Еженедельная газета «Юридическая практика»
Сегодня 23 мая 2019 года, 22:47

Генеральный партнер 2019 года

Адвокатское Бюро Гречковского - генеральный партнер газеты Юридическая практика в 2015 году
Еженедельная газета «Юридическая практика»

Документы и аналитика

№ 8 (1052) Гражданское право и процессот 20/02/18 (Документы и аналитика)

Важная персона

Стремление Украины стать полноправным членом ЕС делает вопрос защиты персональных данных одним из важнейших

Сергей Коваленко
Специально для «Юридической практики»

Увеличение пользователей интернета (к 2020 году каждый должен иметь доступ к интернету, программное действие ООН — A/CONF.219/3/Rev.1; по данным МСЭ, в 2017 году в мире 70 % молодежи в возрасте 15–24 лет пользовались интернетом; в отчете Комиссии по устойчивому развитию широкополосной связи о состоянии широкополосной связи за сентябрь 2017 года сказано, что около 3,5 млрд человек имеют доступ к интернету), рост объема «интернета вещей» (GAGR до 2020 года — 28,5 %), объединительные процессы вокруг и на базе блокчейн-технологий (компании R3, Hyperledger, В3i и др.), доступность каждому всей или части информации, опубликованной в государственных и других онлайн-реестрах (реестр юридических лиц, реестр судебных решений, реестр недвижимости, реестр деклараций государственных чиновников, реестр арбитражных управляющих, реестр адвокатов и т.д.), наращивание уровня безналичных расчетов в фиатной валюте (согласно комплексной программе развития финансового сектора Украины до 2020 года в редакции решения правления Национального банка Украины от 16 января 2017 года № 28, в 2020 году — 55 %, а мелких безналичных расчетов в 2020-м — не ниже 30 %), KYC и AML при операциях с криптовалютой (обменные операции с криптовалютой, покупка товаров, услуг и т.д.), хранение big data, в том числе отдаленное в облачных хранилищах данных, усложнение кибератак, создание единого цифрового рынка в ЕС (в основу которого положены акты Европейского парламента и Совета — Регламент № 2016/679 от 27 апреля 2016 года, Директива № 2016/680 от 27 апреля 2016 года и связанные с ними акты) влияют на степень защиты персональных/личных данных физических лиц.Стремление Украины стать полноправным членом ЕС, желание украинских компаний выйти на рынок ЕС делают вопрос защиты персональных данных одним из важнейших сейчас для представителей украинского бизнеса в ЕС, а в будущем — и для государства Украина в целом.

Стандарты ЕС в сфере защиты персональных данных — Регламент № 2016/679 и Директива № 2016/680, вступающие в силу с 25 мая 2018 года, основываются на общепризнанных стандартах международного права прав человека, закрепленных в статье 12 Общей декларацией о правах человека от 10 декабря 1948 года, статье 8 Конвенции о защите прав человека и основоположных свобод от 4 ноября 1950 года, статье 17 Международного пакта о социальных и политических правах от 16 декабря 1966 года и на других международных договорах и актах органов ООН, СЕ, ЕС, ОЭСР, ФАТФ в виде невмешательства и уважения к личной жизни человека.

В отличие от указанных международно-правовых документов акты органов ЕС направлены на защиту лишь одного из элементов права на личную жизнь — персональных данных. При этом неспособность действующей до 25 мая 2018 года Директивы № 95/46/ЕС обеспечивать правовым регулированием правоотношения, связанные с техническими ноу-хау существенно, устранена Регламентом № 2016/679. Регламент № 2016/679 в противовес Директиве № 2016/680 имеет общую сферу применения и положения по защите персональных данных физических лиц. Материальная сторона применения Регламента распространяется на обработку данных как автоматическими, так и другими средствами. Регламент не применяется к деятельности, не регулируемой правом ЕС, деятельности государств в части общей внешней политики и политики безопасности, в случае применения физическими лицами исключительно для личных целей или решения бытовых вопросов, а также для регулирования правоотношений, относящихся к сфере действия Директивы № 2016/680 (защита физических лиц компетентными органами в уголовном процессе при обработке их данных). Регламент регулирует обработку персональных данных контролером и обработчиком, если они учреждены в ЕС, вне зависимости от того, где происходит обработка: в ЕС или за его пределами. Также Регламент применяется к обработке данных субъектов данных ЕС со стороны контролеров и обработчиков, не учрежденных в ЕС, если субъектам данных в ЕС предлагаются товары и услуги на платной или бесплатной основе или если такая обработка касается мониторинга поведения субъектов данных в рамках ЕС.

Под персональными данными в Регламенте понимается информация для идентификации и узнаваемости физического лица (субъекта персональных данных). Наряду с субъектами персональных данных ключевыми игроками цифрового рынка как объектами регулирования Регламентом № 2016/679 являются контролеры, обработчики и надзирательные органы. Контролер — физическое или юридическое лицо, государственный орган, агентство или другое лицо, действующее (в том числе на основании сертификатов — статья 42) самостоятельно или вместе с другими, определяющее цели и средства обработки данных, а обработчик — такое же лицо, что и контролер, но не имеющее права определять цели и средства обработки и действующее от имени контролера. Надзирательный орган — независимый надзирательный орган государства — члена ЕС, осуществляющий мониторинг над применением Регламента № 2016/679 с полномочиями налагать административные штрафы. Следует сказать о существовании похожего органа на уровне ЕС — это европейский инспектор по защите данных.

