14 апреля 2016 г. Европейский парламент утвердил Общий регламент о защите данных (ОРЗД). ОРЗД заменит действующую в настоящее время Директиву о защите данных от 1995 г., которая была включена в национальное законодательство каждого государства-члена ЕС. ОРЗД будет применяться во всех государствах-членах непосредственно, без необходимости принятия специальных национальных нормативных правовых актов.
ОРЗД вступит в силу по истечении 20 дней после опубликования в Официальном журнале ЕС, выход которого ожидается в ближайшие несколько недель. Его положения начнут применяться во всех государствах-членах ЕС по прошествии двух лет после вступления в силу приблизительно в мае-июле 2018 г.
В ОРЗД включено значительное количество новых положений, которые окажут существенное влияние на процессы обработки персональных данных в компаниях. Основные изменения по сравнению с действующими правилами:
- большие штрафы за нарушение предписаний о защите данных: в размере до 2% глобальной выручки компании за предшествующий год – за мелкие нарушения, и до 4% – за серьезные нарушения. Для корпоративных групп штраф может быть рассчитан исходя из их глобальной консолидированной выручки.
- Компании, находящиеся за пределами территории ЕС, также должны соблюдать требования ЕС по защите данных, если они осуществляют обработку персональных данных субъектов из ЕС или если их коммерческая деятельность ориентирована на ЕС.
- Компании обязаны составлять и вести документацию, относящуюся к процессам обработки данных. В отношении процессов обработки, предполагающих повышенный уровень риска, должна проводиться оценка воздействия на защиту данных. С другой стороны, обязанности уведомления и получения разрешения от местных Бюро по защите данных (БЗД) на обработку персональных данных во многих случаях будут упразднены.
- В своих операциях, услугах и продуктах компании должны использовать встроенные меры по защите данных и меры по умолчанию.
- Новые правила уведомления о нарушении в области защиты данных. О нарушениях в области защиты данных, которые могут повлиять на права и интересы физических лиц, должно быть сообщено в местное БЗД, а в некоторых случаях – также субъектам этих данных.
Помимо прямого действия, ОРЗД содержит значительное количество изъятий, в которых положения ОРЗД могут быть уточнены или изменены национальным законодательством. При этом Европейская комиссия сможет принять соответствующие акты для внедрения таких изменений. В связи с этим сохраняется необходимость учитывать положения законодательства государств-членов.
Чтобы достичь соответствия новым требованиям к 2018 г., мы рекомендуем разработать план достижения такого соответствия. Учитывая потенциальные суммы штрафов, необходимость такого планирования нельзя недооценивать.