Запорожье+38 (061) 228-41-81
МЕНЮ

GDPR — НОВЫЕ ПРАВИЛА ИГРЫ. А ВАША КОМАНДА ГОТОВА?

Написание этой статьи обусловлено большим количеством обращений за юридической помощью в связи с вступлением в законную силу General data protection regulation — Общего регламента по защите данных (GDPR).

В отличие от Директивы 95/46/ЕС, положения GDPR являются экстерриториальными, то есть нормами прямого действия. Таким образом, их выполнение общеобязательно без имплементации в национальное законодательство каждой страны-участницы. При этом, действие документа не ограничено границами ЕС, а распространяется на все организации, работающие с данными физических лиц, которые находятся в ЕС, в том числе, украинские.

ПОВЛИЯЕТ ЛИ GDPR НА ВАШ БИЗНЕС?

В контексте GDPR, «персональные данные» — это любая информация в отношении граждан ЕС, которая позволяет идентифицировать лицо прямо или косвенно, в частности, посредством ссылки на идентификатор, онлайн идентификатор, один или несколько факторов, специфичных для физической, физиологической, генетической, умственной , экономической, культурной или социальной идентичности данного физического лица.

Интересно, что к персональным могут быть отнесены онлайн идентификаторы, идентификаторы устройств, идентификаторы файлов cookie и IP-адреса.

Субъекты, работающие с персональными данными — это контроллеры (определяют цели и средства обработки данных) и процессоры (обрабатывают данные от имени и по поручению контроллера). Основное требование к ним — тщательная защита конфиденциальной информации.

Бизнес подпадает под действие GDPR, если в процессе деятельности осуществляется:

  1. Обработка персональных данных контроллером/процессором, находящихся в ЕС, независимо от того, где обрабатываются данные.
  2. Обработка персональных данных субъектов в ЕС контроллером/процессором, находящихся вне ЕС, в связи с:
    — предложением товаров/услуг (платных или бесплатных) субъектам персональных данных в ЕС;
    — отслеживанием поведения субъектов персональных данных в ЕС.

СЛЕДУЕТ ТЩАТЕЛЬНО ПОДГОТОВИТЬСЯ К ВЫПОЛНЕНИЮ НОРМ GDPR, ПОСКОЛЬКУ РАЗМЕРЫ АДМИНИСТРАТИВНЫХ САНКЦИЙ, КОТОРЫЕ БУДУТ ПРИМЕНЯТЬСЯ К НАРУШИТЕЛЯМ, ВПЕЧАТЛЯЮТ. ТАК, ДИАПАЗОН ШТРАФОВ СОСТАВЛЯЕТ ДО 10-20 МЛН ЕВРО ИЛИ 2-4% ВАЛОВОГО ГОДОВОГО ДОХОДА КОМПАНИИ (ИЗБИРАЕТСЯ САМАЯ БОЛЬШАЯ СУММА).

И хотя механизм применения санкций в украинских реалиях пока не понятен, учитывая интеграционный курс государства в Европу, он будет введен в ближайшее время.

Так, в марте состоялся круглый стол национальных регуляторов по защите персональных данных (НБУ, Министерство юстиции Украины, Секретариат Уполномоченного по правам человека), где стало известно, что в настоящее время осуществляется официальный перевод GDPR на украинский язык и готовится дорожная карта для создания проекта закона, который установит практические механизмы для выполнения требований GDPR о наложении штрафов.

ПРАВОВЫЕ АСПЕКТЫ СООТВЕТСТВИЯ БИЗНЕСА GDPR

GDPR не указывает, какие именно меры должны приниматься для защиты данных. Конкретные меры определяет сама компания, принимая во внимание такие факторы, как сущность данных, которые собираются, уровень их конфиденциальности и риски, заключающиеся в обработке.
Для определения индивидуальных шагов по адаптации каждой отдельной компании требованиям GDPR рекомендуем обратиться к специалисту с целью проведения соответствующего аудита. По общим рекомендациям предлагаем следующие:

1)СОБЛЮДЕНИЕ ОСНОВНЫХ ПРИНЦИПОВ ОБРАБОТКИ ДАННЫХ: законность, прозрачность; конкретная цель обработки; «Data minimization» (осуществление самого минимального объема обработки); точность данных; хранение данных в течение срока, не более чем это необходимо для целей обработки (как обеспечение права на забвение) надлежащую защиту данных.

2)ОТСУТСТВИЕ БЕЗОСНОВАТЕЛЬНОЙ ОБРАБОТКИ ДАННЫХ, А ТАКЖЕ ОБРАБОТКИ «ЧУВСТВЕННЫХ» ДАННЫХ.
Согласно GDPR обработка данных возможна только при наличии согласия на нее для конкретных целей. При этом, контроллер должен быть в состоянии доказать получение согласия, текст которого предоставляется в простой, понятной, доступной и четкой форме. Кроме того, контроллером обеспечивается возможность субъекта персональных данных отозвать свое согласие в любое время и без ограничений.

3)НАЗНАЧЕНИЕ ОТВЕТСТВЕННЫХ РАБОТНИКОВ.
Введение должности работника ответственного за защиту персональных данных (Data Protection Officer) проводится обязательно в том случае, если компанией осуществляется глобальная обработка данных и/или обработка «специальных категорий» данных.

Если компания осуществляет постоянную обработку данных, расположена не в ЕС, и не подпадает под исключения, необходимо наличие официального представителя компании в ЕС, с которым заключается письменный договор. Представителем может быть юридическое или физическое лицо, основанное или проживающее в одной из стран, где находятся субъекты персональных данных.

4)ПОВЫШЕНИЕ УРОВНЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Достигается посредством обеспечения наивысшего возможного уровня защиты информации, в частности, внедрение надлежащих технических и организационных мероприятий (как ввод паролей, псевдонимизации, шифрование, журналов аудита, хранения персональных данных на облачных хранилищах с высоким уровнем безопасности, подписание договоров с особыми оговорками, в частности, об уничтожении персональных данных, которые стали известны из договора, в разумные сроки после его выполнения, ограничения в доступе к информации субпроцессора и т.д.).

5)СВОЕВРЕМЕННОЕ ОПОВЕЩЕНИЕ КОНТРОЛИРУЮЩИХ ОРГАНОВ И КОНТРОЛЕРА ОБ УТЕЧКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, а в случаях, установленных GDPR — субъекта персональных данных. Обеспечение возможности обнаружения и принятия соответствующих мер в случае нарушения прав субъекта персональных данных о его персональных данных.

Из содержания статьи 45 GDPR усматривается, что персональные данные из европейского экономического пространства могут передаваться в третьи страны при наличии положительного заключения ЕК относительно соответствия страны высоким стандартам защиты персональных данных. Учитывая, что на сегодня Украина не входит в список государств, в отношении которых существует решение ЕК об «адекватности страны», рекомендуем использование Model Clauses — стандартные условия договора, утвержденные ЕК.

НРАВЯТСЯ НАШИ СОВЕТЫ ДЛЯ БИЗНЕСА? ПРИСОЕДИНЯЙТЕСЬ К НАШЕМУ КАНАЛУ В ⏩ TELEGRAM ⏪ И ВЫ НЕ ПРОПУСТИТЕ НИ ОДИН ПОЛЕЗНЫЙ СОВЕТ!

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn