Персональные данные являются мише­нью для злоумышленников во всем мире. Так, в 2015 году оператор мобильной связи T-Mobile стал жертвой хакерской атаки, вследствие чего произошла утечка персо- нальныхданных 15 миллионов пользовате­лей, а к компании было предъявлено мно­жество исков. Этот пример демонстрирует важность защиты персональных данных в современном мире.

Право на защиту персональных данных признается одним из основополагающих прав человека, составляющей права на ува­жение к частной жизни. И государствен­ные органы, и частные компании обязаны внедрять внутренние процедуры по защите персональных данных в соответствии с требованиями законодательства.

 

Права человека

Хранение персональных данных явля­ется вмешательством в частную жизнь. Право на уважение к частной жизни гаран­тируется статьей 8 Конвенции о защите прав человека и основоположных свобод (Конвенция). Хранение данных о частной жизни должно соответствовать требо­ваниям пункта 2 статьи 8 Конвенции, а именно: предусматриваться законом, преследовать законную цель, быть необхо­димым в демократическом обществе.

Конвенция не содержит детального регулирования сферы защиты персональ­ных данных. В связи с этим еще в конце 70-х годов прошлого века некоторые европейские страны (например, Фран­ция, ФРГ) приняли отдельные акты в этой сфере. В рамках Совета Европы этот вопрос был урегулирован Конвенцией о защите физических лиц при автоматизи­рованной обработке персональных данных от 28 января 1981 года № 108 (Конвенция об обработке данных), которая определяет персональные данные как любую инфор­мацию об определенном или поддающемся определению физическом лице (субъекте данных). Согласно Конвенции об обра­ботке данных, автоматическая обработка данных должна быть законной и пресле­довать определенную и законную цель. му лицу гарантируется право в разумные сроки получить информацию из автоматизированной базы об объеме данных о нем.

 

В гармонии с ЕС

Закон Украины «О защите персональ­ных данных» от 1 июня 2010 года (Закон) не только имплементировал требования Конвенции об обработке данных, ратифи­цированной Украиной 6 июля 2010 года, но и учел нормы Директивы Европейского парламента и Совета 95/46/ЕС «О защите физических лиц при обработке персональ­ных данных и о свободном обращении таких данных» от 24 октября 1995 года (Директива). Ключевым требованием Директивы стала необходимость получе­ния от лица согласия на обработку персо­нальных данных и обязанность контролера данных (лицо, которое определяет цели и средства обработки данных) уведомлять уполномоченный орган об автоматизиро­ванной обработке персональных данных. Например, на сегодня Закон обязывает уведомлять Уполномоченного Верховного Совета Украины по правам человека об обработке персональных данных, пред­ставляющих особый риск для защиты прав и свобод человека.

И Директива, и Конвенция об обра­ботке данных разрешают передачу пер­сональных данных в третью страну, если такая страна гарантирует адекватный уровень их защиты. Это требование спо­собствует имплементации высоких стан­дартов по защите персональных данных за пределами ЕС. К примеру, в 2006 году Швейцария дополнила закон о защите персональных данных в соответствии с Директивой.

 

Новые правила

В апреле 2016 года в ЕС были приняты Общие правила защиты данных («General Data Protection Regulation», далее — Правила ЕС). Правила ЕС вступят в силу 25 мая 2018 года, заменив Директиву.

Правила ЕС основываются на оценке рисков. Следовательно, к большим кор­порациям требования будут выше, чем к малому и среднему бизнесу. К примеру, не весь малый и средний бизнес, а только тот, чья деятельность представляет опасность для защиты персональных данных (напри­мер, рекрутинговые агентства), будет обя­зан назначать ответственного по защите персональных данных («Data Protection Officer»). Также в маленьких компаниях функция ответственного по защите персональных данных по оценке рисков может быть передана на аутсорсинг.

Правила ЕС упразднят требование уведомлять уполномоченный орган об обработке персональных данных. Вза­мен появится обязательство сообщать о нарушениях в данной сфере. В этой связи для компании станет актуальным вопрос, как наладить процедуру эффективного выявления нарушения и оперативного уведомления о нем.

 

За пределами ЕС

Компания, которая находится за пределами ЕС, но предлагает свои товары/услуги или исследует поведение субъектов персональных данных в ЕС, подпадает под действие Правил ЕС. К примеру, деятельность украинского интернет-магазина, который предлагает товары в ЕС, будет  регулироваться Правилами ЕС. Следовательно, компания должна будет назначить представителя в одном из государств ЕС.

Контролеров персональных данных обяжут внедрить внутренние политики по защите персональных данных, в то время как операторов обработки данных (лиц, которые от имени контролера обрабатывают данные) — принять меры техниче­ского и организационного характера для обеспечения соответствия обработки пер­сональных данных Правилам ЕС, а также сообщать о нарушениях.

Некоторые контролеры и операторы обработки данных должны будут назначить ответственного по защите персональных данных, который будет следить за выпол­нением требований Правил ЕС и нацио­нального законодательства, разъяснять требования сотрудникам компании, кон­тактировать с контролирующим органом и субъектами персональных данных.

Правила ЕС в первую очередь затронут украинские компании, ориентированные на рынок ЕС. Таким компаниям рекомен­дуется пересмотреть свои процедуры по защите персональных данных и привести их в соответствие с европейским законо­дательством. Уже сейчас стоит задуматься о том, чтобы внедрить политику компании по защите персональных данных. В такой документцелесообразно включить описание процедур по защите персональных данных, урегулировать вопросы взаимодействия с контрагентами и третьими лицами, а также сбора, использования и хранения персо­нальных данных. Дополнительно следует определить процедуры контроля за соблю­дением политики, распределить функции и скоординировать деятельность по защите персональных данных между комплаенс-, IT- и бизнес-подразделениями компании.

 

Цена вопроса

Актуальность перечисленных мер для компаний, так или иначе представленных на рынке ЕС, вызвана тем, что Правила ЕС ужесточают ответственность за нарушения, связанные с персональными данными: штрафы могут быть до 4 % от годового оборота группы. Необходимо помнить и о том, что следование формальному подходу может также дорого стоить компаниям на Украине, поскольку Правила ЕС обяжут осуществлять регулярные обновления и мониторинг. Остальным компаниям не стоит забывать о защите персональных данных, поскольку в процессе гармони­зации законодательства, вероятно, уже в недалеком будущем, соответствующие изменения будут внесены и в националь­ное законодательство.

 

ХЕРУВИМОВА Татьяна — руководи­тель практики корпоративного комплаенса «КПМГ-Украина», г. Киев,

ДЕМЦЬО Иван — юрист практики кор­поративного комплаенса «КПМГ-Украина», г. Киев

 

---

Комментарии

 

Право на забвение

Елена КУЧИНСКАЯ,

управляющий юрист ЮФ Kinstellar

В апреле 2016 года в Европейском Союзе был принят новый пакет правил, регу­лирующих защиту персональных дан­ных. В дополнение к существующим фундаментальным прин­ципам и требованиям эти правила вводят новые обязательства для бизнеса, которые, в частности, касаются обеспечения защиты личной жизни при обработке персональ­ных данных.

Так, кроме получения осознанного согласия физического лица на сбор и обработку персональных данных, компания, собирающая такие данные, должна уве­домить лицо о законных интересах, кото­рые она преследует, собирая данные, и о сроке, в течение которого данные будут обрабатываться. Физическое лицо имеет так называемое право на забвение и может потребовать прекращения использования и удаления его персональных данных в случае, в частности, если изначальная цель обработки данных больше не актуальна или такая обработка стала незаконной.

Новые правила вступят в силу через два года и имеют экстратерриториальный эффект. Они будут прямо применяться к обработке персональных данных, осуще­ствляемой на территории ЕС или вне ЕС, например, если данные касаются лиц, проживающих в ЕС, и собираются для предложения им товаров или услуг.

 

Единые стандарты

Мария КОВАЛЬ,

адвокат ЮФ «Ильяшев и Партнеры»

Принятый ЕС Рег­ламент 2016/679 пре­дусматривает теперь единые стандарты ддя всех членов ЕС в отношении обработки персональныхданных. В Регламенте — несколько очень важных новых положений в отношении защиты пер­сональныхданных: во-первых, это «право на забвение», во-вторых, установление ответст­венности всех лиц, обрабатывающих персо­нальные данные граждан ЕС, и, в-третьих, право субъектов требовать выплату компен­сации от обработчикаданных.

В связи с установлением ответственно­сти для всех лиц, которые могут быть свя­заны с обработкой персональных данных, многим организациям придется серьезно пересматривать свои контракты для пре­дотвращения утечки информации.

Обязанность полностью компенси­ровать субъекту персональных данных любой ущерб, который он мог понести в результате обработки своих данных, предусматривается при наличии вины. Ответственность за причинение ущерба при этом несет любой регулятор, вовле­ченный в обработку персональных данных. Толкование ущерба Регламент возлагает на прецедентное право Суда справедливости.

Новеллы, бесспорно, должны серьезно усилить защиту персональныхданных гра­ждан ЕС и их использование.