Обязательства согласно Регламенту GDPR

Прежде чем зарегистрировать компанию в Европе, обратите внимание, GDPR (Общие правила защиты данных) распространяются на фирмы, ведущие деятельность в государствах-членах ЕС, странах Европейской экономической зоны, а также на организации за пределами ЕС, имеющие офисы в странах Евросоюза или собирающие, хранящие и обрабатывающие персональные данные субъектов данных ЕС. Эксперты тщательно отслеживают актуальные изменения в требованиях защиты данных согласно GDPR в Евросоюзе и ЕЭЗ. В случаях, если будет выявлено несоответствие правилам, предприятию могут грозить штрафные санкции.

Благодаря введению нового регламента пользователи получили возможность удалить персональные данные или запросить их копию у IT-организаций. Гарантии для субъектов данных согласно GDPR включают также право на перенесение данных (передача личной информации от одного поставщика услуг другому). Несоблюдение регламента приводит к урегулированию спора путем арбитража в Европе.

В этой публикации изложены принципы защиты данных в рамках разрешения международного арбитражного спора в ЕС.

Соблюдение новых требований GDPR в ЕС

Совет по защите данных ЕС (EDPB) является независимым органом, обеспечивающим единообразное применение правил GDPR на всей территории Еврозоны. Европейский надзорный орган по защите данных (EDPS) отвечает за мониторинг соблюдения новых правил защиты данных в европейских учреждениях и за расследование жалоб.

С помощью GDPR Европа демонстрирует свою твердую позицию в отношении конфиденциальности и безопасности данных. Если организация отказывается от соблюдения требований GDPR в Европе, она может столкнуться с серьезными штрафами в размере от 2% или 4% от общего годового оборота в мире или 10-20 млн EUR (в зависимости от того, что больше).

Некоторые из ключевых требований GDPR к конфиденциальности и защите данных включают:

  1. Требование согласия субъектов на обработку данных.
  2. Анонимизацию собранных данных для защиты конфиденциальности.
  3. Уведомление об утечке данных.
  4. Безопасную передачу данных через границу.
  5. Требование от определенных компаний назначить сотрудника по защите данных для надзора за соблюдением GDPR.

Более подробную информацию вы можете получить на консультации по соблюдению новых правил GDPR на европейском IT-рынке с профильным экспертом.

Ключевые требования регламента GDPR для рынка IT-услуг

Стремительное развитие рынка IT расширило область действия GDPR. В частности, при определенных условиях применяются меры защиты данных согласно GDPR для IT-компаний за пределами ЕС.

Вся суть GDPR заключается в защите данных, принадлежащих гражданам и резидентам стран-участниц Европейского Союза. Таким образом, закон применяется к организациям, которые обрабатывают такие данные, независимо от того, находятся они в Европе или нет, что известно как «экстерриториальный эффект». Фирмам, не входящим в ЕС, придется соблюдать европейские требования GDPR при:

  • Предложении товаров или услуг. Интернет делает товары и услуги доступными в любой точке мира. Регулирующие органы отслеживают то, намеревается ли организация предлагать товары и услуги общественности в Евросоюзе. Если компания не находится в ЕС или ЕЭЗ, но обслуживает клиентов из Европы, она должна соблюдать GDPR.
  • Наблюдении за их поведением. Когда предприятие использует веб-инструменты, которые позволяют отслеживать файлы cookie или IP-адреса людей, посещающих веб-сайт из стран ЕС, то такая фирма подпадаете под действие GDPR.

Следует отметить, что соблюдение требований Регламента GDPR в ЕС компаниями, не входящими в Евросоюз или ЕЭЗ, имеет два важных исключения. Во-первых, GDPR применяется к организациям, занимающимся исключительно «профессиональной или коммерческой деятельностью». Во-вторых, организации с числом сотрудников менее 250 человек (малые и средние предприятия (МСП)) не полностью освобождены от GDPR, но в большинстве случаев регулирование действительно освобождает их от обязательств по ведению учета.

Соблюдение европейских мер информационной безопасности и арбитраж в ЕС

Если вы приняли решение начать арбитраж в Европе, следует учесть, что в начале процесса необходимо уведомить надзорные органы о концепции защиты данных. Это позволит определить, какая информация будет актуальна для передачи в государства, не являющиеся участниками ЕС, и принять необходимые меры для ее защиты. Иными словами, урегулирование спора посредством арбитражного производства в ЕС обязывает учитывать, какие данные могут быть раскрыты согласно GDPR и включает внутренний аудит, в процессе которого производится проверка соблюдения требований GDPR в сфере IT.

Передача персональных данных за пределы ЕС

Передача данных в государства, не являющиеся частью Еврозоны, доступна после подтверждения Европейской комиссии о возможности их защиты. В любом случае требуется стратегическое планирование в самом начале процесса урегулирования арбитражного спора в ЕС.

Проверка соблюдения правил GDPR европейскими компаниями

Все организации, от малых до крупных предприятий, должны знать европейские требования по защите персональных данных и быть готовы их выполнять в будущем. Для многих из этих компаний первым шагом к соблюдению общего регламента GDPR является назначение сотрудника по защите данных. После выполнения требований важно быть в курсе изменений в законах и методах правоприменения. На сегодняшний день лишь 40% мировых IT-компаний подготовились ко вступлению в силу регламента GDPR.

Планируя разрешить спор посредством арбитражного разбирательства в ЕС, стоит заручиться поддержкой профессионалов. Представители компании YB Case предоставляют сопровождение в урегулировании коммерческих споров в Европе и за ее пределами. Эксперты нашей фирмы предлагают консультационные услуги, в частности, консультации по защите персональных данных на рынке IT-услуг в государствах-членах ЕС.