Главная Блог GDPR: что это, какие требования соответствия
Блог

GDPR: что это, какие требования соответствия

GDPR это сложный закон о защите данных, который продолжает создавать проблемы и путаницу для компаний любого размера.

В этой публикации освещены ключевые пункты GDPR, которые могут помочь достичь соответствия и избежать штрафов за нарушение правил регламента.

В этой статье:
  1. Что такое GDPR?
  2. Влияние GDPR на бизнес
  3. Ключевые статьи GDPR
  4. Назначение специалиста по защите данных (DPO)
  5. На кого распространяется GDPR?
  6. 7 принципов GDPR
  7. Права субъекта данных
  8. Штрафы за несоблюдение GDPR
  9. Как достичь соответствия GDPR?
  10. Как может помочь Endpoint Protector?

Что такое GDPR?

GDPR – это унифицированный закон о защите данных, обеспечивающий права на конфиденциальность информации и устанавливающий для организаций правила обработки персональных данных граждан и резидентов стран, которые входят в ЕС. Эти правила действуют как предохранители неправомерного использования чувствительной информации субъектов данных.

Этот закон был создан Европейским парламентом и Европейским советом и вступил в силу 25 мая 2018 года, заменив Директиву о защите данных 1995 года.

GDPR действует как регламент, а не как директива. Согласно законодательству ЕС, регламенты – это законы, которые применяются к любой стране-члену ЕС и диктуют правила, которые необходимо соблюдать. А директива устанавливает результат, которого нужно добиться, без указаний касательно того, как это сделать.

Влияние GDPR на бизнес

  • Видимость потоков данных. Это является обязательным пунктом для соответствия GDPR. Видимость позволяет предотвращать утечки информации, фиксировать действия их обработки и выполнять требования субъектов данных. Чтобы понимать, где находится информация и как она используется, нужна инвентаризация данных, что может быть очень трудоемкой задачей для ряда компаний.

  • Усиление безопасности. GDPR требует принятия мер по обеспечению конфиденциальности и целостности данных клиентов. Это может включать в себя внедрение технических или структурных решений, таких как шифрование, псевдонимизация и проверка соответствия.

  • Последствия несоответствия. В первую очередь это большие штрафы и санкции, но также компании могут столкнуться с повреждением репутации и потерей доверия. Кроме того, субъекты данных могут подать иск против организации.
  • Влияние на маркетинг. Это может затрагивать как его время, так и стоимость. Принципы защиты данных требуют, чтобы компании руководствовались согласием клиентов и всегда выбирали и обосновывали соответствующие законные основания для обработки данных. Также следует более внимательно относиться к информации из социальных сетей, которая сохраняется, распространяется и используется организацией.
  • Обучение сотрудников. Это важно, поскольку большинство утечек данных и других инцидентов безопасности являются результатом человеческой ошибки. Обучение особенно нужно персоналу, непосредственно связанному с обработкой конфиденциальных данных, независимо от того, идет ли речь об администраторе, IT-инженере, разработчике продукта или члене совета директоров.

Ключевые статьи GDPR

Трансграничные кейсы

Согласно статье 3, под GDPR подпадает обработка персональных данных в контексте деятельности в ЕС учреждений контролеров, которые решают, как и зачем обрабатывать эту информацию, или обработчиков данных, которые руководствуются указаниями контролеров. И неважно, происходит ли это в рамках ЕС. То есть, любая компания, которая делает свой веб-сайт или услуги доступными для граждан ЕС, должна соблюдать GDPR.

Обязательство сообщать об утечке данных

GDPR обязывает уведомлять об утечке информации как надзорным органам, так и субъектам данных.

  • Если инцидент ставит под некую угрозу права и свободы субъектов данных, организация должна сообщить об этом соответствующему надзорному органу не позже чем через 72 часа после того, как об утечке стало известно.
  • В случае, если утечка данных создала высокий уровень риска для прав и свобод субъектов данных, должны быть немедленно уведомлены лица, которых это коснулось, без неоправданной задержки.

Законная цель и информированное согласие

GDPR очень строго определяет основания для обработки данных. В отличие от многих других стран или юрисдикций, запрещено сначала собирать данные, а затем обосновывать это. Кроме того, организации должны быть прозрачными касательно этой цели и убедиться, что люди могут продемонстрировать свое согласие либо утверждением, либо четким действием, однозначно выражающим его.

Документация обработки

Эта статья GDPR заключается в том, что недостаточно просто подчиняться правилам, организация также должна задокументировать факт их соблюдения. К примеру, статья 30 обязывает хранить письменные или электронные записи действий по обработке, если компания насчитывает 250 работников или более. В случае меньшего их количества, обязательства по ведению такой документации все еще применяются, если обработка персональной информации может повлечь определенные риски для прав и свобод субъектов данных, не является одноразовой, или же включает данные специальной категории или информацию о судимости.

Назначение специалиста по защите данных (DPO)

GDPR вводит обязательство назначать специалиста по защите данных (Data Protection Officer, DPO) для организаций, подпадающих под одну из четырех категорий:

  1. Государственный орган
  2. Основная деятельность заключается в регулярном и систематическом мониторинге субъектов данных в больших масштабах
  3. Основная деятельность заключается в обработке персональных данных специальных категорий в больших масштабах
  4. Законодательство страны-члена ЕС требует назначения DPO

На кого распространяется GDPR?

GDPR распространяется на все предприятия и организации, обрабатывающие персональные данные граждан и резидентов ЕС, независимо от того, где это происходит.

Если хотя бы что-то одно из нижеперечисленного относится к определенной компании, то она обязана соблюдать правила GDPR:

  • Предоставление товаров или услуг (включая услуги, за которые не требуется оплата), в которых присутствует обработка информации субъектов данных ЕС (граждан и резидентов).
  • Мониторинг поведения субъектов данных ЕС, например отслеживание трафика веб-сайта или пользователей с помощью cookie.

Существует миф, что GDPR не распространяется на организации с менее чем 250 сотрудниками. Возможно, он вытекает из того факта, что существует потенциальное освобождение от обязательств GDPR по документации касаемо обработки для организаций с менее чем 250 работниками. Однако соблюдение остальных положений обязательно независимо от размера компании.

7 принципов GDPR

1. Отчетность

Этот принцип обязывает организации не только внедрять технические и структурные меры для соответствия, но и демонстрировать, как они соблюдают требования GDPR.

2. Законность, справедливость и прозрачность

Это означает, что деятельность по обработке должна осуществляться законно, честно и прозрачным для субъекта данных способом.

  • Законность состоит в том, что персональные данные могут обрабатываться только на основе одного из шести законных оснований, определенных в GDPR. Для специальных категорий данных (например, биометрических данных) обработка законна только при более ограниченном ряде условий.

  • Справедливость означает недопустимость введения в заблуждение субъектов данных насчет сбора информации. Этот принцип также касается того, как компания обеспечивает права субъектов данных, как например получения доступа к своей информации.

  • Прозрачность требует от организации открытости и четкости касательно обработки персональных данных. Это включает избегание жаргона и обеспечение легкого доступа к информации о действиях по обработке данных.

3. Целевое ограничение

Это значит, что собирать данные можно только для законной и конкретной цели, о которой уведомлен субъект данных. Как правило, если организация хочет использовать информацию для других целей, нужно получить новое согласие.

4. Минимизация данных

Этот принцип требует от компании собирать только минимальное количество персональных данных, необходимых для конкретной цели, предварительно очерченной и сообщенной субъекту данных. Это помогает избежать ситуаций, когда организации собирают больше информации, чем необходимо, на случай, если эти данные понадобятся им в будущем.

5. Точность

Она состоит в принятии мер по обеспечению актуальности и достоверности персональных данных. Это включает в себя случаи, когда субъект данных использует право на исправление неточной или устаревшей информации.

