Posted:
Июн 11, 2023
Comments:
0 Comments

Регламент gdpr что это: Что такое GDPR — Data Privacy Office

Содержание

О GDPR простыми словами: руководство для малых предприятий — Microsoft 365 admin


  • Статья




Ознакомьтесь со всеми нашими материалами по малому бизнесу, помогая & учиться.

Использование Microsoft 365 для бизнеса для обеспечения соответствия требованиям GDPR

Общий регламент по защите данных (GDPR) — это регламент Европейского союза (ЕС), определяющий порядок обработки персональных данных организациями. Если ваша организация продает товары или предоставляет услуги гражданам ЕС, или нанимает их на работу, вам необходимо соблюдать требования GDPR.

Как администратор малого предприятия вы, вероятно, задаетесь вопросом: «С чего начать?». Наиболее часто это происходит в тех случаях, когда обработка персональных данных не является основным направлением деятельности вашей организации и вы не знакомы с GDPR.

Вы можете начать с просмотра этой статьи, в которой рассматриваются основные сведения о регламенте GDPR, причины его появления и возможности использования Microsoft 365 для бизнеса для обеспечения соответствия требованиям GDPR.

В ней также приводятся ответы на часто задаваемые вопросы о GDPR, которые могут возникнуть у малых предприятий, и описываются действия, которые малые предприятия могут предпринять для подготовки к GDPR.

Важно!

Решения Microsoft 365 и рекомендации в этой статье являются средствами и ресурсами, которые могут помочь вам защитить данные и управлять ими, но они не гарантируют соответствия требованиям GDPR. Вы сами принимаете решение о проведении оценки состояния соответствия требованиям. В случае необходимости проконсультируйтесь со специалистом по правовым вопросам и (или) профессиональным консультантом.

GDPR — это регламент ЕС, который обновляет и расширяет более раннюю Директиву о защите данных (DPD), впервые принятую в 1995 году. Регламент GDPR посвящен обеспечению конфиденциальности данных физического лица, будь то клиент, сотрудник или деловой партнер. Цель GDPR заключается в обеспечении защиты персональных данных граждан ЕС, независимо от того, проживают они в ЕС или в другом месте. В регламенте изложены цели и рекомендации по их достижению. Организации должны принимать меры для обеспечения соответствия требованиям GDPR.

Регламент GDPR посвящен вопросам использования данных. Представьте, что данные имеют жизненный цикл. Цикл начинается со сбора данных, продолжается их хранением и использованием (обработкой) и заканчивается полным удалением данных из систем.

GDPR охватывает следующие типы данных.

  • Персональные данные. В соответствии с GDPR персональные данные — это данные, которые могут быть связаны с физическим лицом и которые позволяют идентифицировать это лицо. Примеры персональных данных включают имя, адрес, дату рождения и IP-адрес. Согласно GDPR к персональным данным относится даже закодированная информация (также известная как «анонимная» информация), если она может быть связана с физическим лицом, независимо от того, насколько неясной или технической она является.

  • Конфиденциальные персональные данные. Это данные, которые содержат дополнительные сведения о персональных данных. Например, сведения о религиозной принадлежности, участии в профсоюзах, этническом происхождении и т. д. К конфиденциальным персональным данным также относятся биометрические данные и данные ДНК. В соответствии с GDPR для конфиденциальных данных предусмотрены более строгие правила защиты, чем для персональных данных.

Далее приводятся определения терминов, часто используемых в GDPR. Важно понять значение этих терминов.

Согласие

В GDPR говорится: «Обработка персональных данных должна быть разработана для служения человечеству». GDPR надеется достичь этой цели, используя согласие при обработке персональных данных. Это может быть простое обращение к клиентам с вопросом о том, хотят ли они получать сообщения электронной почты от вашей организации. Это также означает, что на сайте вашей организации больше не будет флажков отказа, если потребуется использовать данные для маркетинга. Явно выраженное согласие должно быть получено с помощью «четкого утвердительного действия». Кроме того, вы должны обеспечить сохранность записей о получении согласия или отказе.

Права субъекта данных

В GDPR закреплены права субъекта данных. В отношении своих персональных данных клиенты, сотрудники, деловые партнеры, подрядчики, учащиеся, поставщики и т. д. имеют следующие права.

  • Получать сведения об использовании своих данных. Необходимо информировать физических лиц об использовании их данных.

  • Получать доступ к своим данным. Необходимо предоставить физическим лицам доступ к хранящимся у вас данным (например, предоставив доступ к учетной записи или другим ручным способом).

  • Запрашивать исправление своих данных. Физические лица могут попросить вас исправить неточные данные.

  • Запрашивать удаление своих данных. Также известное как «право на удаление данных», это право позволяет физическому лицу запрашивать удаление своих персональных данных, собранных организацией, из всех систем, которые их используют или предоставляют к ним общий доступ.

  • Запрашивать ограничение обработки своих данных. Физическое лицо может попросить вас скрыть свои данные или ограничить к ним доступ. Однако это право применяется только при определенных обстоятельствах.

  • Запрашивать перенос своих данных. Физическое лицо может попросить вас передать свои данные в другую организацию.

  • Заявлять о возражении. Физическое лицо может высказать возражение против использования своих данных для различных целей, включая адресный маркетинг.

  • Требовать не подвергать свои данные автоматизированной обработке, включая определение профиля. В GDPR предусмотрены строгие правила использования данных для определения профилей людей и автоматизации решений на основе этих профилей.

В этом разделе описываются действия, которые может предпринять малое предприятие, чтобы подготовиться к GDPR. Большая часть сведений об этих действиях взята из публикации, подготовленной Бюро публикаций Европейского союза, — Семь шагов, которые может предпринять организация, чтобы подготовиться к Общему регламенту по защите данных.

Лучший способ для малого предприятия начать работу с GDPR — это обеспечить применение указанных ниже ключевых принципов при сборе персональных данных.

  • Определите четкие цели сбора персональных данных и не используйте персональные данные для других целей. Например, если вы просите клиентов предоставить вам свои адреса электронной почты, чтобы они могли получать уведомления о новых предложениях и рекламных акциях, используйте адреса электронной почты только для этой конкретной цели.
  • Не собирайте больше данных, чем требуется. Например, если вашей организации требуется почтовый адрес для доставки товаров, вам нужно узнать адрес и имя клиента, но вам не нужно знать семейное положение этого человека.

