25 мая 2018 года в ЕС вступает в силу новый Регламент защиты персональных данных граждан ЕС – GDPR (General Data Protection Regulation), который заменяет собой Директиву 95/46/ЕС (Data Protection Directive).
Все компании, которые собирают и обрабатывают персональные данные граждан Евросоюза, не зависимо от того, зарегистрирована компания в ЕС или нет, обязаны соблюдать этот Регламент (правила).
Регламент распространяется на финансовые, юридические, ИТ, медиа, транспортные и фармацевтические компании, медицинские учреждения, интернет-магазины и другие компании, которые собирают и обрабатывают персональные данные граждан ЕС.
Какие данные считаются персональными?
Персональные данные (Personal Data) – это любые данные физического лица, с помощью которых его можно идентифицировать: имя, идентификационный номер, местонахождение и т.п.
Штрафы за несоблюдение требований Регламента
Все компании, которые собирают и обрабатывают персональные данные граждан Евросоюза, обязаны подготовить ряд документов по защите персональных данных и внедрить их в свои бизнес-процессы до момента вступления Регламента в силу. Кроме того, на эти компании также возлагается обязанность доказать правомерность обработки персональных данных.
За несоблюдение правил предусмотрены штрафы:
- до 10 млн. евро или до 2% от годового оборота компании за предыдущий финансовый год (в зависимости от того, какая сумма больше) – за нарушение общих обязательств по обработке персональных данных, а также за нарушение обязательств органов контроля и сертификации;
- до 20 млн. евро или до 4% от годового оборота компании – за нарушение основных принципов обработки персональных данных, которые определяют требования к объему, форме и способам обработки; за нарушение принципа предварительного согласия лица на обработку его персональных данных; а также за передачу данных лицам из третьих стран или международным организациям.
