Еженедельная газета «Юридическая практика»
Сегодня 20 ноября 2018 года, 19:37

Генеральный партнер 2018 года

Адвокатское Бюро Гречковского - генеральный партнер газеты Юридическая практика в 2015 году
Еженедельная газета «Юридическая практика»

Тема номера: Защита персональных данных

№ 27 (1071) Защита персональных данныхот 10/07/18 (Тема номера: Защита персональных данных)

Физкультура

Каждой украинской компании, работающей с европейским рынком, необходимо соответствовать Регламенту о защите физических лиц в отношении обработки персональных данных

Платон Даниленко
Специально для «Юридической практики»

27 апреля 2016 го-да Европейский парламент и Совет Европейского Союза приняли Регламент о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (Регламент) — General Data Protection Regulation (GDPR). Документ, вступивший в силу 25 мая 2018 года, должен заменить устаревшую Директиву № 95/46/ЕС, по сути только устанавливающую границы и ориентиры, которые государства — участники Европейского Союза должны были в последующем воплотить в локальных нормативных актах.

Задача — защитить права

GDPR обязателен для имплементации и применения в законодательстве всех государств — участников ЕС. Основная цель Регламента — повышение до качественно нового уровня процессов обработки персональных данных граждан и резидентов Европейского Союза.

Главная задача Регламента — защитить основоположные права и свободы физических лиц, в частности их право на защиту персональных данных, поэтому GDPR устанавливает правила, касающиеся защиты физических лиц в отношении обработки и перемещения таких данных.

В соответствии со статьей 4 GDPR персональные данные — это любая информация, относящаяся к физическому лицу, с помощью которой субъект данных может быть идентифицирован; а субъектом данным считается лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор (например, имя, идентификационный номер, паспортные данные, данные о местоположении, номера мобильных телефонов, платежные карты, ip-адреса, e-mail или какой-либо из других факторов, позволяющих провести идентификацию).

Под обработкой понимают любые операции, выполняемые с персональными данными, независимо от того, каким способом они осуществляются (автоматическими средствами или любым другим способом). То есть получение доступа к персональным данным даже без сохранения их на каком-либо электронно-вычислительном устройстве будет считаться обработкой, на которую распространяется действие Регламента.

Контролером является юридическое или физическое лицо, орган государственной власти, которые самостоятельно или совместно с другими органами определяют цели и средства обработки персональных данных, а обработчиком (или процессором) — физические или юридические лица, государственные органы, обрабатывающие личные данные от имени и в интересах контролера.

Положения GDPR применяются к обработке персональных данных в контексте деятельности контролера или обработчика, которые базируются в Европейском Союзе, независимо от того, происходит обработка персональных данных на его территории или нет.

Стоит развеять заблуждение относительно того, что игроки украинского рынка не обязаны быть GDPR-compliance и Регламент не коснется украинского бизнеса, исходя из следующего.

Во-первых, Украина взяла на себя определенные обязательства, подписав Соглашение об ассоциации с Европейским Союзом. Статьей 15 Соглашения предусмотрено сотрудничество с целью обеспечения надлежащего уровня защиты персональных данных в соответствии с наивысшими международными и европейскими стандартами, в частности документами Совета Европы, которым и является GDPR. К тому же, согласно пункту 11 Плана мероприятий по исполнению Соглашения об ассоциации с ЕС, утвержденного постановлением Кабинета Министров Украины № 1106 от 25 октября 2017 года, следует усовершенствовать законодательство о защите персональных данных с целью приведения его в соответствие с Регламентом.

Во-вторых, соответствия GDPR будут требовать контрагенты из Европейского Союза, которые сами в обязательном порядке должны придерживаться требований GDPR, поскольку именно они в первую очередь будут привлечены к ответственности за нарушение Регламента. Несоответствие украинских компаний GDPR приведет к потере важных бизнес-коммуникаций с компаниями — резидентами ЕС.

В-третьих, в статье 3 Регламента установлена экстерриториальность его действия. Поэтому особо важным для украинских компаний будет осознание того, что GDPR также применяется к обработке персональных данных субъектов, находящихся в Европейском Союзе, контролером или обработчиком, которые расположены за его пределами (в любой стране мира), но при этом такая деятельность связана либо с предложением товаров или услуг лицам, находящимся в ЕС или имеющим с ним очень тесную связь (независимо от того, требуется оплата от субъекта или нет), либо с мониторингом поведения таких лиц.

Таким образом, действие GDPR будет распространяться не только на юридических лиц, зарегистрированных в пределах Европейского Союза, но и на украинские компании, которые занимаются выполнением работ, поставкой товаров, оказанием услуг гражданам или резидентам стран Европейского Союза, проводят маркетинговые или другие исследования поведения таких субъектов в Европейском Союзе, являются работодателями граждан или резидентов Европейского Союза, имеют представительство в Европейском Союзе.

Законная обработка

Для того чтобы компании могли себя предостеречь от любых рисков, стоит провести аудит для определения, каким образом, с какой целью и какие именно персональные данные обрабатываются, кому они могут быть переданы, какие средства защиты данных используются компанией. После этого компании следует понять, соответствует ли политика приватности (предусмотрены ли в ней перечень обрабатываемы данных, цель обработки, права субъектов данных, порядок реагирования на нарушения, порядок предоставления ответов на запросы от субъектов данных и пр.).

Компаниям, совершающим операции обработки, которые в силу характера, объема и целей требуют регулярного и систематического мониторинга данных в широких масштабах, совершают обработку чувствительных данных (например, о состоянии здоровья, расовой принадлежности, данных о детях, сведений о судимости), стоит назначить офицера по защите персональных данных, ответственного за обработку и сохранение таких данных.

Обработка персональных данных, согласно Регламенту, считается законной в следующих случаях:

— субъект данных дал согласие на обработку своих персональных данных для конкретных целей;

— обработка необходима для выполнения контракта, стороной которого является субъект данных;

— обработка необходима для исполнения юридического обязательства;

— обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;

— обработка необходима для выполнения задачи, в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера.

Для полного соответствия требованиям компаниям необходимо гармонично соединить технические и организационно-правовые средства, направленные на усиление защиты персональных данных. Техническими средствами являются шифрование, программное обеспечение, контроль данных; под организационно-правовыми следует понимать подготовку документации, разработку инструкций, работу и обучение персонала, работу с подрядчиками и контрагентами.

Стоит также обратить внимание, что компаниям, не находящимся в ЕС, согласно статье 27 Регламента, нужно назначить представителя в Европейском Союзе, с которым контролирующий орган будет связываться при необходимости проверки деятельности компании на соответствие требованиям, установленным GDPR.

Таким образом, каждой украинской компании, работающей с европейским рынком, необходимо соответствовать требованиям GDPR.

 

ДАНИЛЕНКО Платон — партнер ЮФ EXPATPRO, г. Киев



Присоединяйтесь к обсуждению!

Автор *
E-mail
Текст *
Осталось
из 2550 символов
* - Поля, обязательные для заполнения.

№ 27 (1071) от 10/07/18 Текущий номер

Защита персональных данных

№ 27 (1071)
Акцент

Фастсуд

Документы и аналитика

Не дремлющее ОКУ

Репортаж

Пас медиа

Судебная практика

Дело случая

Поддерживаете ли вы введение налога на выведенный капитал?

Да, в перспективе это будет эффективней налогообложения прибыли

Да, но только для малого и среднего бизнеса

Нет, для государства это непозволительная роскошь

Ни один закон не искоренит такое явление, как уклонение от уплаты налогов

Ваш собственный вариант ответа или комментарий Вы можете дать по электронной почте voxpopuli@pravo.ua.

  • Antika
"Юридическая практика" в соцсетях
Заказ юридической литературы

ПОДПИСКА