Расписка в получении денежных средств за квартиру: образец

Сделки с недвижимостью: расписка в получении денег

Задайте вопрос юристу

При проведении сделок с недвижимым имуществом расписка в получении денег является весьма важным, а в некоторых случаях и необходимым документом. Несмотря на свое несколько «простодушное» название, она считается одним из основных документов при взаиморасчетах за квартиру на вторичном рынке жилья. О значении расписки в сделках с недвижимостью и пойдет речь в этой статье.

Для чего необходима расписка

Расписка продавца в получении денег от покупателя нужна в самых разных ситуациях, которые могут возникнуть в процессе купли-продажи квартиры. Например, если в договоре имеется запись о том, что денежные средства передаются при некоторых конкретных условиях (через аккредитив или банковскую ячейку), то сам по себе этот договор представляет собой некое письменное обязательство сторон сделки выполнить определенные действия, и не более того. Полностью исполненными обязательствами сторон по сделке могут считаться только те, которые подтверждены такими документами, как передаточный акт (акт приема-передачи) недвижимости и расписки в получении денежных средств (или банковского платежного документа).

В передаточном акте (акте приема-передачи) квартиры, как правило, также производится запись о том, что стороны сделки не имеют взаимных претензий и что расчеты между ними выполнены полностью. Расписка о получении денег в таком случае становится своего рода дополнительной страховкой для Покупателя в том, что он рассчитался за приобретение квартиры и выполнил свои обязательства.

Кроме того, этот документ всегда остается на руках у покупателя и может быть использован, например, в случае возникновения каких-либо споров по сделке. Более того, наличие такого документа прямо упоминается в действующем законодательстве. О расписке говорится в ст. 408 ГК РФ «Прекращение обязательства исполнением».

Образец расписки

Для того, чтобы расписка в получении денежных средств имела юридическую значимость, составлять ее необходимо по определенным правилам. Они следующие:

  • писать расписку обязательно должно только то лицо, которое в соответствии с ДКП является получателем денег. Никакие, даже самые близкие родственники, фигурировать в этом документе не должны (исключение составляют случаи, когда продавец вследствие физического недостатка, болезни или неграмотности не может собственноручно подписаться, то по его просьбе сделку может подписать другое лицо. Подпись последнего должна быть засвидетельствована нотариусом либо другим должностным лицом, имеющим право совершать такое нотариальное действие, с указанием причин, в силу которых совершающий сделку не мог подписать ее собственноручно (ст. 160 ГК РФ));
  • в документе в обязательном порядке необходимо указать реквизиты: наименование документа (расписка), место, дату и время составления;
  • расписка должна содержать запись о том, что данная сумма получена именно за реализованную недвижимость, а не за какие-то другие товары или услуги;
  • в документе необходимо указать точный адрес и кадастровый номер проданной квартиры;
  • в тексте расписки должна иметься ссылка на договор купли-продажи, по которому осуществляется исполнение обязательств сторонами сделки (она может, например, включать такую фразу: «Деньги получены полностью, в соответствии с таким-то пунктом договора от такого-то числа»);
  • в расписке должны быть указаны полностью фамилии, имена и отчества сторон сделки и их паспортные данные, в том числе адреса проживания и регистрации;
  • в расписке указывается точная сумма полученных денежных средств (цифрами и прописью);
  • заверяется документ подписью Покупателя с полной расшифровкой ФИО, написанных от руки.

При несоблюдении данных правил в случае возникновения спора по сделке суд может признать документ не имеющим юридической силы и не принять к рассмотрению. Чтобы еще больше усилить юридическую значимость расписки, ее часто пишут при свидетелях, заверяющих документ еще и своими подписями.

Расписки в получении денег принято писать от руки, однако не исключается вариант и машинописного написания, где от руки ставится подпись и пишется только расшифровка ФИО Продавца. Расписку составляют в одном экземпляре, который и передается Покупателю после выполнения всех условий по сделке и производства взаиморасчетов между ее сторонами.

В случае, если расчеты за квартиру производятся безналичным способом, например через аккредитив, то документом, подтверждающим расчет, является банковское платежное поручение, свидетельствующее о переводе денежных средств Продавцу.

Иногда случается так, что в ДКП способ взаиморасчетов точно не указан. В данном случае при безналичных формах расчетах Покупатели могут потребовать от Продавцов документ, который подтверждает факт перевода денег на счет Продавца в банке. В этом случае Продавцу следует сделать запись о том, что денежные средства в такой-то сумме такого-то числа им получены полностью посредством безналичного банковского перевода (поступления денежных средств на банковский счет). Расписка в получении денег за квартиру не требует обязательного нотариального заверения.

Особенности составления расписки при продаже квартир с несколькими собственниками

В случае приобретения квартиры у нескольких собственников (находящейся в общей собственности квартиры) оформление расписки имеет некоторые особенности.

Если квартира приобретается у двух и более сособственников, то подписание расписки должно выполняться всеми, кто подписывал договор купли-продажи. В том случае, когда квартира находилась в общей долевой собственности, а денежные средства продавцы получали исходя из размера доли каждого в недвижимом имуществе, то каждым из сособственников (продавца доли) составляется отдельная расписка, в которой указывается сумма, которая причитается только ему.

