Готова ли Эстония к постановлению ЕС о защите данных?

По словам Нымпера, аналогичная ситуация сложилась также в Латвии и Литве, где местные законы о защите персональных данных находятся в разработке и, вероятно, будут приняты до Иванова дня.

Адвокат пояснил, что в связи с GDPR следует помнить, что установленные постановлением правила являются не рекомендацией, а требованием, за нарушение которого на предприятие может быть наложен крупный денежный штраф.

"Соблюдение GDPR обязательно для всех предприятий, которые каким-либо образом работают с персональными данными, в том числе с персональными данными своих работников. Причем недостаточно, если предприятие просто устанавливает формальные требования обработки персональных данных - следует обеспечить активное соблюдение GDPR. Это значит, что компания должна обладать полным обзором всего, что происходит в нем в связи с обработкой персональных данных. К исполнению требований GDPR следует отнестись со всей серьезностью: потенциальный размер штрафа может достигать 20 миллионов евро или до 4% оборота допустившего нарушение предприятия, хотя назначение максимальных штрафов и маловероятно", - рассказал Нымпер.

Советник Ellex Raidla Энекен Тикк добавила, что в любом случае с 25 мая предприятиям и учреждениям следует быть готовым к тому, чтобы по требованию людей выдавать им информацию о составе их обрабатываемых персональных данных, целях обработки и об их точном содержании. Кроме того, можно предполагать, что будут осуществляться запросы в отношении политик конфиденциальности и условий использования сайтов, приведенных в соответствие GDPR. "Хотя реагировать на такие запросы следует без необоснованных задержек, GDPR позволяет отвечать на запросы в течение месяца. За это время опоздавшие с внедрением GDPR учреждения могут пополнить необходимую документацию. GDPR требует, чтобы получившие запрос предприятия или организации помогали лицу в реализации его прав. Поэтому важно, чтобы обслуживающий клиентов персонал, пресс-секретари и руководители были готовы принимать ходатайства субъектов персональных данных и предоставлять начальную информацию об обработке таких данных. Даже если полное решение в связи с GDPR еще находится в разработке, на сегодняшний день обязательно должны быть выполнены основные задачи", - рассказала Тикк.

Для обычных людей вступление GDPR в силу означает, что предприятия Европейского союза больше не могут рассылать прямую рекламу и предложения по электронной почте и SMS тем, кто явным образом не предоставил на это согласие. Юридическим и физическим лицам также должна быть предоставлена возможность в любое время отказаться от получения материалов прямого маркетинга. Запрещены все потребительские игры, в ходе которых у участников спрашивают, например, контактные данные друзей. Обработка данных частных лиц допускается только, если предприятие в простой и понятной форме запрашивает на это разрешение.

Крупные обрабатывающие персональные данные предприятия и государственные учреждения должны были к 25 мая 2018 года назначить специалистов по защите данных (на англ. Data Protection Officer), задачей которых является обеспечение соблюдения требований GDPR. Специалистом по защите данных может быть собственный работник предприятия или внешний консультант.

Читайте также:

11 типов людей, которые постучатся к вам с криком “GDPR!” после 25-го мая