Еще раз и подробно: вступил в силу общеевропейский регламент по защите личных данных. Что следует знать?

Для адаптации и подготовки выполнения требований по единой системе, руководство ЕС предоставило странам-членам союза два года. К 25 мая 2018 года компании, учреждения и организации всех стран-членов ЕС, в том числе и Эстонии, должны были быть готовы к тому, что каждый человек сможет потребовать предоставить и проверить всю, имеющуюся у них, информацию о себе. Каждый человек получил право запрещать любым предприятиям, учреждениям и организациям передавать или использовать его личные данные.

”Группа компаний Admiral Markets занимается предоставлением финансовых продуктов со всего мира через высокотехнологичную торговую платформу, поэтому наша компания начала заниматься проектом GDPR заблаговременно. На сегодняшний день мы готовы и наши клиенты уже смогли ознакомиться с обновленной версией нашей политики конфиденциальности, более детально описывающей для каких целей данные, доверенные нам, могут быть использованы”, — сказал член правления Admiral Markets Дмитрий Куравкин.

Важно понимать, что новая регуляция распространяется не только на компании зарегистрированные и работающие в Европе, но и на те, которые так или иначе соприкасаются с данными европейцев. Например, стоит пролистать GDPR, если компания работает в Австралии, но имеет клиентов из Европы или интернет-магазин зарегистрированный за пределами ЕС, однако принимает платежи европейцев.

В первую очередь необходимо разобраться какие данные, согласно закону, будут подлежать защите. Это любая информация, которая позволяет идентифицировать конкретное лицо. Это то, что было уточнено новыми правилами. По закону, к личным данным относится любая информация о человеке, например, его имя и фамилия, дата рождения, семейное положение, адрес проживания и многое другое. Всё, что может вас идентифицировать — это Ваши личные данные. И это реальные, не вымышленные данные. Например, trader Alex — это вымышленный персонаж, а вот клиент Admiral Markets Дмитрий Куравкин — уже да. ”Регуляция GDPR ввела новый термин — ”псевдонимизация” или обезличивание данных. Если данные в системах фирмы распределены так, что на их основании невозможно определить владельца, то это позволит намного проще справится с требованиями регуляции”, сказал Куравкин.

”Другой вопрос, что защита данных, не стала важнее с введением новых регуляций. Это было важно всегда. GDPR повысил штрафы, и обратил внимание людей на значимость темы. На наш взгляд — это хорошо. Люди должны понимать, зачем и почему кто-то запрашивает, хранит и обрабатывает их данные”, — продолжил Куравкин. По его словам, самым энергозатратным было структурировать то, где и как храниться и обрабатываться данные клиентов.

”Если мы говорим о вопросах, на которые, мы искали ответы в прошлом году, то звучат они так:

- Достаточно ли задокументированы ситуации, при которых для каких-то целей мы должны делиться данными, и доступна ли эта информация для клиента?

- Как долго мы можем хранить данные? ”Право быть забытым” не работает в полной мере для финансовых учреждений. Например, данные по идентификации клиента мы должны хранить даже после завершения договора. Возможно ли отделить эти данные от других?

- GDPR также говорит и о данных работников. Все ли здесь хорошо? Например, если я собираю данные при проведении интервью по приему на работу, могу ли я их хранить, если договор не был заключен?”, — добавил Куравкин.

Новая регуляция обеспечила пользователям доступ к их персональным данным, предоставила право требовать удаления этих данных (”Право быть забытым”) или право запрета на передачу данных другой компании, а также право запрещать и ограничивать обработку данных о себе, исправлять неточную информацию. Но, и клиентам, и компаниям важно учитывать, что это право может быть ограничено законом. Финансовые учреждения или фирмы принимающие банковские платежи от клиентов, обязаны хранить ряд данных в течении предусмотренного законом срока. Данные об идентификации — 5 лет после закрытия договора.

”Также мы советуем организациям просмотреть все договоры с их партнерами — кто из партнеров может обрабатывать данные клиентов. При этом стоит учитывать, что по закону ответственность теперь будет лежать не только на контролере (controller) — лице принимающим данные, но и на вашем партнере операторе (processor), например, компании, которую вы используете для отправки электронной почты клиентам.”

В связи с вступлением в силу Общего регламента по защите персональных данных, должен быть изменен и эстонский Закон защите личных данных, однако эти изменения до сих пор не приняты. Первое чтение проекта закона 616 SE о защите личных данных прошло 9 мая, на пленарном заседании Рийгикогу, второе чтение законопроекта пройдет 29 мая. Новый закон регулирует получение, использование и обработку личных данных и определит условия надзора за ними и ответственность за нарушения в соблюдении регламента Евросоюза по защите персональных данных GDPR (General Data Protection Regulation).