Європа перейшла від Директиви про захист персональних даних | Kyiv International Economic Forum
Європа перейшла від Директиви про захист персональних даних на Загальний регламент про захист даних (GDPR). Важливим нюансом Регламенту є екстериторіальний принцип дії європейських правил обробки персональних даних, отже його мають дотримуватися всі компанії, що працюють на європейському ринку. Багато європейських лідерів постійно згадують ці правила у промовах, що стосуються соціальних мереж та компаній, які отримують персональні дані користувачів.
GDPR регулює роботу з особистими даними, що зберігаються на електронних або фізичних носіях інформації. Згідно з нормами Регламенту, персональні дані — це всі дані, що стосуються конкретної особи, за якими вона може бути ідентифікована (ім'я, IP, адреса електронної пошти тощо).
Для Saas-компаній (“Програма як послуга”), що працюють з даними клієнтів, дотримання зазначених правил має особливе значення. Регламент поділяє всіх, хто працює з даними, на контролерів, які збирають дані, і на тих, хто ці дані обробляє. Saas-компанії лише обробляють інформацію, але також мають і деякі функції контролера (наприклад, коли збирають дані при реєстрації користувачів). Згідно GDPR, компаніям дозволяється збирати й зберігати дані, які є ключовими для бізнесу.
Норми GDPR дозволяють збирати персональну інформацію за умови згоди користувача на це. Користувач також повинен мати доступ до своїх персональних даних, які можна видалити або отримати в електронному форматі для передачі третій стороні.
За порушення Регламенту компанії мають сплатити штраф у розмірі до 20 млн євро або 4% річного доходу. За час дії GDPR загальна сума штрафів вже перевищила 270 млн євро. В першу чергу ці стягнення стосуються великих компаній – Google і Facebook, але багато малих та середніх бізнесів теж потрапили під ці санкції.
Ключова вимога GDPR – дати користувачам більше законодавчих механізмів контролю за власними персональними даними й збільшити відповідальність організацій за порушення цих вимог.