Действие 1. Узнайте, какие персональные данные собирает и использует ваша организация, а также цели их использования

Как малый бизнес, одним из первых шагов, которые вы должны предпринять, является инвентаризация персональных данных, которые вы собираете и используете в своем бизнесе, и почему они необходимы. Это относится к данным сотрудников и клиентов.

Например, вам могут понадобиться персональные данные ваших сотрудников на основании трудового договора или по юридическим причинам (например, для предоставления налоговой отчетности в налоговую службу).

В качестве другого примера можно привести необходимость управлять списками клиентов, чтобы отправлять уведомления о специальных предложениях, если они дали на это согласие.

Функции Microsoft 365, которые могут помочь

Microsoft Purview Information Protectionможет помочь вам обнаруживать, классифицировать и защищать конфиденциальную информацию в вашей компании. С помощью обучаемых классификаторов можно выявлять и маркировать документы, содержащие персональные данные.

Действие 2. Сообщите своим клиентам, сотрудникам и другим физическим лицам о необходимости сбора их персональных данных

Физические лица должны знать о факте обработки своих персональных данных и о целях этой обработки. Например, если клиенту необходимо создать профиль для доступа к веб-сайту вашей организации, укажите, как вы собираетесь использовать его данные.

Однако нет необходимости информировать физических лиц, если они уже знают, как вы будете использовать их данные. Например, когда они предоставляют домашний адрес для доставки заказанного товара.

Вы также должны информировать физических лиц по запросу о хранящихся у вас персональных данных и предоставлять им доступ к этим данным. Систематизация данных облегчает их предоставление в случае необходимости.

Действие 3. Храните персональные данные только до тех пор, пока в этом есть необходимость

Данные сотрудников необходимо хранить до тех пор, пока сохраняются трудовые отношения и связанные с ними юридические обязательства.
Данные клиентов необходимо хранить до тех пор, пока существуют отношения с клиентами и связанные с ними юридические обязательства (например, необходимость уплаты налогов).
Удалите данные, если цели их сбора и использования утратят свою актуальность.

Функции Microsoft 365, которые могут помочь

Используйте политики и метки хранения, чтобы обеспечить хранение персональных данных в течение определенного периода времени и удалять их, если в них больше не будет необходимости.

Действие 4. Защитите персональные данные, которые вы обрабатываете

При хранении персональных данных в ИТ-системе ограничьте доступ к файлам, содержащим эти данные, с помощью надежного пароля. Регулярно обновляйте параметры безопасности вашей системы.

Примечание.

GDPR не предписывает использование определенных ИТ-систем, но требует, чтобы система имела соответствующий уровень безопасности. Дополнительные сведения см. в ст. 32 GDRP. Безопасность обработки.

При хранении бумажных документов, содержащих персональные данные, убедитесь, что они недоступны для посторонних лиц.

При хранении персональных данных в облаке, например в Microsoft 365, вы можете воспользоваться функциями безопасности, такими как управление разрешениями на доступ к файлам или папкам, защищенные централизованные расположения для хранения файлов (например, библиотеки документов OneDrive или SharePoint) и шифрование данных при отправке и получении файлов.

Функции Microsoft 365, которые могут помочь

Вы можете использовать настройку функций соответствия требованиям, чтобы защитить конфиденциальные данные вашей организации. Диспетчер соответствия требованиям поможет вам сразу начать работу! Например, можно создать и развернуть политики защиты от потери данных , использующие шаблон GDPR.

Действие 5. Обеспечьте сохранность документации по обработке данных

Подготовьте краткий документ, описывающий типы сохраняемых персональных данных и цели их использования. При необходимости предоставьте документацию в государственный орган по надзору за соблюдением законодательства о защите персональных данных.

Такие документы должны включать указанные ниже сведения.

ИнформацияПримеры
Цель обработки данныхУведомление клиентов о специальных предложениях, например о возможности доставки товара на дом, оплата услуг поставщиков, начисление заработной платы и социальное обеспечение сотрудников
Типы персональных данныхКонтактные данные клиентов, контактные данные поставщиков и данные сотрудников
Затрагиваемые категории субъектов данныхСотрудники, клиенты и поставщики
Категории получателейМинистерство труда и социальный защиты, налоговые органы
Сроки храненияПерсональные данные сотрудников до окончания трудового договора (и связанных с ним юридических обязательств), персональные данные клиентов до окончания клиентских или договорных отношений
Технические и организационные меры по защите персональных данныхРегулярное обновление ИТ-систем, защищенное расположение, управление доступом, шифрование данных и резервное копирование данных
Передача персональных данных получателям за пределами ЕСИспользование обработчика данных за пределами ЕС (например, хранение в облаке), расположение обработчика данных, договорные обязательства

Договорные обязательства корпорации Майкрософт в отношении GDPR можно найти в Приложении по защите данных при использовании веб-служб Майкрософт. В этом приложении описаны обязательства корпорации Майкрософт по обеспечению конфиденциальности и безопасности, условия обработки данных и условия GDPR для служб, размещаемых на серверах Майкрософт, на которые подписываются клиенты в соответствии с соглашением о корпоративном лицензировании.

Действие 6. Убедитесь, что ваши субподрядчики соблюдают правила

Если вы передаете обработку персональных данных другой компании, используйте только поставщика услуг, который гарантирует обработку данных в соответствии с требованиями GDPR (например, меры безопасности).

Действие 7. Назначьте специалиста, ответственного за обеспечение защиты данных

Для обеспечения надежной защиты персональных данных организациям может потребоваться назначить специалиста по защите данных. Если обработка персональных данных не является основной частью вашей деятельности или если вы владеете малым предприятием, назначение специалиста по защите данных может не потребоваться. Например, если ваша организация собирает данные о ваших клиентах только для доставки товаров на дом, назначать специалиста по защите данных не нужно. Даже если возникнет необходимость в специалисте по защите данных, можно назначить его обязанности имеющемуся сотруднику в дополнение к его задачам. В случае необходимости можно нанять внешнего консультанта для выполнения этих обязанностей.

Как правило, выполнять оценку влияния на защиту данных не требуется. Такая оценка необходима организациям, деятельность которых представляет большой риск для персональных данных (например, если они проводят комплексный мониторинг общедоступной области — видеонаблюдение).

Если вы владеете малым предприятием, начисляющим зарплату сотрудникам и управляющим списком клиентов, вам, как правило, не нужно проводить оценку влияния на защиту данных.

Регламент GDPR устанавливает правила обработки данных, а не количество нанимаемых сотрудников. Он затрагивает компании всех размеров, даже индивидуальных предпринимателей. Однако для компаний, количество сотрудников которых составляет менее 250 человек, предусмотрены некоторые исключения, например упрощенное ведение записей, но только в том случае, если вы уверены, что обработка данных не нарушает права физических лиц и носит случайный характер.

Например, обработка неличных данных является исключением и требует принятия упрощенных мер. Однако при обработке данных, являющихся «конфиденциальными данными особой категории», даже если обработка носит случайный характер, необходимо регистрировать факт обработки таких данных. Определение «случайной обработки» является расплывчатым, но оно применяется к данным, используемым один раз или редко.

Вы также должны обеспечить защиту собираемых персональных данных. Для этого необходимо зашифровать собираемые персональные данные и ограничить к ним доступ хотя бы с помощью пароля. Хранение данных клиентов в электронной таблице на рабочем столе без защиты не соответствует требованиям GDPR.

Первый вопрос, который нужно себе задать: «Собираются ли персональные данные на веб-сайте моей организации?» Например, на сайте вашей организации может присутствовать контактная форма, в которой запрашивается имя и адрес электронной почты. Если вы хотите отправлять электронные сообщения с рекламой, добавьте поле для флажка «подписаться» и сведения о целях использования данных. Только если получатель установит этот флажок, вы сможете использовать его персональные данные в целях маркетинга.

Также необходимо обеспечить защиту базы данных, в которой хранятся данные. Компания, предоставляющая услуги по размещению данных, или поставщик облачных хранилищ смогут проконсультировать вас по этому вопросу. Использование Microsoft 365 для бизнеса гарантирует хранение данных в соответствии с требованиями GDPR.

GDPR — это регламент, который защищает граждан ЕС. Если ваша организация сотрудничает с гражданами ЕС или вы надеетесь на это в будущем, вам необходимо соблюдать этот регламент. Этот регламент распространяется как на граждан ЕС, проживающих в Европейском союзе, так и на граждан ЕС, проживающих в другом месте.

Рассмотрим следующие примеры.

  • Американская компания, которая сдает автомобили в прокат гражданам ЕС, должна соответствовать требованиям GDPR при сборе и обработке данных клиентов. Компания должна получить согласие на сбор данных клиентов и обеспечить их безопасное хранение. Компании также необходимо обеспечить соблюдение всех прав субъекта данных.

  • Австралийская компания продает товары в Интернете, и ее пользователи создают учетные записи для совершения покупок через Интернет. Права субъекта данных GDPR и согласие должны применяться к гражданам ЕС, создающим учетные записи. Компании также необходимо обеспечить соблюдение всех прав субъекта данных.

  • Международная благотворительная организация собирает данные о донорах и использует их для рассылки сообщений и запросов на пожертвования. В GDPR говорится: «… обработка персональных данных в целях прямого маркетинга может рассматриваться как выполненная в законных интересах». Однако организация обязана доказать, что ее интересы переопределяют интересы субъекта данных. Компания (или, в данном случае, благотворительная организация) всегда должна получать явное и информированное согласие на обработку персональных данных.

GDPR также применяется при перемещении данных клиентов через границы. Если вы используете облачные вычисления для хранения данных, вам необходимо обеспечить полное соответствие службы требованиям GDPR. Это может оказаться сложным, если хранилище данных находится в месте с плохой защитой данных. При использовании Microsoft 365 для бизнеса вы получите доступ к соответствующей юридической документации для обеспечения соответствия требованиям GDPR.

Я собираю данные, но их хранит другая организация. Освобождает ли это меня от необходимости соблюдать требования GDPR?

Согласно GDPR, если вы собираете данные, вы подпадаете под действие некоторых его требований. GDPR вводит понятия обработчика данных и управляющего данными.

  • Управляющий данными — это физическое лицо или организация (у вас могут быть совместные управляющие), которые определяют способы и цели сбора данных, а также типы собираемых данных. Они могут хранить собираемые данные на облачных серверах другой организации. Например, веб-сайт, собирающий данные о клиентах, является управляющим данными.

  • Обработчик данных — это физическое лицо или организация, которые хранят и обрабатывают данные по запросу управляющего данными. Например, хранилище данных в Приложениях Microsoft 365 для бизнеса является обработчиком данных и полностью соответствует требованиям GDPR.

    Организация или система могут одновременно выступать в качестве управляющего данными и обработчика данных. Microsoft 365 для бизнеса можно использовать в качестве управляющего данными и обработчика данных при полном соблюдении требований GDPR.

Можно ли по-прежнему рассылать сообщения с рекламой старым клиентам?

Вы должны убедиться, что ваши клиенты, даже те, которые у вас были в течение многих лет, дали согласие на использование своих данных в целях маркетинга. Возможно, вы ранее получили согласие и у вас есть подтверждающие записи. Если это так, вы можете продолжать рассылать сообщения с рекламой. Если нет, вам нужно получить согласие клиентов, чтобы продолжить присылать им сообщения с рекламой. Обычно это предполагает отправку сообщения вашим клиентам с просьбой перейти на ваш сайт и выбрать вариант согласия на получение сообщений в будущем.

Требования GDPR распространяются не только на данные клиентов, но и на данные сотрудников. Новых сотрудников часто находят с помощью социальных сетей, например LinkedIn. Убедитесь, что вы не храните данные о потенциальных новых сотрудниках без их явного согласия.

Что касается имеющихся сотрудников и договоров с новыми сотрудниками, подпись в конце договора необязательно предполагает согласие, особенно если в договоре используется условие в неутвердительной форме. В этом случае необходимо получить явное согласие в отношении этого условия. Что это означает на практике, зависит от вашего договора с сотрудником, но в некоторых случаях вы можете использовать «законный интерес» и добавить уведомление об обработке данных, чтобы проинформировать сотрудников о целях обработки их данных.

Обеспечение конфиденциальности данных с помощью Microsoft 365 для бизнеса

Соблюдение требований GDPR подразумевает обеспечение защиты персональных данных. В GDPR есть понятие, известное как конфиденциальность по умолчанию. Оно означает, что защита данных должна быть «встроена» в систему и продукт, чтобы обеспечение конфиденциальности стало обычным делом.

