Новый Регламент о защите персональных данных GDPR — благо или наказание для страховщиков?

Для кого разработан Регламент? И как с ним ужиться в реальном мире?

GDPR подразумевает унификацию правил по сбору, обработке и хранению персональной информации для всех компаний, чьими клиентами являются граждане стран Европейского союза, а также те, кто временно пребывает на территории этих стран (в частности, путешественники, выезжающие за границу с туристической целью). Что такое персональные данные? Это любая информация, которая позволяет идентифицировать конкретного человека. Более того к этому определению относятся сведения о физической, физиологической, генетической, умственной, экономической, культурной и социальной идентичности.

GDPR не обязывает компании внедрять какие-либо конкретные приемы и методы защиты данных. Организации вправе самостоятельно выбирать систему обеспечения безопасности внутренних данных. Главное — надежная защита персональных данных.

 Важным моментом для украинского бизнеса здесь является то, что действие документа не лимитировано рамками ЕС, а распространяется на все организации, имеющие дело с данными граждан ЕС, и украинские в том числе. Иными словами, основная цель GDPR заключается в гарантии защиты персональных данных граждан ЕС без привязки к тому, на территории какой страны они хранятся. Основное требование к компаниям, которые работают с данными граждан ЕС, — защищать конфиденциальность этих данных.

Согласно Регламенту ЕС 2016/679 субъекты персональных данных получают больше прав. В частности право на доступ к ясной прозрачной информации, зачем той или иной компании нужны персональные данные, и как они будут их использовать и хранить.

Также они могут требовать внести правки или подать заявку на полное уничтожение личных персональных данных. Когда компания закончит выполнять свои обязательства, все данные конкретного клиента должны быть стерты.

Техническая сторона вопроса GDPR

Требования Регламента GDPR во многом касаются технической базы той или иной компании, которые обязаны их соблюдать. В частности, персональные данные клиентов должны храниться таким образом, чтобы их можно было легко перезаписать, предоставить в структурированном виде или удалить, причем безвозвратно. Более того ответственные сотрудники организации должны позаботиться о защите: принять меры по шифрованию данных, а также обеспечению целостности и устойчивости систем обработки - регулярно должны проводиться тестирования для оценки организационных мер и обеспечения безопасности обработки персональных данных.

То есть, главным выводом для украинских компаний должен стать тот факт, что Регламент применяется не только к учрежденным в ЕС организациям, но и к тем, которые просто работают на европейском рынке, либо обслуживает граждан ЕС.

GDPR, содержащий 99 статей, по сути, является дополненной и более жесткой интерпретацией Директивы 1995 года (Принципиальное отличие между ними в том, что регламент набирает законодательную силу на всей географической территории Евросоюза с момента утверждения. В свою очередь директива приводится в действие только путем признания местной властью каждой отдельной европейской страны. Формат регламента призван способствовать принятию единой практики на территории ЕС).

Регламент накладывает на нарушителей максимальные штрафы, при этом полномочия по назначению конкретных сумм переданы местным органам власти государств-членов Евросоюза.

Существует две категории штрафов с учетом глубины и масштаба нарушения:

- 20 млн. евро или 4% от годового дохода за нарушение: ключевых положений Регламента, прав субъектов ПД, нормативов передачи личных данных и др.
- 10 млн. евро или 2% от годового дохода за нарушения процедуры получения согласия на хранение и обработку ПД несовершеннолетних, за несоблюдение технических норм работы с ПД, за отсутствие представителя в ЕС и др.

Смягчающим моментом является тот факт, что в отдельных случаях вместо штрафа дело может ограничиться выговором. Например, когда регулятор признает правонарушение незначительным.

Источник: Фориншурер