Персональные данные являются мишенью для злоумышленников во всем мире. Так, в 2015 году оператор мобильной связи T-Mobile стал жертвой хакерской атаки, вследствие чего произошла утечка персо- нальныхданных 15 миллионов пользователей, а к компании было предъявлено множество исков. Этот пример демонстрирует важность защиты персональных данных в современном мире.
Право на защиту персональных данных признается одним из основополагающих прав человека, составляющей права на уважение к частной жизни. И государственные органы, и частные компании обязаны внедрять внутренние процедуры по защите персональных данных в соответствии с требованиями законодательства.
Права человека
Хранение персональных данных является вмешательством в частную жизнь. Право на уважение к частной жизни гарантируется статьей 8 Конвенции о защите прав человека и основоположных свобод (Конвенция). Хранение данных о частной жизни должно соответствовать требованиям пункта 2 статьи 8 Конвенции, а именно: предусматриваться законом, преследовать законную цель, быть необходимым в демократическом обществе.
Конвенция не содержит детального регулирования сферы защиты персональных данных. В связи с этим еще в конце 70-х годов прошлого века некоторые европейские страны (например, Франция, ФРГ) приняли отдельные акты в этой сфере. В рамках Совета Европы этот вопрос был урегулирован Конвенцией о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года № 108 (Конвенция об обработке данных), которая определяет персональные данные как любую информацию об определенном или поддающемся определению физическом лице (субъекте данных). Согласно Конвенции об обработке данных, автоматическая обработка данных должна быть законной и преследовать определенную и законную цель. му лицу гарантируется право в разумные сроки получить информацию из автоматизированной базы об объеме данных о нем.
В гармонии с ЕС
Закон Украины «О защите персональных данных» от 1 июня 2010 года (Закон) не только имплементировал требования Конвенции об обработке данных, ратифицированной Украиной 6 июля 2010 года, но и учел нормы Директивы Европейского парламента и Совета 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» от 24 октября 1995 года (Директива). Ключевым требованием Директивы стала необходимость получения от лица согласия на обработку персональных данных и обязанность контролера данных (лицо, которое определяет цели и средства обработки данных) уведомлять уполномоченный орган об автоматизированной обработке персональных данных. Например, на сегодня Закон обязывает уведомлять Уполномоченного Верховного Совета Украины по правам человека об обработке персональных данных, представляющих особый риск для защиты прав и свобод человека.
И Директива, и Конвенция об обработке данных разрешают передачу персональных данных в третью страну, если такая страна гарантирует адекватный уровень их защиты. Это требование способствует имплементации высоких стандартов по защите персональных данных за пределами ЕС. К примеру, в 2006 году Швейцария дополнила закон о защите персональных данных в соответствии с Директивой.
Новые правила
В апреле 2016 года в ЕС были приняты Общие правила защиты данных («General Data Protection Regulation», далее — Правила ЕС). Правила ЕС вступят в силу 25 мая 2018 года, заменив Директиву.
Правила ЕС основываются на оценке рисков. Следовательно, к большим корпорациям требования будут выше, чем к малому и среднему бизнесу. К примеру, не весь малый и средний бизнес, а только тот, чья деятельность представляет опасность для защиты персональных данных (например, рекрутинговые агентства), будет обязан назначать ответственного по защите персональных данных («Data Protection Officer»). Также в маленьких компаниях функция ответственного по защите персональных данных по оценке рисков может быть передана на аутсорсинг.
Правила ЕС упразднят требование уведомлять уполномоченный орган об обработке персональных данных. Взамен появится обязательство сообщать о нарушениях в данной сфере. В этой связи для компании станет актуальным вопрос, как наладить процедуру эффективного выявления нарушения и оперативного уведомления о нем.
За пределами ЕС
Компания, которая находится за пределами ЕС, но предлагает свои товары/услуги или исследует поведение субъектов персональных данных в ЕС, подпадает под действие Правил ЕС. К примеру, деятельность украинского интернет-магазина, который предлагает товары в ЕС, будет регулироваться Правилами ЕС. Следовательно, компания должна будет назначить представителя в одном из государств ЕС.
Контролеров персональных данных обяжут внедрить внутренние политики по защите персональных данных, в то время как операторов обработки данных (лиц, которые от имени контролера обрабатывают данные) — принять меры технического и организационного характера для обеспечения соответствия обработки персональных данных Правилам ЕС, а также сообщать о нарушениях.
Некоторые контролеры и операторы обработки данных должны будут назначить ответственного по защите персональных данных, который будет следить за выполнением требований Правил ЕС и национального законодательства, разъяснять требования сотрудникам компании, контактировать с контролирующим органом и субъектами персональных данных.
Правила ЕС в первую очередь затронут украинские компании, ориентированные на рынок ЕС. Таким компаниям рекомендуется пересмотреть свои процедуры по защите персональных данных и привести их в соответствие с европейским законодательством. Уже сейчас стоит задуматься о том, чтобы внедрить политику компании по защите персональных данных. В такой документцелесообразно включить описание процедур по защите персональных данных, урегулировать вопросы взаимодействия с контрагентами и третьими лицами, а также сбора, использования и хранения персональных данных. Дополнительно следует определить процедуры контроля за соблюдением политики, распределить функции и скоординировать деятельность по защите персональных данных между комплаенс-, IT- и бизнес-подразделениями компании.
Цена вопроса
Актуальность перечисленных мер для компаний, так или иначе представленных на рынке ЕС, вызвана тем, что Правила ЕС ужесточают ответственность за нарушения, связанные с персональными данными: штрафы могут быть до 4 % от годового оборота группы. Необходимо помнить и о том, что следование формальному подходу может также дорого стоить компаниям на Украине, поскольку Правила ЕС обяжут осуществлять регулярные обновления и мониторинг. Остальным компаниям не стоит забывать о защите персональных данных, поскольку в процессе гармонизации законодательства, вероятно, уже в недалеком будущем, соответствующие изменения будут внесены и в национальное законодательство.
ХЕРУВИМОВА Татьяна — руководитель практики корпоративного комплаенса «КПМГ-Украина», г. Киев,
ДЕМЦЬО Иван — юрист практики корпоративного комплаенса «КПМГ-Украина», г. Киев
Право на забвение
Елена КУЧИНСКАЯ,
управляющий юрист ЮФ Kinstellar
В апреле 2016 года в Европейском Союзе был принят новый пакет правил, регулирующих защиту персональных данных. В дополнение к существующим фундаментальным принципам и требованиям эти правила вводят новые обязательства для бизнеса, которые, в частности, касаются обеспечения защиты личной жизни при обработке персональных данных.
Так, кроме получения осознанного согласия физического лица на сбор и обработку персональных данных, компания, собирающая такие данные, должна уведомить лицо о законных интересах, которые она преследует, собирая данные, и о сроке, в течение которого данные будут обрабатываться. Физическое лицо имеет так называемое право на забвение и может потребовать прекращения использования и удаления его персональных данных в случае, в частности, если изначальная цель обработки данных больше не актуальна или такая обработка стала незаконной.
Новые правила вступят в силу через два года и имеют экстратерриториальный эффект. Они будут прямо применяться к обработке персональных данных, осуществляемой на территории ЕС или вне ЕС, например, если данные касаются лиц, проживающих в ЕС, и собираются для предложения им товаров или услуг.
Единые стандарты
Мария КОВАЛЬ,
адвокат ЮФ «Ильяшев и Партнеры»
Принятый ЕС Регламент 2016/679 предусматривает теперь единые стандарты ддя всех членов ЕС в отношении обработки персональныхданных. В Регламенте — несколько очень важных новых положений в отношении защиты персональныхданных: во-первых, это «право на забвение», во-вторых, установление ответственности всех лиц, обрабатывающих персональные данные граждан ЕС, и, в-третьих, право субъектов требовать выплату компенсации от обработчикаданных.
В связи с установлением ответственности для всех лиц, которые могут быть связаны с обработкой персональных данных, многим организациям придется серьезно пересматривать свои контракты для предотвращения утечки информации.
Обязанность полностью компенсировать субъекту персональных данных любой ущерб, который он мог понести в результате обработки своих данных, предусматривается при наличии вины. Ответственность за причинение ущерба при этом несет любой регулятор, вовлеченный в обработку персональных данных. Толкование ущерба Регламент возлагает на прецедентное право Суда справедливости.
Новеллы, бесспорно, должны серьезно усилить защиту персональныхданных граждан ЕС и их использование.
© Юридична практика, 1997-2024. Всі права захищені
Кількість адвокатських балів | Вартість |
---|---|
Відеокурс з адвокатської етики | 650 грн |
10 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 2200 грн |
16 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 3500 грн |
8 адвокатських балів (без адвокатської етики) | 1800 грн |
Щодо додаткової інформації
Email: [email protected]
Тел. +38 (050) 449-01-09
Пожалуйста, подождите…