раньше в сфере бизнеса, должны были предупреждать о записи телефонных разговоров, например, с целью безопасности. Но теперь нужно согласие на такую запись.
К тому же, если в процессе записи субъект отзывает свое согласие, агент должен остановить запись.
GDPR вводит понятия псевдонимов и их использование в процессе сохранения данных.
С помощью псевдонимов нельзя будет распознать того или иного субъекта без использования дополнительной информации.
В случае нарушения и утечки конфиденциальной информации, сотрудник контролирующего органа обязан предупредить максимум за 72 часа после того, как стало известно об утечке.
Санкции, которые могут быть наложены очень большие, начиная с предупреждения и заканчивая штрафом.