Крупные и малые предприятия нуждается в удобстве, не жертвуя безопасностью. Microsoft 365 для бизнеса предназначен для организаций, имеющих не более 300 сотрудников. Небольшие организации могут использовать облачные средства Майкрософт для повышения производительности своего бизнеса. С помощью Microsoft 365 для бизнеса небольшие организации могут управлять электронной почтой, документацией, собраниями, мероприятиями и не только! В Microsoft 365 для бизнеса также предусмотрены встроенные меры безопасности и возможность управления устройствами, что имеет очень важное значение для обеспечения соответствия требованиям GDPR.

Microsoft 365 для бизнеса может помочь вам обеспечить соответствие требованиям GDPR следующим образом.

  • Обнаружение. Важным шагом к обеспечению соответствия требованиям GDPR является знание того, какие данные имеются в вашей организации.

  • Управление. Управление доступом к данным и контроль их использования являются неотъемлемой частью GDPR. Microsoft 365 для бизнеса защищает бизнес-данные на основе политик, применяемых к устройствам. В эпоху, когда сотрудники работают удаленно, возможность управления устройствами становится жизненно важной. Microsoft 365 для бизнеса включает функции управления устройствами, которые обеспечивают защиту данных на всех устройствах. Например, вы можете указать, чтобы все устройства с Windows 10 в вашей организации были защищены с помощью Защитника Windows.

  • Защита. Решение Microsoft 365 для бизнеса создано для обеспечения безопасности. Элементы управления устройствами и защиты данных Microsoft 365 для бизнеса работают в вашей корпоративной сети, включая удаленные устройства, для обеспечения безопасности ваших данных. Microsoft 365 для бизнеса предлагает такие элементы управления, как параметры конфиденциальности в приложениях Microsoft 365 и шифрование документов. Microsoft 365 для бизнеса позволяет отслеживать соответствие требованиям GDPR, обеспечивая необходимый уровень защиты.

  • Создание отчетов. В GDPR большое внимание уделяется отчетности. Даже предприятие с одним сотрудником, если оно обрабатывает большие объемы данных, должно документировать свои процедуры обработки данных и отчитываться о них. Microsoft 365 для бизнеса берет на себя выполнение требований по предоставлению отчетности.

    Такие инструменты, как журналы аудита, позволяют отслеживать данные и сообщать об их перемещении. Отчеты включают сведения о классификации собираемых и сохраняемых данных, сведения о действиях с данными и сведения об их передаче.

Клиенты и сотрудники все больше осознают важность конфиденциальности данных и теперь ожидают, что компания или организация будет обеспечивать эту конфиденциальность. Microsoft 365 для бизнеса предоставляет инструменты для достижения и поддержания соответствия требованиям GDPR без серьезных потрясений для вашего бизнеса.

Дальнейшие действия

Чтобы подготовиться к GDPR, рекомендуется выполнить следующие действия.

  • Оцените свою программу GDPR с помощью контрольных списков готовности к подотчетности.

  • Исследуйте Microsoft 365 для бизнеса как решение для достижения и поддержания соответствия требованиям GDPR.

Важно!

Получите юридическую консультацию, соответствующую вашей компании или организации.

Дополнительные ресурсы

Центр управления безопасностью Майкрософт: обзор GDPR

Официальный блог Майкрософт: Обязательства Майкрософт по GDPR

Веб-сайты Европейской комиссии:

  • Защита данных

  • Реформа правил защиты данных ЕС от 2018 г.

GDPR: что такое General Data Protection Regulation

GDPR (General Data Protection Regulation) — это Общий регламент по защите данных. Норматив определяет порядок сбора, обработки, хранения и распространения персональных данных в странах Евросоюза и с участием его граждан.

GDPR охватывает любые взаимодействия организаций и граждан ЕС, в которых применяют персональные данные

GDPR существует с 25 мая 2018 года. Он пришел на смену «Директиве 95/46/ЕС от 24 октября 1995 года о защите прав частных лиц применительно к обработке». Нормы GDPR обязательны для всех стран ЕС. 

Основные цели GDPR

Основополагающая цель Регламента заключается в защите персональных данных и предупреждении нарушений прав человека. 

Персональными данными называют сведения, которые позволяют идентифицировать личность: имя и фамилия, адрес, телефон, паспорт. Также к ним относятся интернет-идентификаторы (IP-адрес, cookie-файлы, RFID-идентификаторы и т. д.) и генетическая информация (ДНК, РНК).

Практически любое взаимодействие людей с организациями предполагает передачу личной информации. Это упрощает коммуникации и сотрудничество. Важно, чтобы компании собирали и обрабатывали полученную информацию грамотно.  

GDPR утверждает протоколы и правила, по которым следует работать с личными данными других людей. Также этот документ определяет роли участников, типы согласия и стандарты подотчетности.

Компании, попадающие под влияние GDPR, учитывают его требования при создании Политики приватности. Это большой документ, составленный по нормам Регламента.

Пример политики обработки персональной информации

Регламент расширяет права граждан в сравнении с ранее действовавшей директивой. 

В частности, люди вправе запрашивать информацию о том, как применяют личные данные и как их хранят, могут требовать удаления сведений или передачу их другому оператору. Также любой человек имеет право не давать согласие на обработку в целях, не связанных с причиной обращения.

В политике конфиденциальности по GDPR обязательно описывают права пользователей

Участники обработки данных по GDPR

Согласно Регламенту, лицо, которому принадлежат данные, называется субъектом. За защиту информации, полученной от субъектов, отвечают: 

  • Контроллер. Компания или человек, которые определяют цели и задачи обработки информации, контролируют ее и несут за это ответственность. Следят за соблюдением GDPR. 
  • Обработчик. Обрабатывает личную информацию. Подчиняется контроллеру и действует от его имени. 

Компании, которые работают с большим потоком информации и в рамках GDPR, часто нанимают отдельного сотрудника по защите данных — DPO (Data protection officer). Он должен хорошо разбираться в нормах регламента и отвечать за его соблюдение перед надзорными органами. 

В качестве контроллера и обработчика нередко выступает одно и то же лицо.

 

Российское digital-агентство заключило договор с европейской компанией и в рамках договора отправляет email-рассылки клиентам этой компании. Соответственно, агентство выступает как обработчик. Европейская компания — контроллер. 

Другой пример — российский интернет-магазин обслуживает граждан ЕС. Он собирает личные данные, которые потом использует для взаимодействия с клиентами. В этом случае магазин выступает и как контроллёр, и как обработчик.

