Генеральный партнер 2020 года

Издательство ЮРИДИЧЕСКАЯ ПРАКТИКА
Главная » Выпуск №33 (1075) » Данные свыше

Данные свыше

Высокие требования ЕС к защите информации могут привести к появлению новой должности — директора по защите данных
Ответственным по вопросам защиты данных не может быть лицо, занимающее в компании руководящую должность

Если бизнес так или иначе связан со сбором персональных данных жителей Евросоюза, на эту деятельность распространяется Общий регламент по защите данных ЕС (General Data Protection Regulation). Регламент, общеизвестный как GDPR (Регламент), был принят в 2016 году, но вступил в силу только 25 мая этого года.

 

На кого распространяется

Если мы говорим о Регламенте в разрезе его влияния на украинский бизнес, важно сначала уяснить, на какие отечественные предприятия он может распространяться. В частности, это:

— украинские юридические лица с филиалом/дочерней компанией в ЕС, которые обрабатывают персональные данные жителей ЕС;

— украинские компании, предлагающие товары и услуги на возмездной либо безвозмездной основе жителям ЕС (например, интернет-магазины);

— онлайн-платформы, которые принимают в качестве оплате евро, а также используют один из официальных языков;

— организации, осуществляющие мониторинг поведения и предпочтений граждан ЕС (например, украинский бизнес «таргетит» жителей ЕС, отслеживает их поведение в интернете, в том числе собирает постоянные cookies).

 

Спецдиректор

Одним из требований Регламента по отношению к ­предприятиям и государственным органам является назначение директора по защите данных (Data Protection Officer (DPO)). Роль DPO состоит в следующем. В первую очередь такое лицо выступает в качестве связующего звена между организацией и надзорным органом по вопросам защиты персональных данных. В случае утечки персональных данных пользователей именно DPO информирует надзорный орган о таком инциденте.

Помимо этого DPO следит за тем, как организация выполняет требования GDPR, как происходит обработка персональных данных в организации, ведется ли необходимый учет таких данных и согласия на их обработку. Также немаловажной функцией директора является информирование сотрудников организации о необходимости соблюдения норм Регламента и безопасной обработки персональных данных лиц.

Также DPO проводит внутренний аудит организации, разрабатывает внутренние политики и документацию компании либо адаптирует существующие к нормам Регламента.

 

Обязательное назначение

Давайте разберемся, в каких случаях его назначение обязательно для украинского бизнеса.

Итак, директор по защите данных назначается в обязательном порядке в следующих случаях.

Организация регулярно и в больших объемах собирает персональные данные жителей ЕС. Мониторингом на постоянной основе занимаются, например, компании, предлагающие услуги сотовой связи, осуществляющие видеомониторинг, предлагающие различные программы лояльности, а также организации, занимающиеся скорингом. Организации, которые собирают персональные данные в больших объемах, — это банки, медицинские учреждения, сервисы поиска людей по фото, страховые компании, организации, собирающие биометрические данные пользователей.

Организация собирает данные, которые относятся к категории «особых». Это информация о расовой, этнической и национальной принадлежности лиц, сведения о здоровье лиц и их сексуальной ориентации, биометрические и генетические данные лиц. Также в данную категорию входят организации, которые обрабатывают данные лиц о религиозных взглядах, политических убеждениях и членстве в партии. К перечисленным организациям относятся, например, профсоюзы, медучреждения, лаборатории и т.д.

Организация собирает данные, связанные с уголовными преступлениями лиц, а также сведения о судимости. К этой категории относятся среди прочих организации, занимающиеся автострахованием, детективные агентства.

Следует отметить, что даже в том случае, если организация не относится к вышеуказанным категориям, директор по защите данных все равно может быть назначен добровольно, в частности, с целью повышения доверия к компании, защиты репутации, а также для сведения к минимуму рисков, связанных с возможной утечкой данных и ненадлежащей обработкой.

 

Свободная вакансия

Кто может занять должность DPO? Часто у организаций возникает вопрос: можно ли в качестве директора по защите данных назначить своего же сотрудника? Надо сказать, что Регламент не устанавливает четкого перечня квалификаций, которыми должен обладать DPO. Закон в целом гласит, что данное лицо должно обладать достаточным набором навыков в сфере вашей бизнес-деятельности, а также ориентироваться в положениях GDPR. Если в качестве DPO назначен сотрудник вашего предприятия, то его обязанности не должны пересекаться с обязанностями, которые он исполняет на основной должности. Иными словами, между функциями сотрудника на посту DPO и его функциями как специалиста не должно быть конфликта интересов.

Также ответственным по вопросам защиты данных не может быть лицо, занимающее в компании руководящую должность.

Во избежание проблем организация может обратиться к третьему лицу для назначения его на должность Data Protection Officer. Как правило, ряд компаний предлагает такого рода услуги на основании договора об оказании услуг, то есть сохраняется опция найма DPO на аутсорсинге.

В случае если речь идет о группе компаний, одного директора по защите данных будет достаточно для всех юридических лиц.

Помимо прочего DPO отведена немаловажная роль в процедуре Data Protection Impact Assessment (DPIA), или оценки воздействия на защиту данных. Она проводится организацией в том случае, если тип, методы и цели обработки персональных данных граждан, которые она использует, способны привести к высоким рискам для таких лиц. Оценку проводит контролер как один из субъектов Регламента. Однако именно директор по защите данных определяет необходимость проведения такой оценки. Он также устанавливает методы проведения процедуры, целесообразность проведения оценки внутри компании или передачи полномочий по проведению DPIA третьим лицам (на аутсорс). DPO предоставляет и рекомендации относительно мер обеспечения сохранности персональных данных лиц и дает заключение о правильности проведения DPIA. После проведения оценки в случае разногласий между контролером и DPO факт и причины таких разногласий должны быть закреплены в соответствующей документации (DPIA-отчетность).

