МИНСК, 22 мая — Sputnik. Восемь стран — членов Европейского союза не сумели подготовить необходимую законодательную базу, которая могла бы соответствовать вступающему в действие 25 мая новому закону о защите персональных данных.
Кто в аутсайдерах?
Европейские СМИ сообщают, что на приведение национальных законов в соответствие с General Data Privacy Regulations всем членам ЕС отводилось два года.
Несмотря на значительный переходный период, Бельгия, Болгария, Кипр, Чехия, Греция, Венгрия, Литва и Словения не успевают к 25 мая привести национальное законодательство в соответствие с GDPR.
Требования нового закона носят экстерриториальный характер и распространяются на компании, которые собирают персональные данные европейских граждан, хотя при этом могут быть зарубежными.
В случае нарушений правил защиты персональных данных компании могут получить штраф в 20 миллионов евро или 4% от годового оборота.
Что такое GDPR?
General Data Privacy Regulations был введен в Евросоюзе в 2016 году. Новые правила призваны защитить персональные данные европейских граждан.
Согласно документу все компании, которые в своей работе используют персональные данные гражданина Евросоюза, автоматически подпадают под действие GDPR.
Компании обязаны обеспечить хранение персональных данных в обезличенном и зашифрованном виде. В случае утечки информации европейские регулирующие органы должны быть уведомлены об этом в течение трех суток.
При этом необходимо получать разрешение на обработку персональных данных в виде письма или в устной форме, также европейские граждане должны быть проинформированы, каким образом данные будут обработаны, и наделены правом отказаться от процедуры без ущерба для совершаемого действия.
Кто в Беларуси подпадет под GDPR?
Все филиалы и представительства белорусских организаций на территории Европейского союза будут обязаны соблюдать новые требования.
Компании, находящиеся в Беларуси и оказывающие услуги европейским гражданам на локальных языках в местных валютах на национальных доменах ЕС, также подпадают под действие закона.
Фактически компании, которые продают онлайн-билеты на транспорт, номера в гостиницах и хостелах, находятся в правовом поле GDPR и должны соблюдать законы ЕС о защите и обработке персональных данных.
Что такое персональные данные в GDPR?
Любая информация, которая позволяет идентифицировать физическое лицо прямо или косвенно, считается персональными данными.
Сюда входят ФИО, данные о геолокации, а также все, что позволяет определить физическую, физиологическую, генетическую, умственную, экономическую, культурную или социальную идентичность европейского гражданина.
Определение настолько широкое, что затрагивает фактически всю информацию, которая касается физического лица, вплоть до его IP-адреса, который может быть признан персональными данными.
GDPR также выделяет еще одну важную часть сведений о физическом лице — это конфиденциальные данные. Сюда входит информация о расовом и этническом происхождении, политических взглядах, религиозных и даже философских убеждениях, а также членство в профсоюзе.
Отдельно выделяются генетические и биометрические данные, которые могут быть использованы для идентификации гражданина. Данные о состоянии здоровья, сексуальной жизни и ориентации также включены в этот перечень.
Отныне GDPR наделяет европейских граждан правом на забвение (right to erasure, right to be forgotten), то есть полное удаление персональных данных или перенос этой информации по необходимости от одной компании в другую (right to data portability).
Всем белорусским компаниям, которые ориентированы в сети на европейский рынок, нужно привести в соответствие требованиям GDPR свои политику конфиденциальности и положение о обработке персональных данных (Terms of use).