Принципы обработки данных

В GDPR перечислены принципы, которые необходимо соблюдать при обработке персональных данных. В них отсутствуют чёткие инструкции и правила. Это скорее основные тезисы для контроллеров, обработчиков и субъектов. 

Законность, честность, обзорность. Данные обрабатывают законно, честно и в предусмотренной форме. 

Целевые ограничения. Персональные сведения собирают для понятной и юридически законной цели и обрабатывают подходящим для этого способом. 

Минимизация данных. Собирают только ту информацию, которая действительно необходима для конкретной ситуации. 

Точность. Все неверные персональные сведения должны быть незамедлительно удалены или исправлены. Необходимо принимать все разумные меры для обеспечения точности. 

Ограничение по хранению. Срок хранения информации не должен превышать времени, которое необходимо для достижения цели. 

Целостность и конфиденциальность. Для обработки данных выбирают способ, который обеспечивает безопасность, а также защиту персональной информации от незаконного использования, потери, повреждения или уничтожения.  

Организации должны разъяснять пользователям, как и с какой целью они будут обрабатывать полученные сведения. Об этом компании рассказывают в политике приватности или политике конфиденциальности. Последняя — более простая версия документа. Ее используют большинство российских компаний, которые не следуют GDPR, но собирают информацию на своем сайте через формы контактов. 

Правила обработки данных должны быть понятны любому пользователю

Требования GDPR

Для соответствия Регламенту необходимо соблюдать ряд требований. 

Собирайте и используйте персональные данные лишь по согласию владельца. Согласие должно быть добровольным и однозначным, не допускающим неверную трактовку. Предварительно человек должен получить подробную информацию о том, для чего собирают сведения и что с ними будет происходить. 

Обрабатывайте данные только способами, которые соответствуют поставленным целям. Если информацию планируется использовать для иной задачи, то нужно убедиться в её связи с первоначальной целью сбора.  

Уничтожайте собранные сведения сразу же по достижении целей. Период хранения определяется точными сроками или критериями. 

Удаляйте сведения из базы незамедлительно в случае требования от владельца. Запретить использовать свои личные данные субъект может любым доступным способом, в том числе и при помощи автоматизированных средств. 

Назначьте ответственного сотрудника по защите информации. Он должен хорошо разбираться в положениях Регламента, чтобы контролировать работу с информацией.

Ведите отчётность, которая подтверждает соблюдение GDPR. Необходимо разработать правила обработки сведений, вести реестр нарушений безопасности, документировать получение данных. 

В случае утечки персональных данных оператор (тот, кто обрабатывает) должен сразу сообщить об утечке контроллеру (тому, кто собирает). В свою очередь контроллер обязан в трёхдневный срок уведомить надзорный орган и сообщить о происшествии владельцам сведений (субъектам), если утечка грозит нарушением их прав.  

Кто обязан соблюдать GDPR

Прежде всего следовать GDPR обязаны все учрежденные в ЕС организации, в том числе их зарубежные филиалы. А также любые компании, которые экспортируют товары и услуги в страны ЕС.

Кроме них соблюдать Регламент обязаны организации, которые: 

  • Предлагают товары и услуги гражданам ЕС на платной или бесплатной основе. Например, интернет-магазины, онлайн-сервисы, гостиницы, хостелы. При этом случайные разовые онлайн-продажи не требуют соблюдения GDPR. Признаком взаимодействия являются такие факторы, как использование языка или валюты страны ЕС, упоминание граждан ЕС в качестве пользователей или потребителей. 
  • Мониторят поведение граждан ЕС. Это организации, которые отслеживают файлы cookie или IP-адреса посетителей из стран ЕС, составляют профили пользователей. Пример — сайты знакомств, банки, интернет-магазины, поисковые системы, социальные сети. 

 

Важно! Если сайт компании регулярно посещают граждане ЕС, то стоит проверить необходимость соответствия GDPR даже при отсутствии продаж. Подключенная на сайте «Яндекс.Метрика» может собирать идентификационные данные граждан ЕС при определенных настройках. А значит, ваша компания обязана подчиняться GDPR.

Соблюдение Регламента не требуется для личной и домашней деятельности. Если человек собирает контактные данные друзей для личных целей, то он не обязан дополнительно заботиться о конфиденциальности. 

Частично освобождены от соблюдения Регламента организации со штатом до 250 человек. Они должны обеспечивать защиту и безопасность персональных данных, но вести документацию не обязаны.  

Штрафы за несоблюдение правил GDPR

За исполнением GDPR следят надзорные органы. Это независимые публичные учреждения, которые ответственны за мониторинг применения Регламента. Надзорный орган вправе проверить соблюдение GDPR по запросу любого субъекта данных. При выявлении нарушений он начисляет штраф. 

Величина штрафа зависит от различных факторов. Учитывают суть, тяжесть и длительность нарушения, было ли действие умышленным или случайным, какие меры защиты обеспечены, согласен ли нарушитель сотрудничать и помогать урегулировать проблему.  

Предусмотрены следующие суммы штрафа: 

  • До 10 млн евро или до 2 % от годового оборота. За несоблюдение обязанностей контролера и за нарушения, связанные с сертификацией и техническими сбоями. 
  • До 20 млн евро или до 2 % от годового оборота. При нарушении принципов обработки или предписаний надзорных органов, несоблюдении прав субъектов данных, ненадлежащем исполнении обязанностей. 
  • До 20 млн евро или 4 % от годового дохода. За несоблюдение распоряжения надзорного органа. 

При совершении нескольких нарушений величина штрафа не суммируется и не превышает сумму взыскания по самому тяжкому из них.

 

В январе 2019 года компанию Google оштрафовали на 50 млн евро за несоответствие политики приватности требованиям GDPR. Из-за слишком сложно изложенной Политики пользователи не могли понять, как обрабатывают их личные сведения. А еще при получении согласия на обработку данных уже стояла галочка, что нарушает положения Регламента.

компаниям вряд ли грозят реальные штрафы за нарушение GDPR в 2022 году. В открытых источниках нет информации о подобных прецедентах. 

Кроме штрафов, существуют и иные методы влияния на организацию: ограничение доступа к сайту в странах ЕС, наложение ареста на зарубежные активы, разные запретные меры для представителей руководства.

