Еженедельная газета «Юридическая практика»
Сегодня 22 февраля 2019 года, 16:14

Генеральный партнер 2018 года

Адвокатское Бюро Гречковского - генеральный партнер газеты Юридическая практика в 2015 году
Еженедельная газета «Юридическая практика»

Тема номера: Защита персональных данных

№ 27 (1071) Защита персональных данныхот 10/07/18 (Тема номера: Защита персональных данных)

Физкультура

Каждой украинской компании, работающей с европейским рынком, необходимо соответствовать Регламенту о защите физических лиц в отношении обработки персональных данных

Платон Даниленко
Специально для «Юридической практики»

27 апреля 2016 го-да Европейский парламент и Совет Европейского Союза приняли Регламент о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (Регламент) — General Data Protection Regulation (GDPR). Документ, вступивший в силу 25 мая 2018 года, должен заменить устаревшую Директиву № 95/46/ЕС, по сути только устанавливающую границы и ориентиры, которые государства — участники Европейского Союза должны были в последующем воплотить в локальных нормативных актах.

Задача — защитить права

GDPR обязателен для имплементации и применения в законодательстве всех государств — участников ЕС. Основная цель Регламента — повышение до качественно нового уровня процессов обработки персональных данных граждан и резидентов Европейского Союза.

Главная задача Регламента — защитить основоположные права и свободы физических лиц, в частности их право на защиту персональных данных, поэтому GDPR устанавливает правила, касающиеся защиты физических лиц в отношении обработки и перемещения таких данных.

В соответствии со статьей 4 GDPR персональные данные — это любая информация, относящаяся к физическому лицу, с помощью которой субъект данных может быть идентифицирован; а субъектом данным считается лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор (например, имя, идентификационный номер, паспортные данные, данные о местоположении, номера мобильных телефонов, платежные карты, ip-адреса, e-mail или какой-либо из других факторов, позволяющих провести идентификацию).

Под обработкой понимают любые операции, выполняемые с персональными данными, независимо от того, каким способом они осуществляются (автоматическими средствами или любым другим способом). То есть получение доступа к персональным данным даже без сохранения их на каком-либо электронно-вычислительном устройстве будет считаться обработкой, на которую распространяется действие Регламента.

Контролером является юридическое или физическое лицо, орган государственной власти, которые самостоятельно или совместно с другими органами определяют цели и средства обработки персональных данных, а обработчиком (или процессором) — физические или юридические лица, государственные органы, обрабатывающие личные данные от имени и в интересах контролера.

Положения GDPR применяются к обработке персональных данных в контексте деятельности контролера или обработчика, которые базируются в Европейском Союзе, независимо от того, происходит обработка персональных данных на его территории или нет.

Стоит развеять заблуждение относительно того, что игроки украинского рынка не обязаны быть GDPR-compliance и Регламент не коснется украинского бизнеса, исходя из следующего.

Во-первых, Украина взяла на себя определенные обязательства, подписав Соглашение об ассоциации с Европейским Союзом. Статьей 15 Соглашения предусмотрено сотрудничество с целью обеспечения надлежащего уровня защиты персональных данных в соответствии с наивысшими международными и европейскими стандартами, в частности документами Совета Европы, которым и является GDPR. К тому же, согласно пункту 11 Плана мероприятий по исполнению Соглашения об ассоциации с ЕС, утвержденного постановлением Кабинета Министров Украины № 1106 от 25 октября 2017 года, следует усовершенствовать законодательство о защите персональных данных с целью приведения его в соответствие с Регламентом.

Во-вторых, соответствия GDPR будут требовать контрагенты из Европейского Союза, которые сами в обязательном порядке должны придерживаться требований GDPR, поскольку именно они в первую очередь будут привлечены к ответственности за нарушение Регламента. Несоответствие украинских компаний GDPR приведет к потере важных бизнес-коммуникаций с компаниями — резидентами ЕС.

