В мае 2018 года был принят Общий регламент о защите данных (GDPR), который направлен на усиление и унификацию защиты персональных данных всех лиц Европейского Союза (ЕС).
Соответствие GDPR (General Data Protection Regulation)
В чем суть
В мае 2018 года был принят Общий регламент о защите данных (GDPR), который направлен на усиление и унификацию защиты персональных данных всех лиц Европейского Союза (ЕС).

В нем содержатся основные положения, касающиеся сбора, обработки, передачи персональных данных, включая условия согласия на обработку данных, порядок действий при утечке, требования к передаче данных в третьи страны и др.

За нарушение требований GDPR предусмотрена серьезная ответственность. Основная санкция – штраф, размер которого может достигать 20 млн евро или 4% от годового дохода компании, в зависимости от того, что больше. Основными правонарушениями GDPR являются: нарушение принципов сбора, обработки данных, незаконные основания сбора данных, слабые меры по защите данных пользователей и утечка информации.

Однако орган, привлекающий к ответственности, учитывает практику компании в сфере работы с данными, а также меры, которые компания принимает, чтобы устранить нарушения. При этом нет «минимальных» и «средних» размеров штрафов, это остается на усмотрение регулятора.
Примеры
Мобильное приложение – спортивное СМИ LaLiga – понесло ответственность в размере 250 тысяч евро за несанкционированный доступ к микрофонам, диктофонам пользователей, которые не давали свое прямое согласие на их использование. Испанский регулятор посчитал это нарушением требования о прозрачности информации о сборе персональных данных.
Для кого это важно
Соблюдать требования GDPR должны не только компании, которые непосредственно зарегистрированы на территории ЕС или имеют там филиалы и представительства. GDPR также применяется к компаниям, которые не находятся в ЕС, но:

  • предлагают услуги или товары лицам, находящимся на территории ЕС (например, доступ к вашей мобильной игре предоставлен для граждан ЕС или рекламные тексты в приложении переведены на один из языков стран ЕС);
  • осуществляют мониторинг активности лиц, находящихся на территории ЕС (например, сбор IP-адресов посетителей сайта – граждан ЕС).
На что нужно обратить внимание
Важно, чтобы процессы сбора и обработки данных соответствовали требованиям GDPR. Для этого необходимо:

  • провести проверку процессов обработки персональных данных в компании;
  • обновить Политику конфиденциальности и подготовить корректный текст согласия на обработку персональных данных;
  • назначить представителя в ЕС, если ваша компания не зарегистрирована там;
  • определиться, нужен ли вашей компании инспектор по защите персональных данных (DPO);
  • организовать учет деятельности по обработке персональных данных;
  • предусмотреть основания для передачи данных в третьи страны;
  • организовать систему взаимодействия с субъектами данных.