Что делать предприятиям, которые обрабатывают персональные данные клиентов

С 25 мая 2018 года применяется Общий регламент о защите данных (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) - регламент в рамках законодательства ЕС по защите персональных данных всех лиц в пределах ЕС и Европейской экономической зоны.

GDPR - это регламент, а не директива, он не требует от национальных правительств принятия законов, позволяющих его действие, и является непосредственно обязывающим и применимым.

Регламент не применяется к обработке персональных данных физическим лицом в ходе чисто личной или бытовой деятельности, а, следовательно, никоим образом не связанной с профессиональной или коммерческой деятельностью. Личную или бытовую деятельность может составлять ведения корреспонденции и хранения адресов или ведения социальных сетей и онлайн-деятельности, начатой в контексте такой деятельности. Однако этот Регламент применяют к контроллерам и операторам, которые предоставляют средства для обработки персональных данных для личной или бытовой деятельности.

Использование псевдонимов к персональным данным может уменьшить риски для соответствующих субъектов данных и помочь контролерам и операторам в исполнении своих обязанностей по защите данных. Прямое введение определения «использование псевдонима» в этом Регламенте не предусматривает ограничения любых других мероприятий по защите данных.

Запросы на раскрытие, которые предоставляют органы публичной власти должны всегда быть оформлены в письменной форме, мотивированные и предназначены для специального случая; они не должны влиять на всю картотеку или вызвать взаимозависимость картотек. Такие органы публичной власти должны осуществлять обработку персональных данных в соответствии с применимыми нормами по защите данных и целей обработки.

Согласие необходимо предоставлять путем четкого утверждения, что составляет свободно предоставленое, конкретное, проинформированое и однозначное свидетельство согласования субъекта данных на обработку его или ее персональных данных, в частности, в форме письменного заявления, в том числе электронными средствами, или в форме устного заявления. Это может включать заполнение ячейки пометкой во время посещения веб-сайта в сети Интернет, избрание технических настроек для услуг информационного общества или другое заявление или поведение, четко указывают на согласование субъектом данных с предложенным обработкой персональных данных. Молчание, автоматическое заполнение ячеек обозначениями или бездействие, соответственно, не представляют предоставления согласия. Согласие должно распространяться на все виды обработки данных, осуществляющих для одинаковой цели или целей. В случае, если обработка предполагает достижение множественных целей, согласие требуется для каждой из них. Если согласие субъекта данных необходимо предоставить после электронного запроса, в таком случае запрос должен быть четким, точным и не иметь чрезмерно негативных последствий для использования услуги, для которой его предоставляют.

Любая обработка персональных данных должна быть законной и правомерной. Физические лица должны быть осведомлены о том, что их персональные данные собирают, используют, обсуждают или иным образом обрабатывают, а также о том, в какой мере прорабатывают или обрабатывать персональные данные. Принцип прозрачности требует, чтобы любая информация и сообщения по разработке таких персональных данных были доступными и понятными, с использованием четких и простых формулировок. Этот принцип касается, в частности, информирование субъектов данных о личности контроллера и цели обработки и предоставления дополнительной информации для обеспечения правомерного и прозрачного обработки в части, касающейся соответствующих физических лиц и их права на получение подтверждения и сообщения о тех персональные данные, которые их касаются и подлежат обработке.