Поэтому российским компаниям лучше учитывать принципы GDPR. Тем более, что некоторые его нормы пересекаются с Законом «О персональных данных от 27.07.2006 N 152-ФЗ». 

Главные мысли

Что такое GDPR, новый закон ЕС о защите данных?

Что такое GDPR? Новый европейский закон о конфиденциальности и безопасности данных включает сотни страниц новых требований для организаций по всему миру. Этот обзор GDPR поможет вам понять закон и определить, какие его части применимы к вам.

Общий регламент по защите данных (GDPR) — это самый строгий закон о конфиденциальности и безопасности в мире. Несмотря на то, что он был разработан и принят Европейским союзом (ЕС), он налагает обязательства на организации в любом месте, если они нацелены или собирают данные, связанные с людьми в ЕС. Постановление вступило в силу 25 мая 2018 года. GDPR будет налагать суровые штрафы на тех, кто нарушает его стандарты конфиденциальности и безопасности, причем штрафы достигают десятков миллионов евро.

Регламентом GDPR Европа демонстрирует свою твердую позицию в отношении конфиденциальности и безопасности данных в то время, когда все больше людей доверяют свои личные данные облачным службам, а нарушения безопасности становятся повседневным явлением. Регулирование само по себе является масштабным, далеко идущим и довольно легким по специфике, что делает соблюдение GDPR сложной задачей, особенно для малых и средних предприятий (МСП).

Мы создали этот веб-сайт, чтобы предоставить владельцам и менеджерам МСП ресурс для решения конкретных проблем, с которыми они могут столкнуться. Хотя это не заменяет юридическую консультацию, это может помочь вам понять, на чем сосредоточить свои усилия по соблюдению GDPR. Мы также предлагаем советы по инструментам обеспечения конфиденциальности и способам снижения рисков. Поскольку GDPR продолжает интерпретироваться, мы будем держать вас в курсе меняющихся передовых практик.

Если вы нашли эту страницу — «что такое GDPR?» — скорее всего, вы ищете ускоренный курс. Возможно, вы еще даже не нашли сам документ (совет: вот полный регламент). Может быть, у вас нет времени, чтобы прочитать все это. Эта страница для вас. В этой статье мы пытаемся демистифицировать GDPR и, как мы надеемся, сделать его менее обременительным для МСП, обеспокоенных соблюдением GDPR.

История GDPR

Право на неприкосновенность частной жизни является частью Европейской конвенции о правах человека 1950 года, которая гласит: «Каждый человек имеет право на уважение его частной и семейной жизни, его жилища и его корреспонденции». Исходя из этого, Европейский Союз стремился обеспечить защиту этого права посредством законодательства.

По мере развития технологий и изобретения Интернета ЕС осознал необходимость современных средств защиты. Поэтому в 1995 году она приняла Европейскую директиву о защите данных, устанавливающую минимальные стандарты конфиденциальности и безопасности данных, на которых каждое государство-член основывало свой собственный закон об осуществлении. Но Интернет уже трансформировался в данные Hoover, которыми он является сегодня. В 1994 году в Интернете появился первый рекламный баннер. В 2000 году большинство финансовых учреждений предлагали онлайн-банкинг. В 2006 году Facebook открылся для публики. В 2011 году пользователь Google подал в суд на компанию за сканирование ее электронной почты. Через два месяца после этого европейский орган по защите данных заявил, что ЕС необходим «комплексный подход к защите персональных данных», и началась работа по обновлению 1995 директива.

GDPR вступил в силу в 2016 году после принятия Европейским парламентом, и по состоянию на 25 мая 2018 года все организации должны были соответствовать требованиям.

Сфера применения, штрафы и ключевые определения

Во-первых, если вы обрабатываете персональные данные граждан или резидентов ЕС или предлагаете товары или услуги таким людям, то GDPR применяется к вам, даже если вы не находитесь в ЕС . Подробнее об этом мы поговорим в другой статье.

Во-вторых, штрафы за нарушение GDPR очень высоки . Существует два уровня штрафов, максимальный размер которых составляет 20 миллионов евро или 4% от мирового дохода (в зависимости от того, что больше), плюс субъекты данных имеют право требовать компенсации за ущерб. Мы также больше говорим о штрафах GDPR.

GDPR подробно определяет набор юридических терминов. Ниже приведены некоторые из наиболее важных из них, на которые мы ссылаемся в этой статье:

Персональные данные — Персональные данные — это любая информация, относящаяся к физическому лицу, которое может быть прямо или косвенно идентифицировано. Имена и адреса электронной почты, очевидно, являются личными данными. Информация о местонахождении, этническая принадлежность, пол, биометрические данные, религиозные убеждения, веб-куки и политические взгляды также могут быть персональными данными. Псевдонимные данные также могут подпадать под это определение, если по ним относительно легко кого-то идентифицировать.

Обработка данных — Любое действие, выполняемое с данными, будь то автоматизированное или ручное. Примеры, приведенные в тексте, включают сбор, запись, организацию, структурирование, хранение, использование, стирание… в общем, что угодно.

Субъект данных — Лицо, чьи данные обрабатываются. Это ваши клиенты или посетители сайта.

Контроллер данных  – лицо, которое решает, почему и как будут обрабатываться персональные данные. Если вы владелец или сотрудник вашей организации, который обрабатывает данные, это вы.

Обработчик данных — третья сторона, которая обрабатывает персональные данные от имени контроллера данных. GDPR имеет специальные правила для этих лиц и организаций. Это могут быть облачные серверы, такие как Tresorit, или поставщики услуг электронной почты, такие как Proton Mail.

Что говорит GDPR о…

В оставшейся части этой статьи мы кратко объясним все ключевые нормативные положения GDPR.