Особенности оформления расписки при альтернативных сделках с квартирами

Распространенный вариант продажи квартир — альтернативный, когда в процессе сделки выстраивается целая цепочка из последовательных действий по реализации нескольких объектов одновременно. Эта схема вносит свои нюансы в содержание расписки в получении денег.

Читайте также:
Расчётный отдел бухгалтерии на предприятии

Схема предусматривает, что, денежная сумма поступательно движется от первого Продавца к середине цепочки и далее. По сути, все лица, находящиеся в середине данного процесса, могут и не видеть денег вообще. Они, при таком алгоритме продаж, вместо денег получают другую недвижимость.

Данный факт совсем не отменяет необходимости получения расписок в получении денег, т.к Продавцы из середины цепочки, согласно ДКП, деньги должны были получить. В противном случае возникает риск оспаривания сделки на том основании, что Продавец якобы причитающуюся ему сумму не получил или получил не полностью.

Этот пример еще раз подтверждает, что Покупатель расписку в получении денег должен стремиться получить от Продавца во всех случаях, независимо от используемой схемы реализации недвижимости. Это является непреложным правилом для сделок на вторичном рынке. На первичном рынке данное условие необходимо соблюдать только в том случае, когда сделка связана с переуступкой прав.

В случае приобретения квартиры непосредственно у застройщика по договору долевого участия такой документ, как расписка, не требуется. В этом случае расчеты осуществляются через счет эскроу или путем перечисления денежных средств на банковский счет Застройщика по реквизитам, указанным в договоре купли-продажи. Дольщик обязан деньги перевести на счет эскроу или счет Застройщика по указанным реквизитам, потому что любые иные способы расчетов в данной ситуации не предусмотрены. Банковская платежка, в которой указаны все необходимые сведения о переведенной сумме денег и времени ее перечисления, будет вполне достаточным документом для подтверждения оплаты.

Следует помнить, что расписка в получении денег может быть затребована от сторон сделки налоговыми органами. Для них она документ, который свидетельствует о фактических расходах, понесенных Покупателем и дающих право на налоговый вычет, а также подтверждающая сумму полученного Продавцом дохода, от которого рассчитывается подлежащая уплате сумма налога. Существуют и некоторые особенности оформления расписки при условии реализации квартиры по заниженной цене.

Имеется альтернативный вариант оформления подтверждения передачи денежных средств, при котором передаточный акт (акт приема-передачи) недвижимого имущества оформляется так, что в нем имеются все необходимые реквизиты, которые используются при составлении расписки. В данном случае сам Акт может служить достаточным подтверждением исполнения обязательств по сделке, причем и в отношении передачи квартиры Покупателю, и в отношении передачи денежных средств Продавцу (оплаты стоимости недвижимости).

Всё о GDPR для российских компаний

Страны Евросоюза приняли Регламент — General Data Protection Regulation, чтобы защитить личные данные граждан.

Постановление Евросоюза состоит из одиннадцати глав, которые включают:

  • общие положения и принципы;
  • права субъектов данных;
  • обязанности контролёров;
  • правила взаимодействия контролирующих госучреждений;
  • условия ответственности и возможные санкции;
  • специальные темы (передача информации третьим лицам и т. п.)

Генеральный регламент Евросоюза не должен рассматриваться как препятствие для экономики. Международный документ служит инструментом укрепления доверия потребителей. Особенно — на фоне участившихся в последнее время скандалов, связанных с масштабными утечками баз данных.

Общий регламент по защите данных вступил в силу 25 апреля 2016 года. Однако до 25 мая 2018 г. вводился переходный период для подготовки компаний к работе в новых условиях.

Начиная с 25 мая 2018 года молчаливого согласия на операции с личными данными уже недостаточно. Регламент усложнил работу компаний, возложив на них ряд обязательств:

  • предоставлять пользователям информацию;
  • разрабатывать процедуры обработки личных данных;
  • нанимать сотрудника по защите данных и иные.

В то же время GDPR предоставил гражданам широкие привилегии в определении судьбы собственных личных данных.

Страны, на которые распространяется GDPR

Постановление Европарламента о защите персональных данных обязательно не только для стран Евросоюза.

Область применения постановления определена в первых статьях GDPR. Практически все отрасли и фирмы подчиняются действию правил, как только начинают взаимодействовать с приватными сведениями о людях, находящихся в ЕС.

Поэтому компании, которые не входят в ЕС, должны соблюдать GDPR при условии, что они в той или иной форме действуют в ЕС и обрабатывают соответствующие данные.

По этой причине Регламент должен расцениваться как актуальный правовой акт для компаний из США, Европы и Азии.

На кого распространяются положения GDPR

Соблюдение цифровой конфиденциальности обязательно для компании из любой страны мира, если она:

  • имеет филиалы в ЕС;
  • или взаимодействует с личной информацией граждан, находящихся на территории Евросоюза.

Новые правила относятся не только к крупным компаниям с многомиллионными оборотами, которые обрабатывают тысячи данных о клиентах. GDPR влияет на каждую компанию, независимо как от места нахождения, так и от размера капитала или иных характеристик.