Регламентом закреплены штрафы, которые могут применяться за нарушение его положений как в дополнение к средствам, предусмотренным в части 2 статьи 58, так и вместо них, в размере до 10 млн евро или до 2 % от годового мирового оборота за предыдущий год или до 20 млн евро или до 4 % от годового мирового оборота за предыдущий год, и в обоих случаях учитываются разные виды правонарушений, а также взимается большая сумма (части 4, 5, 6 статьи 83).

Регламентом установлены требования относительно запроса на согласие на обработку данных — запрос должен быть составлен в понятной, простой форме и для конкретных целей. Контролеры при обработке данных должны исходить из минимальности и ограниченности целей обработки.

Контролеры обязаны (наряду с другими обязательствами — глава IV Регламента) после получения информации о нарушении персональных данных уведомить об этом в течение 72 часов надзирательные органы, а если это невозможно, безотлагательно уведомить их о причинах (пункт 85 преамбулы Регламента). При обработке персональных данных ключевым параметром является их безопасность. В статье 32 Регламента предусмотрены параметры достижения безопасности данных: псевдонимизация и криптизация, обеспечение конфиденциальности с учетом временных вызовов, способность восстановления данных, возможность хранения и своевременного доступа, обеспечение регулярного тестирования и т.д.

Субъект персональных данных имеет право на бесплатное получение копии своих персональных данных от контролера и информации о том, были ли его персональные данные обработаны, и если да, то для каких целей и т.д.

Также статьями 37–39 Регламента № 2016/679 предусмотрен институт уполномоченных по защите данных. Уполномоченные назначаются контролерами и обработчиками в определенных случаях (если обработка осуществляется государственным органом, кроме суда, действующего в своем качестве, если обрабатываемая контролером и обработчиком информация имеет большой объем или по своей природе, сфере и целям требует регулярного и систематического наблюдения со стороны субъектов данных, а также если обрабатываются большие объемы специальных категорий данных (статья 9) и данных относительно судимости по уголовным статьям и преступлений (статья 10).

Сегодня в рамках Европейского суда справедливости (решение от 19 октября 2016 года C-582/14 по делу «Патрика Бреера против Германии», решение от 6 октября 2015 года ECLI:EU:C:2015:650 по делу «Максимиллиан Шремс против инспектора по защите персональных данных»), Европейского суда по правам человека (дело «Эл.Ейч. против Латвии» (жалоба № 52019/07) от 29 апреля 2014 года, дело «Сьодерман против Швеции» (жалоба № 5786/08) от 12 ноября 2013 года) и национальных судов государств-членов (решение Высшего коммерческого суда Ирландии от 3 октября 2017 года (2016) 4809 P по делу «Инспектор по защите персональных данных против ирландского общества с ограниченной ответственностью Facebook и М. Шремс», решение Верховного суда Соединенного Королевства Великобритании и Северной Ирландии от 28 июля 2015 года (2015) EWCA Civ 311 по делу «Видал-Холл, Ханн, Бредшоу и инспектор по информации против «Гугл Инк») сформировалась судебная практика, отстаивающая интересы субъектов персональных данных в части их защиты как при обработке в рамках определенных государств — членов ЕС на уровне ЕС, так и при перемещении персональных данных в третьи государства, и эта практика в будущем еще ужесточится по отношению к контролерам и обработчикам.

Чтобы не попасть в немилость к надзирательным органам государств — членов ЕС и отдельно ЕС в сфере защиты персональных данных и со стороны судебных органов, представителям бизнеса нужно как минимум сформировать команду специалистов вместе с уполномоченным по защите персональных данных; разработать положение и кодекс поведения по защите персональных данных; обеспечить техническую составляющую безопасности данных с автоматическим уведомлением компетентных органов о нарушении в течение 72 часов; отладить систему получения у субъектов данных согласия на обработку данных с привязкой к определенным целям, а также у опекунов и родителей детей; предоставлять ответы в течение установленных сроков на запросы субъектов данных и запрашиваемые ими документы с учетом актов органов ЕС; следить за актуальностью, читабельностью данных техническими устройствами, точностью, псевдонимизацией и целевым использованием данных в своей базе данных; быть готовым к отзыву субъектами данных своего согласия на обработку данных и к обеспечению бесповоротного  удаления данных вплоть до архивных данных; не обрабатывать определенные категории персональных данных (относительно участия в профсоюзах, здоровья, сексуальной ориентации и т.д.); не передавать данные в третьи государства, где есть риск нарушения прав субъектов данных; формировать правоотношения между компанией и подрядчиками при обработке персональных данных исключительно в договорном порядке; получать сертификаты, так как они подтверждают соответствие компании положениям Регламента и т.д.

 

КОВАЛЕНКО Сергей — юрисконсульт ООО «Эпицентр К», адвокат, к.ю.н., г. Киев



Присоединяйтесь к обсуждению!

Автор *
E-mail
Текст *
Осталось
из 2550 символов
* - Поля, обязательные для заполнения.

№ 8 (1052) от 20/02/18 Текущий номер

Гражданское право и процесс

№ 8 (1052)
Государство и юристы

Сезонная работа

Отрасли практики

Составить факт

Судебная практика

Строго по телу

Тема номера:

Пресечь линию

Поддерживаете ли вы проведение досрочных парламентских выборов?

Безусловно, нужна полная перезагрузка власти.

Да, все равно парламент не будет должным образом работать до выборов.

Для этого пока нет правовых оснований.

Незачем спешить — до плановых выборов осталось совсем немного.

Ваш собственный вариант ответа или комментарий Вы можете дать по электронной почте voxpopuli@pravo.ua.

  • АФ «Династия»
"Юридическая практика" в соцсетях
Заказ юридической литературы

ПОДПИСКА