Принципы защиты данных

Если вы обрабатываете данные, вы должны делать это в соответствии с семью принципами защиты и подотчетности, изложенными в статье 5. 1-2:

  1. Законность, справедливость и прозрачность — Обработка должна быть законной, справедливой и прозрачной для субъекта данных.
  2. Ограничение цели — Вы должны обрабатывать данные в законных целях, прямо указанных субъекту данных при их сборе.
  3. Минимизация данных — Вы должны собирать и обрабатывать ровно столько данных, сколько абсолютно необходимо для указанных целей.
  4. Точность — Вы должны обеспечивать точность и актуальность личных данных.
  5. Ограничение хранения — Вы можете хранить данные, идентифицирующие личность, только до тех пор, пока это необходимо для указанной цели.
  6. Целостность и конфиденциальность — Обработка должна осуществляться таким образом, чтобы обеспечить надлежащую безопасность, целостность и конфиденциальность (например, с использованием шифрования).
  7. Подотчетность — Контроллер данных несет ответственность за способность продемонстрировать соответствие GDPR всем этим принципам.
Подотчетность

Согласно GDPR, контролеры данных должны быть в состоянии продемонстрировать, что они соответствуют требованиям GDPR. И это не то, что вы можете сделать постфактум: если вы думаете, что соблюдаете GDPR, но не можете показать, как, значит, вы не соответствуете GDPR. Это можно сделать одним из следующих способов:

  • Назначьте ответственность за защиту данных своей команде.
  • Ведите подробную документацию о собираемых вами данных, о том, как они используются, где хранятся, кто за них отвечает и т. д.
  • Обучите персонал и примите технические и организационные меры безопасности.
  • Наличие договоров об обработке данных с третьими сторонами, с которыми вы заключили договор на обработку данных для вас.
  • Назначьте сотрудника по защите данных (хотя он нужен не всем организациям — подробнее об этом в этой статье).
Безопасность данных

Вы должны безопасно обрабатывать данные, применяя «соответствующие технические и организационные меры».

Под техническими мерами понимается что угодно, от требования от ваших сотрудников использовать двухфакторная аутентификация на учетных записях, где хранятся персональные данные для заключения договоров с облачными провайдерами, использующими сквозное шифрование .

К организационным мерам относятся такие вещи, как обучение персонала , добавление политики конфиденциальности данных в справочник сотрудников или ограничение доступа к персональным данным только тем сотрудникам вашей организации, которым они нужны.

Если у вас есть утечка данных, у вас есть 72 часа, чтобы сообщить об этом субъектам данных, иначе вам грозит наказание. (Это требование уведомления может быть отменено, если вы используете технологические средства защиты, такие как шифрование, чтобы сделать данные бесполезными для злоумышленника.)

Защита данных по замыслу и по умолчанию

Отныне все, что вы делаете в своей организации, должно «по замыслу и по умолчанию» предусматривать защиту данных. На практике это означает, что вы должны учитывать принципы защиты данных при разработке любого нового продукта или деятельности. GDPR описывает этот принцип в статье 25.

Предположим, например, что вы запускаете новое приложение для своей компании. Вы должны подумать о том, какие личные данные приложение может собирать от пользователей, а затем рассмотреть способы минимизации объема данных и способы их защиты с помощью новейших технологий.

Когда вам разрешено обрабатывать данные

В статье 6 перечислены случаи, когда обработка персональных данных является законной. Даже не думайте касаться чьих-либо личных данных — не собирайте их, не храните, не продавайте рекламодателям — если вы не можете обосновать это одним из следующих:

  1. Субъект данных предоставил вам конкретное, однозначное согласие на обработку данных. (например, они подписались на ваш маркетинговый список адресов электронной почты.)
  2. Обработка необходима для выполнения или подготовки для заключения договора , стороной которого является субъект данных. (Например, перед сдачей имущества в аренду потенциальному арендатору вам необходимо проверить биографические данные.)
  3. Вам необходимо обработать его , чтобы выполнить ваше юридическое обязательство . (например, вы получили постановление суда в вашей юрисдикции.)
  4. Вам необходимо обработать данные , чтобы спасти чью-то жизнь . (например, Ну, вы, вероятно, знаете, когда это применимо.)
  5. Требуется обработка для выполнения задачи в общественных интересах или для выполнения какой-либо официальной функции. (например, вы — частная компания по вывозу мусора.)
  6. У вас есть законный интерес в обработке чьих-либо личных данных. Это самая гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда преобладают над вашими интересами, особенно если это данные ребенка. (Здесь трудно привести пример, потому что в вашем случае вам необходимо учитывать множество факторов. Управление Комиссара по информации Великобритании дает здесь полезные рекомендации. )

После того, как вы определили законное основание для обработки ваших данных, вам необходимо задокументировать это основание и уведомить субъект данных (прозрачность!). И если вы решите позже изменить свое обоснование, вам необходимо иметь уважительную причину, задокументировать эту причину и уведомить субъекта данных.

Согласие

Существуют новые строгие правила в отношении того, что представляет собой согласие субъекта данных на обработку его информации.

  • Согласие должно быть «свободным, конкретным, информированным и недвусмысленным».
  • Запросы на согласие должны быть «четко отличимы от других вопросов» и представлены «четким и простым языком».
  • Субъекты данных могут отозвать ранее данное согласие в любое время, и вы должны выполнить их решение. Вы не можете просто изменить правовую основу обработки на одно из других оснований.
  • Дети до 13 лет могут давать согласие только с разрешения своего родителя.
  • Вам необходимо сохранить документальное подтверждение согласия.
Ответственные за защиту данных

Вопреки распространенному мнению, не каждый контролер или обработчик данных должен назначать ответственного за защиту данных (DPO). Есть три условия, при которых вы должны назначить DPO:

  1. Вы являетесь государственным органом, не являющимся судом, действующим в качестве судебного органа.
  2. Ваша основная деятельность требует систематического и регулярного наблюдения за людьми в больших масштабах. (например, Вы — Google.)
  3. Ваша основная деятельность — крупномасштабная обработка особых категорий данных, перечисленных в статье 9.Общего регламента по защите данных или данных, касающихся уголовных судимостей и правонарушений, упомянутых в статье 10. (например, вы работаете в медицинском учреждении). Есть преимущества в том, чтобы иметь кого-то в этой роли. Их основные задачи включают понимание GDPR и того, как он применяется к организации, консультирование людей в организации об их обязанностях, проведение тренингов по защите данных, проведение аудитов и мониторинг соблюдения GDPR, а также взаимодействие с регулирующими органами.

    Мы подробно расскажем о роли DPO в другой статье.

    Права людей на неприкосновенность частной жизни

    Вы являетесь контролером данных и/или обработчиком данных. Но как человек, пользующийся Интернетом, вы также являетесь субъектом данных. GDPR признает целый ряд новых прав на неприкосновенность частной жизни для субъектов данных, которые направлены на предоставление людям большего контроля над данными, которые они предоставляют организациям. Как организации важно понимать эти права, чтобы обеспечить соответствие требованиям GDPR.