 

Последствия

Следует сказать, что несоблюдение обязанности по назначению DPO ведет к крупным штрафам. Регламент предписывает серьезные суммы, на которые может «попасть» компания в случае несоблюдения норм GDPR. Закон определяет два вида штрафов в зависимости от степени сложности нарушения: 10 млн евро, или 2 % от суммы годового оборота компании, либо 20 млн евро, или 4 % от годового оборота (в зависимости от того, какая сумма окажется больше).

Напоследок необходимо сделать важное уточнение: GDPR защищает права не только граждан ЕС, но и в целом жителей Евросоюза. В этом, пожалуй, основное отличие европейского подхода в сфере защиты данных от американского. США защищает права исключительно своих граждан. Поэтому при обработке персональных данных лиц обращайте внимание не только на гражданство, но и на резидентство своих клиентов.

 

НЕМЧИНОВА Кристина — партнер-основатель Brightman Fintech Law Firm, г. Киев


Мнения

Независимый эксперт

Алексей СТОЛЯРЕНКО, старший юрист МЮФ Baker McKenzie

Назначать DPO нужно далеко не всем компаниям. В основном такая должность или даже подразделение необходимы в случае, если компания занимается систематическим и регулярным мониторингом физических лиц или обрабатывает в больших объемах специальные категории данных либо данные об уголовных правонарушениях и приговорах. Не стоит также забывать об отдельном обязательстве для украинских компаний назначать DPO в соответствии с украинским законодательством в случае обработки специальных категорий данных.

Важно помнить, что в случае, если у компании нет необходимости назначать DPO, но его назначили, то такой DPO обязан отвечать всем соответствующим требованиям: должен быть независимым, выступать экспертом в защите персональных данных, иметь адекватные ресурсы для мониторинга, контроля над обработкой персональных данных в компании, предоставления консультаций и координации деятельности по защите персональных данных с соответствующим ведомством. DPO могут назначить из числа действующих сотрудников или нанять как внешнего консультанта, и он обязан отчитываться руководителям высшего звена компании.

 

Взаимодействие США и ЕС

Алена БЕРНАЗ, старший юрист ЮКК «Де-Юре», адвокат

В случае несоблюдения GDPR существует риск штрафов в размере 20 млн евро или 4 % от годового оборота нарушителя для глобальных компаний, и это зависит от того, какая сумма будет больше.

За нарушения процедуры получения согласия на хранение и обработку персональных данных несовершеннолетних и за несоблюдение технических норм работы с персональными данными — штраф 10 млн евро или 2 % годового дохода компании.

США с ЕС подписали The EU-US Privacy Shield — эти положения защищают основные права любого человека в ЕС, личные данные которого передаются в США в коммерческих целях. Компания должна заявить о себе как об обработчике данных и получить сертификат. В случае нарушения прав граждан ЕС компании могут лишиться сертификата, и в последующем жалоба может рассматриваться в арбитраже о взыскании ущерба.

 

Поделиться

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Подписывайтесь на «Юридическую практику» в Facebook, Telegram, Linkedin и YouTube.

0 Comments
Встроенные отзывы
Посмотреть все комментарии
Slider

Содержание

VOX POPULI

Самое важное

Домашний подопечный

Акцент

Специально для ВАС

Государство и юристы

Капитальный ремонт

Бес цензуры

Государство и юристы

Новости из-за рубежа

В ЕС анонсировали новые правила предоставления гражданства

Суд ЕС озвучил позицию насчет использования фотографий, найденных в интернете

Государство и юристы

Люди высокого остатка

Оценить участок

Документы и аналитика

С цепью защиты

Конспект

СМИрный договор

Новости законотворчества

Судебная практика

Предложен алгоритм решения проблемы задолженности по решениям судов

Инициирован проект закона об общественном контроле за деятельностью органов власти

В законодательстве может появиться новый термин — «политическая коррупция»

Новости из Евросуда

Отрасли практики

Отсутствие реального исполнения судебного решения о визитах к ребенку нарушает статью 8 Конвенции

Вызов в суд посредством общественного уведомления может быть недостаточным для обеспечения права на справедливый суд

Новости из зала суда

Судебная практика

Верховный Суд встал на сторону ВККС в споре с судьей, который не прошел квалификационное оценивание

Верховный Суд высказался по поводу назначения дополнительного срока для принятия наследства

Новости юридических фирм

Частная практика

Адвокат Елизавета Герасименко назначена на должность в Администрацию Президента Украины

CMS предоставила юридические консультации в связи с инвестированием в солнечные электростанции

Юрфирмы Asters и «ЕПАП Украина» анонсировали объединение

Interlegal сопроводил взыскание долга

ЮФ Aequo защитила интересы телевизионных производственных компаний группы «Пилот»

МЮФ DLA Piper консультирует Pegasus Aviation VI по вопросу лизинга самолета Boeing компании Azur Air Ukraine

Отрасли практики

Пересеченная уместность

Выходное пособие

Реформенный беспорядок

Переходные положения

Явный вред

Данные свыше

Рабочий график

Карта событий

Самое важное

В высшей степени

Аргументы по факту

Судебные требования

Судебная практика

По секрету всему Совету

Портовые споры

Тема номера

Злоключения эксперта

Бесполезная модель

Исправить ОПИСку

Трибуна

Нивелирная работа

Частная практика

Творческое объединение

Другие новости

PRAVO.UA

0
Оставить комментарийx
()
x

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: