27 апреля 2016 го-да Европейский парламент и Совет Европейского Союза приняли Регламент о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (Регламент) — General Data Protection Regulation (GDPR). Документ, вступивший в силу 25 мая 2018 года, должен заменить устаревшую Директиву № 95/46/ЕС, по сути только устанавливающую границы и ориентиры, которые государства — участники Европейского Союза должны были в последующем воплотить в локальных нормативных актах.
Задача — защитить права
GDPR обязателен для имплементации и применения в законодательстве всех государств — участников ЕС. Основная цель Регламента — повышение до качественно нового уровня процессов обработки персональных данных граждан и резидентов Европейского Союза.
Главная задача Регламента — защитить основоположные права и свободы физических лиц, в частности их право на защиту персональных данных, поэтому GDPR устанавливает правила, касающиеся защиты физических лиц в отношении обработки и перемещения таких данных.
В соответствии со статьей 4 GDPR персональные данные — это любая информация, относящаяся к физическому лицу, с помощью которой субъект данных может быть идентифицирован; а субъектом данным считается лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор (например, имя, идентификационный номер, паспортные данные, данные о местоположении, номера мобильных телефонов, платежные карты, ip-адреса, e-mail или какой-либо из других факторов, позволяющих провести идентификацию).
Под обработкой понимают любые операции, выполняемые с персональными данными, независимо от того, каким способом они осуществляются (автоматическими средствами или любым другим способом). То есть получение доступа к персональным данным даже без сохранения их на каком-либо электронно-вычислительном устройстве будет считаться обработкой, на которую распространяется действие Регламента.
Контролером является юридическое или физическое лицо, орган государственной власти, которые самостоятельно или совместно с другими органами определяют цели и средства обработки персональных данных, а обработчиком (или процессором) — физические или юридические лица, государственные органы, обрабатывающие личные данные от имени и в интересах контролера.
Положения GDPR применяются к обработке персональных данных в контексте деятельности контролера или обработчика, которые базируются в Европейском Союзе, независимо от того, происходит обработка персональных данных на его территории или нет.
Стоит развеять заблуждение относительно того, что игроки украинского рынка не обязаны быть GDPR-compliance и Регламент не коснется украинского бизнеса, исходя из следующего.
Во-первых, Украина взяла на себя определенные обязательства, подписав Соглашение об ассоциации с Европейским Союзом. Статьей 15 Соглашения предусмотрено сотрудничество с целью обеспечения надлежащего уровня защиты персональных данных в соответствии с наивысшими международными и европейскими стандартами, в частности документами Совета Европы, которым и является GDPR. К тому же, согласно пункту 11 Плана мероприятий по исполнению Соглашения об ассоциации с ЕС, утвержденного постановлением Кабинета Министров Украины № 1106 от 25 октября 2017 года, следует усовершенствовать законодательство о защите персональных данных с целью приведения его в соответствие с Регламентом.
Во-вторых, соответствия GDPR будут требовать контрагенты из Европейского Союза, которые сами в обязательном порядке должны придерживаться требований GDPR, поскольку именно они в первую очередь будут привлечены к ответственности за нарушение Регламента. Несоответствие украинских компаний GDPR приведет к потере важных бизнес-коммуникаций с компаниями — резидентами ЕС.
В-третьих, в статье 3 Регламента установлена экстерриториальность его действия. Поэтому особо важным для украинских компаний будет осознание того, что GDPR также применяется к обработке персональных данных субъектов, находящихся в Европейском Союзе, контролером или обработчиком, которые расположены за его пределами (в любой стране мира), но при этом такая деятельность связана либо с предложением товаров или услуг лицам, находящимся в ЕС или имеющим с ним очень тесную связь (независимо от того, требуется оплата от субъекта или нет), либо с мониторингом поведения таких лиц.
Таким образом, действие GDPR будет распространяться не только на юридических лиц, зарегистрированных в пределах Европейского Союза, но и на украинские компании, которые занимаются выполнением работ, поставкой товаров, оказанием услуг гражданам или резидентам стран Европейского Союза, проводят маркетинговые или другие исследования поведения таких субъектов в Европейском Союзе, являются работодателями граждан или резидентов Европейского Союза, имеют представительство в Европейском Союзе.
Законная обработка
Для того чтобы компании могли себя предостеречь от любых рисков, стоит провести аудит для определения, каким образом, с какой целью и какие именно персональные данные обрабатываются, кому они могут быть переданы, какие средства защиты данных используются компанией. После этого компании следует понять, соответствует ли политика приватности (предусмотрены ли в ней перечень обрабатываемы данных, цель обработки, права субъектов данных, порядок реагирования на нарушения, порядок предоставления ответов на запросы от субъектов данных и пр.).
Компаниям, совершающим операции обработки, которые в силу характера, объема и целей требуют регулярного и систематического мониторинга данных в широких масштабах, совершают обработку чувствительных данных (например, о состоянии здоровья, расовой принадлежности, данных о детях, сведений о судимости), стоит назначить офицера по защите персональных данных, ответственного за обработку и сохранение таких данных.
Обработка персональных данных, согласно Регламенту, считается законной в следующих случаях:
— субъект данных дал согласие на обработку своих персональных данных для конкретных целей;
— обработка необходима для выполнения контракта, стороной которого является субъект данных;
— обработка необходима для исполнения юридического обязательства;
— обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;
— обработка необходима для выполнения задачи, в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера.
Для полного соответствия требованиям компаниям необходимо гармонично соединить технические и организационно-правовые средства, направленные на усиление защиты персональных данных. Техническими средствами являются шифрование, программное обеспечение, контроль данных; под организационно-правовыми следует понимать подготовку документации, разработку инструкций, работу и обучение персонала, работу с подрядчиками и контрагентами.
Стоит также обратить внимание, что компаниям, не находящимся в ЕС, согласно статье 27 Регламента, нужно назначить представителя в Европейском Союзе, с которым контролирующий орган будет связываться при необходимости проверки деятельности компании на соответствие требованиям, установленным GDPR.
Таким образом, каждой украинской компании, работающей с европейским рынком, необходимо соответствовать требованиям GDPR.
ДАНИЛЕНКО Платон — партнер ЮФ EXPATPRO, г. Киев
© Юридична практика, 1997-2024. Всі права захищені
Кількість адвокатських балів | Вартість |
---|---|
Відеокурс з адвокатської етики | 650 грн |
10 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 2200 грн |
16 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 3500 грн |
8 адвокатських балів (без адвокатської етики) | 1800 грн |
Щодо додаткової інформації
Email: [email protected]
Тел. +38 (050) 449-01-09
Пожалуйста, подождите…