Одно из важных нововведений заключается в том, что теперь каждая компания, которая обрабатывает данные от граждан ЕС, независимо от местоположения сервера, должна придерживаться строгих правил.

Любая компания, которая представлена в интернете и отслеживает поведение пользователей, размещает формы обратной связи с клиентами, отправляет рекламные электронные письма, заключает договоры, предлагает услуги или товары с реализацией на территории ЕС, обязана соблюдать новые требования.

Читайте также:
Профессиональные налоговые вычеты по НДФЛ

По правилам GDPR новым условиям обязаны подчиняться не только коммерческие компании. В равной мере эта обязанность возложена на организации, которые не занимаются коммерцией, а также на органы государственной власти.

Соблюдение новых требований актуально и для владельцев сайтов, размещенных на европейских серверах или имеющих отношение к ЕС в любом виде.

Принципиальные условия по GDPR

Конфиденциальная информация может обрабатываться только в соответствии с принципами, утверждёнными Европарламентом:

  1. Законность. Означает:
    • наличие правовых оснований для операций с данными;
    • определённые, чётко выраженные цели;
    • минимальный объём;
    • верность информации, при необходимости — обновление, уничтожение с учётом заявленных целей и иные требования.
  2. Согласие. Обязанность подтвердить согласие лица на обработку данных лежит на контролёре. В определённых случаях согласие лица не требуется (п. 1 ст. 6 Регламента).
  3. Особые условия в отношении несовершеннолетних. Если ребенок не достиг 16 лет, право на обработку его данных одобряют законные представители.

Государство вправе установить меньший возраст для указанных целей, но не менее 13 лет.

  • Обработка данных специальной категории. Запрещено обрабатывать персональные сведения, которые раскрывают принадлежность к расе, этносу, биометрические, генетические данные.
  • Обработка данных, связанных с уголовным преследованием. Обработка информации о наказуемости и преступлениях возможна только под контролем официального учреждения или в случаях, которые разрешены актами Союза или государства — члена ЕС.
  • Обработка без необходимости идентификации. Если в целях обработки идентификация не требуется, контролёр не обязан сохранять, получать или обрабатывать информацию для идентификации.
  • Ответственность за соответствие требованиям GDPR несёт контролёр.

    Права граждан

    Политика Европейского Союза защищает основные права человека. В первую очередь, право на информационное самоопределение. Личная информация не может произвольно обрабатываться и должна строго охраняться от несанкционированного доступа.

    Регламент закрепляет за пользователями:

    1. Право на прозрачность информации. Гражданин вправе получать от контролёра в обзорной и легкодоступной форме информацию о контролёре, длительности хранения данных, своих правах.
    2. Право доступа. Если сведения собираются от субъекта данных, в момент их получения контролёр обязан сообщить сведения для идентификации контролёра, его контактные данные, цели и иные сведения.

    При получении личной информации не от самого гражданина, контролёр обязан предоставить информацию субъекту в разумный срок, но не позднее месяца с момента получения.

    Каждый может сделать запрос контролёру, чтобы узнать, обрабатываются ли его конфиденциальные данные, в каких целях и получить к ним доступ.

  • Право на исправление. Субъект может требовать внести исправления, уничтожить или дополнить данные.
  • Право на забвение. Лицо вправе требовать удалить неактуальную информацию, при отзыве согласия и в ряде иных случаев.
  • Право на ограничение. Когда оспаривается правильность сведений либо обработка незаконно, вместо удаления данных по требованию лица можно ограничить их использование.
  • Право на перенос данных. Каждый имеет право беспрепятственно получить от контролёра предоставленные ему данные и передать их другому контролёру.
  • Право на возражение. Гражданин, руководствуясь личными причинами, вправе в любой момент заявить о несогласии с обработкой своих данных.
  • Персональные данные по GDPR

    Персональные данные — это вся информация, которая позволяет идентифицировать личность:

    Общие данные. Любая информация, которая относится к человеку: адрес, возраст, место рождения; номер телефона.

    Физические характеристики лица. Пол; цвет и особенности кожи; цвет волос и глаз; рост, размер одежды.

    Онлайн-данные. IP-адрес, данные о местонахождении, адрес электронной почты, данные аккаунта.

    Идентификационные данные. Идентификационный номер налогоплательщика, номер водительского удостоверения; номер социального страхования; номер медицинской страховки; номер документа, удостоверяющего личность.

    Характеристики собственности. Наличие автомобиля и номерные знаки; права на недвижимость; записи в земельной книге, регистрационные данные.

    Банковские реквизиты. Номера счетов; банковских карт; данные о средствах на счёте; кредитная информация.

    Ценностные суждения о личности. Характеристики, рекомендации, отзывы.

    Приведённый перечень не полон. Однако и он позволяет понять, что к защищаемой информации относятся любые сведения, хоть как-то относящиеся к личности.

    Состав персональных данных, принятый в Евросоюзе, значительно шире, чем, например, в России.

    Как соответствовать требованиям?

    Даже небольшой бизнес или веб-сайт, на котором предусмотрена регистрация или рассылка читателям бюллетеней, должен следовать GDPR, чтобы не нарушить европейское законодательство.

