Роскомнадзор разъяснил особенности правоприменения GDPR для российских операторов персональных данных
Новый европейский регламент по защите персональных данных — General Data Protection Regulation (GDPR, вступил в силу 25 мая 2018 года) распространится на российские компании, имеющие представительства на территории ЕС или обрабатывающие данные граждан стран-участниц союза.
Об этом в рамках конференции «Защита персональных данных» напомнила заместитель начальника Управления по защите прав субъектов персональных данных — начальник отдела правового и методического обеспечения Роскомнадзора Альфия Гафурова.
Представитель РКН дала ряд рекомендаций по исполнению норм и требований GDPR.
В частности, ведомство рекомендовало по возможности минимизировать или анонимизировать обрабатываемый перечень персональных данных (ПД), а также поддерживать в актуальном состоянии документы, определяющие политику компании в отношении обработки ПД.
Право граждан стран Европейского Союза на получение информации об обработке их ПД является ключевым в системе прав субъектов, заложенных в GDPR, подчеркнула А. Гафурова. В этой связи РКН рекомендовал размещать ссылку на политику в отношении обработки ПД на всех страницах сайта, где осуществляется их сбор. При использовании метрических программ, направленных на сбор cookie-файлов, необходимо обеспечить правовую основу сбора и последующего использования ПД.
Кроме того, важно предусмотреть право на забвение, указала А. Гафурова. Субъекты ПД вправе требовать удаления информации о них из результатов поиска, если она не представляет общественного интереса.
Представитель РКН также призвала запрашивать отдельное согласие по каждой цели обработки ПД – тем самым у субъекта появляется возможность отозвать согласие по деятельности, цель которой реально достигнута.
Также компания должна опубликовать информацию об ответственном за защиту ПД и направить ее национальному регулятору.
Максимальный штраф за нарушение норм GDPR составляет 20 млн евро или 4% оборота денежных средств компании, рассказала А. Гафурова. Такое наказание предусматривается, как правило, за нарушения, связанные с несоблюдением прав и законных интересов субъектов.
Компания может быть оштрафована на 2% оборота денежных средств за то, что не уведомила надзорный орган и субъекта ПД об утечке в течение 72 часов или не провела оценку.
IX Международная конференция «Защита персональных данных», организованная RSpectr / Project Si event agency при поддержке Роскомнадзора, проходит 8 ноября в МИА «Россия сегодня».
Изображение: RSpectr