6. Ограничение хранения

Это правило подразумевает, что персональные данные не должны храниться дольше, чем это необходимо для законной цели обработки. Организации могут хранить информацию в течение более длительного времени, если она обрабатывается исключительно для архивирования в общественных интересах, научных или исторических исследований, или же статистики.

7. Целостность и конфиденциальность

Это основной принцип GDPR, согласно которому организации должны принимать соответствующие меры безопасности для защиты персональных данных, которые они хранят. Это в том числе касается безопасности электронной информации и систем, в которых хранятся данные. Этот принцип не определяет конкретный набор инструментов, которые необходимо внедрить. Организация должна принимать меры безопасности, пропорциональные риску обработки.

Права субъекта данных

Контроллеры данных должны знать об этих правах и способствовать любым ситуациям, когда субъект данных решает их реализовать. Обработчики данных должны понимать права субъектов данных, чтобы они могли передавать запросы контроллеру данных.

  • Право на информированность. Его соблюдение требует предоставления субъектам данных краткой и доступной информации о том, какие персональные данные о них собираются и как они используются.
  • Право на доступ. Оно позволяет субъектам данных подавать запрос на доступ к своей персональной информации устно или в письменном виде.

  • Право на исправление. Это дает субъектам данных возможность изменить или дополнить неточную информацию о них.

  • Право на удаление. Таким образом, субъекты данных могут потребовать удаления своей персональной информации.

  • Право на ограничение обработки. При определенных обстоятельствах субъекты данных могут потребовать, чтобы информация о них просто хранилась, а любая другая обработка была ограничена. Это включает случаи, когда кто-то оспаривает точность своих данных или выступает против их обработки.

  • Право на перенос данных. Субъекты данных могут получать и повторно использовать данные для собственных целей путем перемещения, копирования или передачи информации, предоставленной контроллеру данных.

  • Право на отказ. Это позволяет субъектам данных выступать против обработки их персональной информации. Важно информировать людей об этом праве с самого начала во время первой коммуникации с ними.

  • Права касательно автоматизированного принятия решений и профилирования. Субъекты данных имеют право не подпадать под решение, основанное исключительно на автоматизированной обработке или профилировании. Кроме того, поскольку автоматизированное принятие решений считается обработкой с высоким риском, организациям нужно провести оценку влияния на защиту данных (Data Protection Impact Assessment, DPIA), чтобы показать, что они понимают и снижают риски такого рода обработки.

Штрафы за несоблюдение GDPR

Надзорный орган страны принимает решение о строгости наказания, учитывая такие факторы, как то, было ли нарушение было преднамеренным, а также категории персональных данных, на которые повлияло нарушение.

Применяется следующая двухуровневая система штрафов:

  • За серьезные нарушения правил максимальный штраф составляет 20 миллионов евро или 4 процента от оборота за прошлый финансовый год, в зависимости от того, что больше.

  • За менее серьезные нарушения максимальные штрафы составляют 10 миллионов евро или 2 процента от оборота за прошлый финансовый год, в зависимости от того, что больше.

Как достичь соответствия GDPR?

Чтобы иметь возможность соблюдать правила GDPR, организациям необходимо провести аудит своих текущих решений безопасности данных и процессов и отталкиваться от этого. Аудит должен определить, где и какие данные собираются, кто имеет к ним доступ, как обеспечивается их целостность, есть ли надлежащие процедуры получения согласия и так далее. На основе выявленной информации можно построить план для успешного соблюдения GDPR.

Вот две ключевые рекомендации для соответствия, которые не тратят слишком много ресурсов организации:

1. Дисциплинированное выполнение

Стратегия ничего не стоит без дисциплинированного исполнения. Не так просто выбрать решения безопасности и управления данными, которые помогут достичь соответствия. Многое на это влияет, и человеческий фактор является самым сложным.

Простой пример – назначение специалиста по защите данных (DPO). Он должен обеспечить соблюдение требований соответствия организации. Эта роль важная и сложная, специалист имеет дело с работниками с одной стороны и руководителями отделов с другой.