    Чтобы соответствовать требованиям Регламента, компаниям необходимо придерживаться правил:

    1. Применять технические и организационные меры по защите информации, чтобы оградить их от потери, уничтожения или от несанкционированного доступа.
    2. Иметь правовое основание: договор или согласие. Если компания продаёт товар или оказывает услуги в рамках контракта, для исполнения обязательств требуются сведения о клиенте: имя, адрес, номер телефона.

    Другие сведения (e-mail — чтобы рассылать рекламу, дата рождения – для поздравительных писем) для исполнения договора не нужны.

    Чтобы получить данные о личности, без которых выполнить обязательства нельзя, согласие клиента не требуется.

    Сбор необязательных для договора сведений возможен только в согласия клиента.

  • Хранение и удаление данных. По исполнении договора и при отсутствии оснований для хранения данных, например, в фискальных целях, данные должны быть уничтожены.
  • Отзыв согласия. В заявлении о согласии должна быть ссылка на возможность отзывать его в любое время. Также гражданина следует информировать о целях, в которых он предоставляет свои данные. Согласие должно быть задокументировано.
  • Информирование. Пользователя необходимо уведомлять об имени и контактах для связи ответственного лица, цели, правовой основе сбора данных и иной информации. Эта и иная необходимая информация должна быть предоставлена субъекту данных во время опроса.
  • Информация для посетителей сайта. Владелец веб-сайта обязан сообщить, какие файлы cookie использует сайт и отслеживаются ли действия пользователей страниц.
  • Защита данных работников. Данные о сотрудниках, которые находятся на территории Евросоюза, подпадают под требования GDPR.

    На обработку персональных данных, которые не предусмотрены трудовым контрактом, требуется согласие.

  • Целостность и конфиденциальность. Обязанность компании — защитить информацию от утраты, уничтожения и несанкционированного доступа.
  • Срок хранения. Персональные данные могут храниться, пока это оправдано конкретной целью (например, для исполнения договора купли-продажи с клиентом).
  • Подотчётность организаций. Фирма должна иметь возможность доказать контролирующим органам, что она соблюдает требования GDPR.
  • Учёт операций по обработке. Организации с численностью персонала более 250 человек, обязаны в письменном виде вести учёт операций с данными (регистр). Регистр должен предъявляться по требованию надзорного органа.
  • Ответственный по защите персональных данных (DPO). При некоторых условиях организации придётся назначить сотрудника по защите данных.
  • Читайте также:
    Карьерный рост – что это, как достигнуть, какие бывают виды

    Ответственность за невыполнение GDPR

    С мая 2018 года к началу 2020 года было выявлено 160 тысяч нарушений и взыскано штрафов на сумму 114 млн евро.

    В 2020 году компании продолжают нести экономические потери в виде штрафов из-за невыполнения Регламента:

    • 01 октября Интернет-магазин H&M Hennes & Mauritz AB & Co. KG оштрафован на 35 258 708 евро за недостаточную правовую базу для обработки данных;
    • 16 октября British Airways оштрафована на 22 046 000 евро за недостаточные меры безопасности данных;
    • 7 декабря компания Amazon Europe Core оштрафована на 35 000 000 евро за размещение файлов cookie на компьютерах пользователей без их согласия;
    • 11 декабря оштрафована на 5 000 000 Banco Bilbao Vizcaya Argentaria за невыполнение информационных обязательств;
    • 14 декабря оштрафована на 1 900 000 Virgin Mobile Polska за недостаточное обеспечение информационной безопасности.

    Ещё около трёхсот компаний оштрафованы в 2020 году на разные суммы.

    Штрафы — не единственный вид наказания за нарушения. В арсенале надзорных органов, таких как ICO (Управление комиссара по информации), имеются и другие процедуры:

    • выдача предостережений и предупреждений;
    • введение временного или постоянного запрета на обработку данных;
    • требование уточнить, ограничить или удалить данные;
    • запрет — временный или постоянный, на передачу данных в третьи страны и иные меры.
    Вывод

    Генеральный регламент стандартизирует деятельность компаний, которые предлагают онлайн-услуги, обрабатывают данные посетителей веб-сайта или данные зарегистрированных пользователей.

    Положение компаний, которые не учитывают в деятельности обновлённые правила сбора конфиденциальной информации, находится под угрозой. Ответственность за нарушения может оказаться компании не по силам и разрушить бизнес.

    Только включение правил GDPR в рабочие процессы позволит организации стабильно продолжать предпринимательскую деятельность.

    GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка

    В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.

    Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.

    Кто в зоне действия GDPR?

    GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

    Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.

    Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:
    Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.

    Должна ли такая организация соблюдать GDPR?
    Да.

    Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что:

    — услуги/товары адаптированы на местные языки жителей ЕС;
    — услуги/товары оплачиваются в местных валютах ЕС;
    — услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.

    Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.

    Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).

    Читайте также:
    Расследование несчастных случаев, не связанных с производством

    Мониторинг может включать:

    — отслеживание резидента ЕС в интернете;
    — использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

    Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.

    Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.

    Что подразумевается под персональными данным в GDPR?

    Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.

    Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).

