Участники БМКФ обсудили возможные риски и последствия GDPR

Дата публикации: 25 апреля 2018

Участники БМКФ обсудили возможные риски и последствия GDPR

28 мая 2018 года начинают действовать все нормы Европейского регламента защиты персональных данных (GDPR), но для многих российских операторов персональных данных (интернет-компаний и телекоммуникационные компании), предоставляющих услуги через интернет до сих пор остается неясным, попадают ли они под действие данного регулирования.

Участники круглого стола обсудили основные положения регламента, актуальные для российских компаний. Так  регламент GDPR закрепляет обязанности обработчиков данных. К числу прямых обязанностей относятся, к примеру:

  • ведение письменного реестра операций по обработке персональных данных, осуществляемых от имени и по поручению каждого контролера;

  • назначение своего представителя в Европейском Союзе;

  • представление уведомления об утечках персональных данных, по возможности 72 часов после обнаружения утечки;

  • соблюдение целого ряда закрепленных механизмов, включая механизм сертификации;

  • предоставление субъектам данных в момент сбора персональных данных транспарентную (прозрачную) информацию об обработке и о целях такой обработки;

  • представление доказательств о правомерности деятельности, связанной по обработке (т.е. бремя доказывания возлагается, по смыслу Регламента GDPR, на лиц, обрабатывающих персональные данные субъектов данных).

Избежать возможных рисков и последствий нарушения норм Регламента GDPR компания может посредством своевременного принятия мер, которые способны продемонстрировать соблюдение требований Регламента GDPR.  Участники секции пришли к выводу, что компаниям, в первую очередь, необходимо вспомнить опыт подготовки к соответствию 152-ФЗ и проанализировать операции по обработке данных на предмет добросовестности их осуществления, а также пересмотреть существующие формы уведомления субъекта данных; осуществить «аудит», в случае наличия, действующих договоров с компаниями из Европейского Союза, на предмет правовых оснований обработки, использования, хранения и т.д. персональных данных.  

В заключении Саркис Дарбинян, адвокат Центра цифровых прав и Карен Казарян (Главный аналитик РАЭК) объявили, что организации, совместно с Институтом исследований интернета начинают консультировать российские компании по теме соответствия требованиям GDPR.