    Ниже приводится краткое изложение прав субъектов данных на конфиденциальность:

    1. Право на получение информации
    2. Право на доступ
    3. Право на исправление
    4. Право на удаление
    5. Право на ограничение обработки
    6. Право на переносимость данных
    7. Право на возражение
    8. Право на возражение

      9. отношение к автоматизированному принятию решений и профилированию.

    Заключение

    Мы только что рассмотрели все основные положения GDPR в объеме чуть более 2000 слов. Сам регламент (не включая сопутствующие директивы) составляет 88 страниц. Если на вас распространяется действие GDPR, мы настоятельно рекомендуем, чтобы кто-нибудь в вашей организации прочитал его и проконсультировался с юристом, чтобы убедиться, что вы соблюдаете GDPR.

    Распространяется ли GDPR на компании за пределами ЕС?

    При определенных условиях GDPR применяется к компаниям, которые не находятся в Европе. В этой статье мы объясним, когда и как GDPR применяется за пределами ЕС.

    Общий регламент Европейского Союза по защите данных отличается тем, что он применяется к организациям, которые могут иметь мало общего с ЕС. Например, вы можете быть американской компанией по веб-разработке, базирующейся в Денвере, штат Колорадо, и продавать веб-сайты в основном компаниям из Колорадо. Но если вы отслеживаете и анализируете посетителей из ЕС на веб-сайте вашей компании, на вас могут распространяться положения GDPR.

    Здесь мы подробно рассмотрим географический охват GDPR, в том числе то, что на самом деле говорится в регламенте, и то, как вы можете быть затронуты. Конечно, вы не должны воспринимать это как личную юридическую консультацию. Мы рекомендуем поговорить с юристом, чтобы определить, применим ли GDPR к конкретному делу вашей организации.

    Кратко о GDPR

    GDPR — это закон ЕС о конфиденциальности данных, вступивший в силу 25 мая 2018 года. Он разработан, чтобы дать людям больше контроля над тем, как их данные собираются, используются и защищаются в Интернете. Он также обязывает организации соблюдать новые строгие правила использования и защиты персональных данных, которые они собирают у людей, включая обязательное использование технических средств защиты, таких как шифрование, и более высокие юридические пороги для оправдания сбора данных. Организации, которые не соблюдают требования, столкнутся с суровыми штрафами в размере до 4 процентов от их глобального годового дохода или до 20 миллионов евро, в зависимости от того, что больше.

    Чтобы ознакомиться с GDPR, ознакомьтесь с нашей статьей «Что такое GDPR?» А полный текст можно прочитать здесь.

    GDPR применяется за пределами Европы

    Весь смысл GDPR заключается в защите данных, принадлежащих гражданам и резидентам ЕС. Таким образом, закон применяется к организациям, которые обрабатывают такие данные, независимо от того, являются ли они организациями в ЕС или нет, что известно как «экстерриториальное действие».

    GDPR определяет в статье 3 территориальную сферу действия закона:

    1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности учреждения контролера или обработчика в Союзе, независимо от того, происходит ли обработка в Союзе или нет.

    2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролером или обработчиком, не зарегистрированным в Союзе, если деятельность по обработке связана с:

    (a) предложение товаров или услуг, независимо от того, требуется ли оплата субъекта данных, таким субъектам данных в Союзе; или

    (b) отслеживание их поведения, поскольку их поведение имеет место в Союзе.

    3. Настоящий Регламент применяется к обработке персональных данных контролером, учрежденным не в Союзе, а в месте, где право государства-члена применяется в силу международного публичного права.

    Статья 3.1 гласит, что GDPR применяется к организациям, базирующимся в ЕС, даже если данные хранятся или используются за пределами ЕС. Статья 3.2 идет еще дальше и применяет закон к организациям, не входящим в ЕС, при соблюдении двух условий: организация предлагает товары или услуги людям в ЕС или организация отслеживает их поведение в Интернете. (Статья 3.3 относится к более необычным сценариям, например, в посольствах ЕС.)

    Когда GDPR применяется за пределами Европы?

    Как мы только что упомянули, существует два сценария, в которых организации, не входящей в ЕС, может потребоваться соблюдать GDPR. Давайте подробнее рассмотрим каждый из них.

    Предложение товаров или услуг

    Интернет делает товары и услуги в отдаленных местах доступными в любой точке мира. Подросток на Кипре может легко заказать пиццу онлайн в местной пиццерии в Майами и заказать доставку в дом друга. Но GDPR не распространяется на случайные случаи. Скорее, регулирующие органы ищут другие подсказки, чтобы определить, намеревалась ли организация предлагать товары и услуги людям в ЕС. Для этого они будут искать такие вещи, как, например, создала ли канадская компания рекламу на немецком языке или указала цены в евро на своем веб-сайте. Другими словами, если ваша компания не находится в ЕС, но вы обслуживаете клиентов из ЕС, вам следует стремиться соответствовать GDPR.

    Мониторинг их поведения

    Если ваша организация использует веб-инструменты, которые позволяют вам отслеживать файлы cookie или IP-адреса людей, которые посещают ваш сайт из стран ЕС, то вы подпадаете под действие GDPR. С практической точки зрения неясно, насколько строго будет трактоваться это положение или насколько нагло оно будет применяться. Предположим, вы управляете полем для гольфа в Манитобе, ориентированным исключительно на ваш регион, но иногда люди во Франции натыкаются на ваш сайт. Окажетесь ли вы под прицелом европейских регуляторов? Это маловероятно. Но технически вы можете быть привлечены к ответственности за отслеживание этих данных.

    Исключения из правила

    Здесь следует отметить два важных исключения. Во-первых, GDPR не распространяется на «исключительно личную или домашнюю деятельность». Так что, если вы собрали адреса электронной почты, чтобы организовать пикник с друзьями с работы, будьте уверены, вам не придется шифровать их контактную информацию, чтобы соответствовать GDPR (хотя вы все равно можете это захотеть!). GDPR применяется только к организациям, занимающимся «профессиональной или коммерческой деятельностью». Итак, если вы собираете адреса электронной почты друзей для сбора средств на побочный бизнес-проект, то GDPR может применяться к вам.

    Второе исключение для организаций, в которых работает менее 250 человек. Малые и средние предприятия (МСП) не полностью освобождены от GDPR, но в большинстве случаев регламент освобождает их от обязательств по ведению учета (см.

    This entry was posted in Семантическое ядро