    6 принципов обработки данных по GDPR

    Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:

    1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
    2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
    3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
    4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
    5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
    6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

    Ключевые требования

    Уведомление о случаях нарушения GDPR
    Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.

    Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.

    Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).

    Права субъекта данных (физического лица)

    GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.

    В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

    Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.

    Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.

    Читайте также:
    Коллективная жалоба в трудовую инспекцию на работодателя: образец

    Право на переносимость данных

    Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.

    Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).

    Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.

    Согласие на обработку

    GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.

    Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

    Особая защита детей

    Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).

    Назначение ответственного за защиту персональных данных

    Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.

    В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.

    Что делать?

    Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).

    Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.

    Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).

    Вывод

    GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.

    Читайте также:
    Корпоративный дух компании — что это такое и как его развить или создать

    Информация о GDPR на русском языке

    GDPR (General Data Protection Regulation)

    • Регламент (EU) 2016/679 (Русская версия, English version)
    • Директива (EU) 2016/680 (Русская версия, English version)

    Основные цели GDPR

    • защита персональных данных
    • защита прав и свобод людей в защите их данных
    • ограничение перемещения персональных данных в рамках Евросоюза
    • далее

    Основные термины

    • Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
    • Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
    • Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
    • DPO (Data Protection Officer) — сотрудник по защите персональных данных.

    Права граждан

    GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:

    • более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
    • право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
    • право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
    • право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.

    Персональные данные

    Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

    Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.

    То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

    Примеры персональных данных:

    • имя, фамилия
    • номер паспорта или ИД удостоверения
    • дата и место рождения
    • место проживания, регистрация, прописка
    • е-мейл, телефон, или другая контактная информация
    • ИП-адрес и патаметры соединения
    • дата и время посещения ресурса, история и параметры посещений, включая название браузера.

    А также особо охраняемые данные:

    • раса и национальность
    • политические взгляды
    • вероисповедание
    • сексуальная ориентация
    • биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
    • данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
    • генетические данные – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

    Принципы обработки данных по GDPR

    Сфера действия GDPR

    Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

    Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

    Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

    Соответствие требованиям GDPR

    • Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
    • Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
    • Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома. Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
    • Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
    • Ведение необходимой отчетности, согласно положениям GDPR.
    Читайте также:
    Разведение червей как бизнес: основы технологии, с чего начать, как реализовать

    Несоблюдение норм GDPR

    Утечка персональных данных

    Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

    Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.

    Что такое GDPR, и как это касается вашего бизнеса

    Интернет кардинально изменил то, как мы общаемся и как решаем повседневные задачи. Мы отправляем электронные письма, делимся документами, оплачиваем счета и покупаем товары, вводя свои личные данные онлайн не задумываясь. Но безопасно ли это?

    Информация в интернете

    Вы когда-нибудь замечали то, каким количеством личных данных вы поделились в интернете? Или что происходит с этой информацией? Мы говорим о банковской информации, контактах, адресах, сообщениях в социальных сетях и даже о вашем IP-адресе и сайтах, которые вы посетили, все эти данные хранятся в цифровом виде.

    Компании сообщают вам, что они собирают такого рода информацию, чтобы усовершенствовать обслуживание, предлагать вам более целенаправленные и релевантные услуги, то есть предоставить вам лучший опыт работы с клиентами.

    Но реально ли данные используются для этих целей? Этот вопрос задан Европейским Союзом еще много лет назад, но только в мае 2018 года было введено в действие европейское регулирование под названием GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент навсегда изменил способ сбора, хранения и использования вами в качестве бизнеса данных клиентов.

    Итак, занимаетесь ли вы технологиями, путешествиями или розничной торговлей на международном уровне, мы в данной статье объясним, что такое GDPR и как это влияет на ваш бизнес. Также мы включим практические советы, как вы можете подготовиться к соблюдению GDPR.

    Что такое GDPR

    GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент включен во все местные законы «о конфиденциальности» во всех регионах Евросоюза. Также регламент распространяется на все компании, продающие или хранящие личную информацию о гражданах в Европе.

    Другими словами, введение GDPR — это введение законодательства, которое бы адекватно защищало персональные данные граждан ЕС. В соответствии с регламентом GDPR «персональные данные» — это любая информация, относящаяся к человеку, такая, как: имя, фотография, адрес электронной почты, банковские реквизиты, обновления на сайтах социальных сетей, сведения о местоположении, медицинская информация или IP-адрес компьютера.

    8 основных прав GDPR

    В соответствии с GDPR физические лица имеют:

    1. Право на доступ. Это означает, что физические лица имеют возможность запрашивать доступ к своим персональным данным и спрашивать, как их данные используются компанией после того, как они были собраны. Компания должна предоставлять копию собранных персональных данных бесплатно и в электронном формате по запросу физического лица.
    2. Право на удаление. Если потребители больше не являются клиентами или если они отзывают свое согласие у компании на использование своих персональных данных, то они имеют возможность на удаление своих данных.
    3. Право на перенос данных. Физические лица имеют возможность передавать личные данные от одного поставщика услуг другому. И это должно происходить в широко используемом и машиночитаемом формате.
    4. Право быть проинформированными. Это распространяется на любой сбор данных компаниями, где частные лица должны быть проинформированы ещё до сбора самих данных. Потребители должны согласиться на сбор своих данных, и согласие оформляется в четком виде.
    5. Право на исправление информации. Это гарантирует то, что физические лица вправе обновлять личные данные, если они устарели, являются неполными или неверными.
    6. Право на ограничение обработки. Физические лица вправе потребовать, чтобы их данные не использовались для обработки. Их запись может оставаться в системе, но не использоваться.
    7. Право на возражение — это включает в себя возможность физических лиц на прекращение обработки их данных для любого рода маркетинга. Из этого правила нет исключений, и любая обработка должна быть прекращена, как только запрос получен.
    8. Право на получение уведомления. В случае утечки данных, которая ставит под угрозу персональные данные физического лица, последнее имеет право быть проинформированным в течение 72 часов с момента, когда компании впервые стало известно об утечке.

    Влияние GDPR на бизнес

    Что ж, GDPR применяется ко всем предприятиям и организациям, созданным в ЕС, независимо от того, происходит ли обработка данных в ЕС или нет. Даже организации, не входящие в ЕС, попадают под действие GDPR, если бизнес предлагает товары и/ или услуги гражданам ЕС.

    Все организации и компании, работающие с персональными данными, должны назначать сотрудника/организацию по защите данных, которые должны отвечать за соблюдение GDPR.

    Для тех компаний и организаций, которые не соблюдают требования GDPR, предусмотрены жесткие штрафы в размере до 4 % от годовой мировой выручки или 20 миллионов евро, в зависимости от того, что больше.

    Подготовка к соблюдению GDPR

    Первоначально необходимо, чтобы все отделы компании внимательно изучали свои данные и то, как они их обрабатывают. Есть много вещей, которые компания должна сделать, чтобы соответствовать требованиям GDPR. Если вам еще предстоит сделать следующий шаг на пути к соблюдению требований, то вот лишь несколько моментов, которые помогут вам начать:

    Читайте также:
    Карта водителя для тахографа - как и где получить, какие документы нужны

    Шаг 1. Сопоставьте данные вашей компании

    Составьте карту, откуда берутся все персональные данные в вашем бизнесе, и задокументируйте, что вы делаете с этими данными. Определите, где хранятся данные, кто способен получить к ним доступ и существуют ли какие-либо риски для данных.

    Шаг 2. Определите, какие данные должны оставаться

    Не храните больше информации, чем необходимо, и удаляйте любые данные, которые вы не используете. Если ваш бизнес собрал много данных без какой-либо реальной выгоды и смысла, то сейчас самое время подумать, какие данные важны для вашего бизнеса, а какие в обязательном порядке необходимо удалить.

    Шаг 3. Примите меры безопасности

    Разработайте и внедрите меры безопасности во всей вашей инфраструктуре, чтобы помочь предотвратить любые нарушения/утечку данных. Помимо принятия мер безопасности для защиты от утечки данных, это в том числе включает в себя принятие быстрых мер для уведомления отдельных лиц и органов власти в случае, если нарушение произойдет.

    Обязательно свяжитесь со своими поставщиками/партнерами. Аутсорсинг не освобождает вас полностью от возможной ответственности, и вам необходимо убедиться, что у ваших партнеров тоже есть действующие меры безопасности.

    Шаг 4. Ознакомьтесь с вашей документацией

    В соответствии с GDPR физические лица должны дать явное согласие на сбор и обработку своих данных. Предварительно установленные флажки или подразумеваемое согласие не являются приемлемыми. Вам придется просмотреть все ваши заявления о конфиденциальности и раскрытии информации и при необходимости скорректировать их.

    Шаг 5. Установите процедуру обработки персональных данных

    Как мы упоминали ранее, необходимо иметь в виду, что физические лица имеют 8 основных прав в соответствии с GDPR.

    Заключение

    Данные — ценная валюта в сегодняшнем мире. И хотя GDPR в самом деле создает проблемы и боль бизнесу, он в том числе создает и возможности.

    Компании, которые демонстрируют, что ценят конфиденциальность отдельных лиц (помимо простого соблюдения законодательства), которые прозрачны в отношении того, как используются данные, которые разрабатывают и внедряют новые и усовершенствованные способы управления данными клиентов на протяжении всего времени работы с клиентом, укрепляют доверие и лояльность клиентов.

    Также, обратив внимание на огромные штрафы, делаем вывод о том, что любой бизнес, не подстраивающийся под правила GDPR, рискует своим собственным положением.

    «Игнорировать GDPR будет сложно всем»: что нужно знать о новом регламенте

    Исполнительный директор Digital Contact

    25 мая вступает в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными в Европейском союзе.

    Ольга Кутейникова, исполнительный директор Digital Contact, отвечает на шесть самых распространенных вопросов о GDPR.

    1. Что такое GDPR

    Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.

    Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.

    Принципы GDPR:

    • Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.
    • Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.
    • Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.
    • Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.
    • Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.
    • Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.

    2. Кого коснется

    GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.

    3. Почему мне это нужно знать

    Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.

    4. Что грозит тем, кто не выполняет требования

    За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.

    15 топ-менеджеров , которые вывели свои компании на лидирующие позиции в рейтинге ESG.

    Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

    Читайте также:
    Когда выдаётся родовой сертификат: для чего нужен

    5. Что нужно сделать прямо сейчас

    Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.

    Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.

    6. Где почитать больше по теме

    Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.

    • С официальным текстом регламента по защите персональных данных можно ознакомиться здесь. На сайте Еврокомиссии также можно найти интересную информацию о том, почему так важно было разработать новый регламент: чем это хорошо для резидентов ЕС, какие выгоды получит бизнес, и как новые правила помогут компаниям сэкономить деньги, используя единый закон во всех странах ЕС.
    • Коротко на русском языке основная информация по GDPR показана в презентации PwC «GDPR: что нужно знать российскому бизнесу». В ней также есть детальное сравнение GDPR и российского 152-ФЗ.
    • Институт Исследований Интернета подготовил «Анализ возможных последствий и влияния GDPR на бизнес российских операторов персональных данных» и бонусом добавил перевод текста регламента на русский язык.

    Что такое GDPR

    Суть регламента, советы по внедрению + шаблоны документов

    С мая 2018 года в Евросоюзе действует «Общий регламент о защите данных», или GDPR. Закон актуален для любых операторов, ведущих деятельность в странах Евросоюза. Российские предприниматели должны учитывать, что соблюдение отечественного законодательства не означает автоматического соответствия нормам GDPR. Мы, Open Academy, решили рассказать об уровне влияния GDPR на российские компании и о том, кому и как следует соблюдать нормы данного закона.

    Что такое GDPR

    General Data Protection Regulation (Общий регламент о защите данных) — закон, принятый Европейским Союзом с целью урегулирования и обеспечения прозрачности процесса обработки персональных данных. Он содержит требования к обработке, нормы о передаче персональных данных, стандартах защиты и штрафах за нарушение правовых норм.

    Под персональными данными GDPR подразумевает любые сведения, позволяющие идентифицировать пользователя. Например:

    • имя и фамилия;
    • данные документа, удостоверяющего личность;
    • дата и место рождения;
    • место проживания/регистрации;
    • контактные данные;
    • IP-адрес и параметры соединения.

    Отдельно классифицируют «особо охраняемые данные». К ним относят такие критерии, как:

    • национальная и расовая принадлежность;
    • вероисповедание;
    • политические взгляды;
    • данные о здоровье (медицинские заключения, результаты анализов и т. п.);
    • биометрические данные (запись голоса, отпечатки пальца и иные физические, физиологические или поведенческие признаки, пригодные для идентификации субъекта);
    • сексуальная ориентация и т. д.

    В соответствии с GDPR с информацией работают два типа операторов — обработчики и контролёры. Первые непосредственно обрабатывают данные, вторые — выступают источником данных и проверяют их корректность. При этом компания вправе одномоментно быть и обработчиком, и контролёром. К примеру, обрабатывать данные клиентов и мониторить обработку данных своих сотрудников.

    Что важно знать об отличиях российских и западных клиентов

    Узнаете, чем отличается российский клиент от западного. Поймёте, почему нужно адаптировать западные технологии продаж под российский рынок.

    Узнаете, чем отличается российский клиент от западного. Поймёте, почему нужно адаптировать западные технологии продаж под российский рынок.

    Основные идеи и цели регламента

    Основные идеи регламента состоят в защите персональных данных, обеспечении прав и свобод людей в отношении защиты данных, ограничение свободного перемещения данных в рамках подконтрольной территории.

    Среди основных целей закона можно выделить следующие:

    • внедрить современные стандарты защиты данных;
    • предоставить людям инструменты контроля над персональными данными;
    • развить цифровое пространство по защите данных;
    • обеспечить строго соблюдение утверждённых норм всеми участниками;
    • создать правовую базу для международной передачи персональных данных.
    • GDPR предусматривает, что операторы обязаны получать согласие на обработку данных, а пользователи вправе получать полную информацию о содержании данных и условиях обработки. Причём субъекты могут потребовать удаления своих данных, даже без объяснения причин, и компания обязана исполнить требование.

    Что и кто попадает под действие GDPR

    Действие GDPR распространяется на полностью либо частично автоматизированную обработку персональных данных граждан Евросоюза, как на территории ЕС, так и за его пределами. Соблюдать закон обязаны физические и юридические лица, организации, государственные структуры и иные институты. Любая деятельность, даже некоммерческая и безвозмездная, связанная с обработкой данной, попадает под влияние регламента.

    Например, если сайт, доступный для граждан ЕС, собирает Cookies, то он попадает под действие закона. Когда в каком-либо сервисе зарегистрировался гражданин ЕС и оставил свои персональные данные, тоже требуется соблюдение GDPR.

    Читайте также:
    Карьерное консультирование – что это такое

    Как GDPR влияет на российский бизнес

    Частым заблуждением предпринимателей становится предположение, что соблюдения российского права вполне достаточно. В РФ действуют нормы, схожие с GDPR — ФЗ № 152 от 27.07.2006 «О персональных данных». Его цель также состоит в защите персональных данных при обработке.

