GDPR 3 года. Как регламентируется работа с персональными данными: Российская и мировая практика
Общий регламент по защите данных (General Data Protection Regulation) — постановление Европейского союза, заставившее многие организации пересмотреть свои политики сбора, хранения и управления персональными данными. Главным стимулом для пересмотра в странах Европейского союза является угроза штрафа более 20 млн евро (или 4% от глобального годового оборота, смотря какой из показателей выше). И хотя компании, находящиеся в юрисдикции России, не подпадают под действие этого закона, многие международные компании применяют одинаковые политики управления данными во всех филиалах. Однако, если компания работает с id или персональными данными пользователей из стран Евросоюза, они вынуждены соблюдать требования, установленные общим регламентом.
С момента вступления GDPR в силу в мае 2018 года стало понятно, как он используется в судебной практике и что означает для принимаемых внутри компаний политик и положений. Этот закон означает перемены, и, кажется, перемены к лучшему, если говорить о защите информации — у организаций теперь есть конкретные стимулы заботиться о персональных данных пользователей.
Внимание к проблеме хранения и обработки персональных данных появилось с развитием Интернета и цифровых технологий, с появлением массовых утечек данных и дел по ним. Для решения этой проблемы в GDPR указано, что компании не должны хранить данные дольше срока, необходимого для их обработки. Это обеспечивается изменением внутренних правил и политик управления документами и информацией таким образом, чтобы данные собирались, хранились, обрабатывались и уничтожались в соответствии с положениями GDPR.
В Российском правовом поле также существуют законы, регулирующие деятельность организаций по обработке персональных данных. Основной – федеральный закон РФ от 27 июля 2006 года №152-ФЗ «О персональных данных» и федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации». На самом базовом уровне законы регламентируют, что пользователь должен быть уведомлен о том, что его персональные данные собраны, и в некоторых случаях персональные данные не могут быть обработаны компанией, если клиент не дал письменного согласия на обработку. Штрафы за нарушения требований законодательства по отношению к получению, обработке, использованию и хранению данных могут достигать сотен тысяч рублей, и обязать компанию или должностное лицо нести ответственность дисциплинарную, административную или даже уголовную ответственность.
Требования к работе с данными постоянно изменяются и дополняются, и стремительное развитие цифровых технологий заставляет ожидать, что старые законы и положения продолжат адаптироваться, и будет появляться всё больше новых.
Самостоятельно уследить за изменениями и обеспечить исполнение всех требований – крайне сложно и трудозатратою. Более того, количество специалистов, разбирающихся и в актуальном законодательстве и в требованиях бизнеса к получению преимуществ от владения данными – крайне ограничено. Цифровые и бумажные сервисы ОСГ, представляемые вам на основе ваших потребностей сразу настроены так, чтобы ваша работа при использовании услуг ОСГ соответствовала всем нормативно-правовым требованиям – вам остаётся только обратиться к менеджеру ОСГ с бизнес-задачей, которая перед вами стоит, и мы поможем вам достигнуть поставленных целей, автоматически обеспечивая соблюдение требований к работе с данными.
Тематики: Регулирование
Ключевые слова: персональные данные