Также трудно выполнить статью, касающуюся трансграничных переводов, простирающихся дальше, чем физические границы, где расположен главный офис или филиалы компании. Например, организация из Германии может иметь клиентов во Франции, США или любой другой стране.

GDPR распространяется на обработку персональной информации физических лиц, проживающих в ЕС, даже если контролер или обработчик данных не находится в Европейском Союзе. То есть независимо от местонахождения компании, она все равно может подпадать под действие регламента.

2. Осведомленность

Все руководители отделов, топ-менеджеры и другие лица, участвующие в принятии серьезных решений, должны внимательно прочитать GDPR или получить консультацию юриста, особенно учитывая сложность терминологии. Полное понимание обязательств компании по защите персональных данных является надежной основой для следующих шагов.

Далее нужно определить, какая информация субъектов данных ЕС хранится и обрабатывается в организации, ее локализацию, путь из точки «А» в точку «Б», какими системами она обрабатывается и так далее. Это также позволяет понять, есть ли у компании все необходимые инструменты для защиты чувствительных данных, и какие решения могут понадобиться для достижения соответствия GDPR.

Кроме того, важен принцип «защиты данных по своему замыслу и по умолчанию». Он означает, что услуги или продукты должны включать функции, обеспечивающие конфиденциальность и безопасность с самого начала концепции и разработки. Это особенно касается разработчиков мобильных приложений и сектора IoT. Регламент станет отличным стимулом для поставщиков совместить безопасность данных с инновациями.

Принцип конфиденциальности по замыслу также следует применять к другим организационным процессам в соответствии с правилами GDPR: если они связаны с персональными данными, компании должны ставить безопасность в приоритет.

Как может помочь Endpoint Protector?

Endpoint Protector – это передовое кроссплатформенное решение для предотвращения утечки данных (DLP), позволяющее соблюдать GDPR, помогая организациям избегать дорогостоящих последствий нарушений.

В частности, такие модули помогают обеспечить соответствие GDPR:

security

DeviceControl

Этот модуль позволяет блокировать, контролировать и проводить мониторинг USB и периферийных портов, что дает возможность остановить кражу данных. Можно создавать белые и черные списки устройств и определять политики для каждого пользователя. Такой гранулярный контроль уменьшает риск случайных или умышленных нарушений требований GDPR. Кроме того, предоставляется возможность удаленно использовать шифрование для USB-накопителей и других съемных носителей.

shield

Content Aware Protection

Он защищает чувствительные данные с помощью правил на основе политик для обнаружения и блокировки передачи данных, защищенных GDPR, за пределы сети организации. Модуль учитывает как содержимое, так и контекст, что позволяет уменьшить риск утечки и потери информации и помогает придерживаться принципа GDPR о защите данных по своему замыслу и по умолчанию. Еще одно преимущество Content Aware Protection заключается в возможностях мониторинга и контроля, которые помогают гарантировать, что данные используются только для целей, для которых они собираются, как того требует принцип целевого ограничения GDPR.

search

eDiscovery

Основой для соответствия GDPR является видимость потоков данных, которая дает понимание того, где находится и как используется персональная информация. Делать это вручную сложно, точность низкая, а времени уходит много, поскольку чувствительные данные могут храниться на любом конечном устройстве. eDiscovery от Endpoint Protector автоматически и эффективно сканирует и идентифицирует персональную информацию, хранящуюся на всех конечных точках организации на компьютерах Windows, macOS и Linux.

Другие материалы по теме

Credential Security

Как безопасно управлять доступами к кастомным внутренним системам компании

18.03.2026
insider threats

Полный гайд по управлению инсайдерскими рисками

11.03.2026
Browser DLP

Как рабочие процессы в браузере разрушают эффективность традиционного DLP

24.02.2026

Подписаться на новости

    Оставьте свои контакты, и мы с вами свяжемся