В-третьих, в статье 3 Регламента установлена экстерриториальность его действия. Поэтому особо важным для украинских компаний будет осознание того, что GDPR также применяется к обработке персональных данных субъектов, находящихся в Европейском Союзе, контролером или обработчиком, которые расположены за его пределами (в любой стране мира), но при этом такая деятельность связана либо с предложением товаров или услуг лицам, находящимся в ЕС или имеющим с ним очень тесную связь (независимо от того, требуется оплата от субъекта или нет), либо с мониторингом поведения таких лиц.

Таким образом, действие GDPR будет распространяться не только на юридических лиц, зарегистрированных в пределах Европейского Союза, но и на украинские компании, которые занимаются выполнением работ, поставкой товаров, оказанием услуг гражданам или резидентам стран Европейского Союза, проводят маркетинговые или другие исследования поведения таких субъектов в Европейском Союзе, являются работодателями граждан или резидентов Европейского Союза, имеют представительство в Европейском Союзе.

Законная обработка

Для того чтобы компании могли себя предостеречь от любых рисков, стоит провести аудит для определения, каким образом, с какой целью и какие именно персональные данные обрабатываются, кому они могут быть переданы, какие средства защиты данных используются компанией. После этого компании следует понять, соответствует ли политика приватности (предусмотрены ли в ней перечень обрабатываемы данных, цель обработки, права субъектов данных, порядок реагирования на нарушения, порядок предоставления ответов на запросы от субъектов данных и пр.).

Компаниям, совершающим операции обработки, которые в силу характера, объема и целей требуют регулярного и систематического мониторинга данных в широких масштабах, совершают обработку чувствительных данных (например, о состоянии здоровья, расовой принадлежности, данных о детях, сведений о судимости), стоит назначить офицера по защите персональных данных, ответственного за обработку и сохранение таких данных.

Обработка персональных данных, согласно Регламенту, считается законной в следующих случаях:

— субъект данных дал согласие на обработку своих персональных данных для конкретных целей;

— обработка необходима для выполнения контракта, стороной которого является субъект данных;

— обработка необходима для исполнения юридического обязательства;

— обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;

— обработка необходима для выполнения задачи, в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера.

Для полного соответствия требованиям компаниям необходимо гармонично соединить технические и организационно-правовые средства, направленные на усиление защиты персональных данных. Техническими средствами являются шифрование, программное обеспечение, контроль данных; под организационно-правовыми следует понимать подготовку документации, разработку инструкций, работу и обучение персонала, работу с подрядчиками и контрагентами.

Стоит также обратить внимание, что компаниям, не находящимся в ЕС, согласно статье 27 Регламента, нужно назначить представителя в Европейском Союзе, с которым контролирующий орган будет связываться при необходимости проверки деятельности компании на соответствие требованиям, установленным GDPR.

Таким образом, каждой украинской компании, работающей с европейским рынком, необходимо соответствовать требованиям GDPR.

 

ДАНИЛЕНКО Платон — партнер ЮФ EXPATPRO, г. Киев



Присоединяйтесь к обсуждению!

Автор *
E-mail
Текст *
Осталось
из 2550 символов
* - Поля, обязательные для заполнения.

№ 27 (1071) от 10/07/18 Текущий номер

Защита персональных данных

№ 27 (1071)
Акцент

Фастсуд

Документы и аналитика

Не дремлющее ОКУ

Репортаж

Пас медиа

Судебная практика

Дело случая

Новый Закон Украины «Об обществах с ограниченной и дополнительной ответственностью»…

качественно и эффективно регулирует отношения участников

реальных проблем не решает

окончательно нивелирует необходимость Хозяйственного кодекса Украины как правового акта

Ваш собственный вариант ответа или комментарий Вы можете дать по электронной почте voxpopuli@pravo.ua.

  • aequo
"Юридическая практика" в соцсетях
Заказ юридической литературы

ПОДПИСКА