Документ полностью вступает в силу через 2 года, 25 мая 2018 года. 2 года даны европейским (и не только) компаниям на приведение своих процессов в соответствие новым требованиям.
Требования распространяются на всех операторов и обработчиков, вне зависимости от юрисдикции, если они обрабатывают евроПДны. Т.е. некоторые отечественные компании, которые работают с гражданами EU, полностью подпадут под новые требования.
Самое страшное в новом документе - это штрафы.
За нарушение базовых принципов обработки ПДн (ну, например, сбор согласий на обработку) - штраф до 20 млн евро или 4% от оборота. Штрафуют, как видно из текста, как и у нас: не за утечку ПДн, а за несоответствие требованиям закона.
Появился термин "pseudonymisation". По смыслу так наша "анонимизация". Появляются "генетические данные" совместно с биометрией, встроено "право быть забытым".
Местами документ очень напоминает 152-фз: согласие граждан на обработку ПДн, обработка спецкатегорий, запросы граждан, передача третьим лицам, назначение ответственного. Есть аналог и нашей 19 статьи (тут она 24), который обязывает операторов принимать необходимые технические и организационные меры по защите ПДн. Самих мер в законе нет, но введена процедура добровольной сертификации, думаю, меры будут там.
Из новенького - профилирование пользователей теперь требует согласия/договора. Прощай таргетированная реклама? Так же появился раздел про утечки: при утечке ПДн обязательно нужно оповестить ответственный орган за 72 часа.
Что всё это значит для нас? Ну, во-первых, ряд наших компаний подпадает под новые требования если работают с европейцами, во-вторых, штрафы за нарушения обработки ПДн с оглядкой на Европу всё-таки поднимут и поднимут сильно.
Комментариев нет:
Отправить комментарий