Новые правила охраны частной жизни в ЕС вступят в силу в 2018 году

Редакция
25.04.2016
Категории: За рубежами, Публикации, Рекомендуем
Теги: Евросоюз, конфиденциальность, персональные данные

Одобренные Европарламентом 14 апреля новые правила защиты информации (The General Data Protection Regulation, GDPR), обсуждение которых длилось четыре года, вступят в силу 4 мая 2018 года, сообщает The Register. Предлагаем вашему вниманию сокращённый перевод статьи, дополненный ссылками на ранее опубликованные D-Russia.ru материалы по этой теме.

GDPR заменит устаревшие общеевропейские законы о приватности (принятые в 1995 году) и национальные регуляторные нормы, и станет обязательным для всех стран Евросоюза.

Таким образом, у компаний есть два года на внедрения предусмотренных новым законом норм, а также на жалобы и протесты. Требования также коснутся иностранных компаний, ведущих бизнес на территории ЕС.

По мнению юристов Hogan Lovells (международная юридическая компания со штаб-квартирами в Лондоне и Вашингтоне; специализируется на госрегулировании, гражданских спорах, арбитраже, корпоративных тяжбах, финансовых делах и исках об интеллектуальной собственности), новые правила – это самая масштабная реорганизация законодательства о защите информации в Европе. Они заметно повлияют на методы ведения бизнеса в интернациональном масштабе. Учитывая новые технологические реалии и разоблачения Эдварда Сноудена, GDPR представляют новые обязательства по отчётности для компаний, более широкие права для пользователей и необходимые ограничения по отношению к международным потокам данных.

GDPR

Новый закон, регулирующий защиту персональных данных граждан ЕС, уже был одобрен Европарламентом и Советом Евросоюза в декабре 2015 года. Сейчас он получил вторичное, формальное одобрение.

Среди основных пунктов реформы:

упрощение доступа с к собственным ПД: физические лица получат больше информации о том, как обрабатываются их данные; эта информация будет легко доступна;
право на перенос данных: упрощается перенос ПД между сервис-провайдерами;
уточненное «право на забвение»: когда вы более не желаете, чтобы ваши данные обрабатывались, и законных оснований для отказа в этом нет, ваши ПД будут удалены;
право знать о взломе ваших данных: компании и организации обязаны немедленно уведомлять соответствующие официальные органы о серьезных утечках данных, чтобы пользователи могли предпринять необходимые для своей защиты меры.

Раскрытие данных об утечках и строгие штрафы

Значимые изменения в GDPR включают более серьезные штрафные санкции для компаний-нарушителей законодательства ЕС о приватности – до 4% от общей, т.е. полученной не только в странах ЕС, выручки (или 20 миллионов евро, если 4% меньше этой суммы) – и требуют раскрытия информации об утечках персональных данных в течение 72 часов после их обнаружения.

При этом GDPR устанавливает разные уровни необходимой защиты информации для крупных международных компаний и предприятий малого и среднего бизнеса.

Эксперты отмечают, что для соответствия новому законодательству компаниям придется решить массу технологических и организационных вопросов, касающихся обработки и хранения данных. Требование о 72-часовом оповещении об утечках – самое спорное в новых правилах, считают они. Это станет «настоящим вызовом» для компаний, чей бизнес не готов к таким жёстким мерам: им придется «научиться» самостоятельно идентифицировать угрозы, утечки и массивы информации, подвергшиеся опасности, чтобы предоставлять достоверную информацию о рисках регуляторам и потребителям.

Усиление мер прозрачности в раскрытии данных об утечках на первый взгляд выглядит разумно, однако пример США демонстрирует наличие подводных камней даже в таком хорошем деле. Пользователи, получающие непрерывный поток уведомлений об утечках, даже самых незначительных, теряют способность распознавать по-настоящему серьёзные угрозы, требующие быстрых действий с их стороны. В итоге они просто начинают игнорировать все подобные оповещения.

(Напомним, сейчас в Конгрессе США находится в работе акт о защите и информировании о состоянии персональных данных (Personal Data Notification & Protection Act), согласно которому, компании будут обязаны оповещать клиентов об утечках в течение 30 дней после их обнаружения — ред.).

GDPR входят в комплекс мероприятий по созданию единого цифрового рынка, что является одной из важнейших задач Евросоюза. В мае 2015 Еврокомиссия представила стратегию единого рынка цифровых услуг, в рамках которой к концу 2016 года планируется, в частности, унифицировать правила интернет-торговли, выработать общие правила предоставления радиочастот и пересмотреть порядок работы аудиовизуальных СМИ с акцентом на распространение европейской продукции. Система призвана упростить административные формальности и с 2017 года экономить 5 миллиардов евро в год.