    Основное отличие ФЗ №152 в том, что он запрещает передачу данных другому оператору без согласия владельца. Он не требует уведомления пользователей и надзорных органов об утечке данных, что обязательно по стандартам GDPR. Но самое главное — он действителен только для операторов в пределах РФ.

    GDPR актуален для российской организации, если она работает на территории ЕС и/или использует персональные данные европейских граждан. То есть, фактическое местонахождение организации и её юрисдикция значения не имеют.

    К примеру, небольшая российская компания базируется в РФ и соблюдает российское законодательство. Она не имеет европейских филиалов, но в режиме онлайн оказывает услуги гражданам из ЕС. Соответственно, эта компания обязана соблюдать GDPR.

    Чем грозит несоблюдение GDPR российским компаниям

    Игнорирование норм GDPR может обернуться последствиями различного характера:

    • Экономические. За несоблюдение GDPR органы власти могут наложить на компании-нарушителей штрафы размером до 4 % от годового оборота. При этом сумма взыскания варьируется в зависимости от тяжести нарушения, его продолжительности и последствий. К примеру, французские власти присудили компании Google штраф в размере 50 млн евро за то, что пользователей мобильного приложения не уведомляли должным образом о порядке обращения с их персональными данными. Дополнительные финансовые последствия для нарушителей могут быть выражены исками от непосредственных владельцев данных.
    • Репутационные. Нежелание соблюдать GDPR может стать причиной негативного мнения о компании. Люди будут опасаться взаимодействия с компанией из-за отсутствия защиты данных. Партнёры будут избегать сотрудничества из-за плохой репутации.
    • Коммерческие. Если выяснится, что компания не соблюдает GDPR, клиенты могут уйти к конкурентам. Заключать договоры с другими компаниями будет сложнее. Всё это сильно повлияет на доходы.

    Может показаться, что российскому бизнесу бояться нечего: где Россия, а где та Европа. Но действие регламента о защите данных экстерриториально. Если компания работает на европейском рынке, но зарегистрирована в России, её, может быть, и не накажут напрямую. Однако есть и иные способы влияния, помимо штрафов. Например:

    • ограничат доступ к сайтам на территории ЕС;
    • примут меры в отношении гендиректора (запрет на въезд и т. п.);
    • наложат арест на зарубежные счета и прочее.

    Кроме того, есть риски и в работе с российскими партнёрами. К примеру, компания-партнёр активно сотрудничает с европейцами и ей важно поддержание хорошей репутации относительно защиты данных. Вряд ли такой компании нужны деловые отношения с сомнительными партнёрами.

    В целом, исполнение GDPR полезно. Бизнес, соблюдающий регламент, соответствует большинству международных требований и ему гораздо проще выйти на западные рынки.

    С чего начать внедрение GDPR в своём бизнесе

    В первую очередь внимательно изучите регламент и выделите моменты, которые могут относиться к вашему бизнесу. Далее следует провести детальный аудит процессов, связанных с данными:

    • Установите, какие персональные данные собирает ваш проект, где и как они хранятся.
    • Выясните, как, когда, кем и зачем обрабатывают персональные данные.
    • Разработайте механизмы защиты данных. Обеспечьте защиту от взлома. Пропишите политику доступа к обработке данных. Ограничьте круг лиц, которые вправе работать с данными.
    • Назначьте ответственного сотрудника по защите персональных данных. В идеале он должен хорошо разбираться в GDPR и его применении на практике.

    Что нужно сделать для соблюдения GDPR

    На самом деле чтобы соблюсти требования GDPR, нужно просто уважать права пользователей. Но среди прочих дел можно и забыть о чём-то важном. Поэтому представляем вам тот минимум, который надлежит выполнить:

    1. Разместите на своём ресурсе информацию о сборе персональных данных. Объясните, что и зачем вы собираете. Любому новому пользователю показывайте уведомление о сборе данных и предлагайте ознакомиться с политикой. Например, можно сделать это посредством всплывающего окна.
    2. Спрашивайте пользователей о согласии на обработку данных. Желательно получать активное согласие, когда пользователь совершает действие для подтверждения. К примеру, проставляет галочку в чек-боксе «Я согласен с условиями обработки данных».
    3. Применяйте double opt-in (двойное подтверждение). Это пункт касается email-рассылки. Перед началом отправки рассылки новому подписчику попросите его подтвердить согласие путём перехода по ссылке в приветственном письме.
    4. По первому требованию пользователя предоставляйте и удаляйте данные. Помните, что владелец данных не обязан объяснять причину, достаточно его пожелания.
    5. Уведомляйте об утечке данных владельцев и органы контроля. Если произошла утечка данных, вне зависимости от причин, уведомите об этом пользователей. И непременно известите надзорные органы, одновременно предоставив план мер по исправлению ситуации.

    Применение GDPR для российского бизнеса может и не потребоваться, если компания не планирует выход на европейские рынки или работу с гражданами ЕС. Однако добровольное соблюдение регламента положительно повлияет на репутацию, повысит прозрачность деятельности для клиентов и партнёров, увеличит уровень лояльности и доверия со стороны общества.

    Рейтинг
    ( Пока оценок нет )
    Понравилась статья? Поделиться с друзьями:
    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: