Генеральный партнер 2020 года

Издательство ЮРИДИЧЕСКАЯ ПРАКТИКА
Главная » Выпуск №38 (1082) » GDPR-активность

GDPR-активность

Рубрика Тема номера
Если бизнес нацелен на экспансию, проверка на соответствие GDPR должна происходить по всем направлениям, подчеркивают юристы Henkel Ольга Лукьянова и Иванна Олещенко

Одной из новых тем в комплаенсе является приведение бизнеса в соответствие с требованиями GDPR.
Как все происходит на практике, рассказали юристы Henkel Ольга ЛУКЬЯНОВА (справа) и Иванна ОЛЕЩЕНКО

25 мая с.г вступил в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR), который унифицирует оборот персональных данных в ЕС. Особенностью этого акта является его экстерриториальное действие. О влиянии GDPR на украинский бизнес,  тенденциях в сфере комплаенса, алгоритмах проведения комплаенс-проверки и опыте внедрения политик в сфере защиты персональных данных «Юридической практике» рассказали Ольга Лукьянова, руководитель юридического отдела, офицер по соблюдению корпоративных стандартов группы компаний «Хенкель в Украине», и Иванна Олещенко, юрисконсульт группы компаний «Хенкель в Украине».

— Сейчас, когда комплаенс стал по сути must have для бизнеса, соответствующие функции чаще выделяются в отдельное направление или по-прежнему интегрированы с юридической службой?

Ольга Лукьянова (О.Л.): По-прежнему возможны оба варианта. Все зависит от потребностей конкретной компании. Если есть необходимость глубокого анализа внутренних процессов и разработки политик или сам бизнес относится к рисковой зоне, есть смысл назначать отдельных комплаенс-офицеров, которые не будут отвлекаться на выполнение других задач. Для более устоявшегося бизнеса, где все политики разработаны и действуют, поддержание функции комплаенса зачастую поручается юристам. Именно такая модель принята в нашей компании. Еще на этапе становления комплаенс-функции она была поручена юрслужбам, и, как правило, все руководители юрдепартаментов в отдельных государствах стали комплаенс-офицерами.

 

— Если говорить об Украине, то какие вопросы формируют у нас повестку дня комплаенс-офицера?

О.Л.: Это могут быть совершенно разные вопросы, начиная от трудовых взаимоотношений до взаимодействия с госорганами. Это любой вопрос, который может привести к репутационным или финансовым потерям для бизнеса.

 

— Появляются ли новые зоны риска?

О.Л.: Да. Так, одной из новых тем в комплаенсе является приведение бизнеса в соответствие с требованиями GDPR (Регламент). На стадии разработки соответствующих политик этим занимались юристы во взаимодействии с HR и бизнес-подразделениями. Контролировать оборот персональных данных в компании — это не совсем юридическая функция.

 

— Насколько требования GDPR применимы к Украине, украинским компаниям, украинским подразделениям глобальных корпораций?

Иванна Олещенко (И.О.): Требования Регламента применяются к украинским компаниям в тех случаях, когда украинская компания осуществляет обработку персональных данных физического лица, пребывающего на территории Европейского Союза. Это может быть как гражданин ЕС, так и гражданин другого государства. Но если его персональные данные переданы в Украину из ЕС и каким-либо образом здесь обрабатываются, права такого лица защищены положениями GDPR. Это, например, могут быть лица, которые от имени иностранных компаний подписывают с нами договоры, или лица, которые посещают наши украинские сайты, находясь на территории ЕС. Во всех этих случаях мы должны соблюдать их права, как это прописано в GDPR.

Отдельный вопрос касается бенифициарных собственников — по закону информация о конечных бенефициарных собственниках должна вноситься в соответствующий Единый госреестр. У таких глобальных международных компаний, как наша, бенефициарами в основном выступают иностранцы, в нашем случае — граждане ЕС, проживающие там. Их персональные данные, внесенные в реестр, также попадают под защиту GDPR. Или возьмем, к примеру, доверенности, которые руководство центрального офиса фирмы выдает на совершение определенных действий в Украине. В них тоже содержатся персональные данные.

О.Л.: Экстерриториальный характер GDPR вскрыл многие неочевидные ситуации, на которые распространяется его действие. Даже если отойти от того, что «Хенкель Украина» — представительство европейской корпорации, все мы достаточно активно «мигрируем», и эта «миграция», в первую очередь в интернете, как раз и касается обработки персональных данных. Поэтому нужно быть готовым к тому, что и к нам могут быть применены штрафные санкции за неисполнение требований GDPR.

 

— Какая именно ответственность предусмотрена за нарушения?

И.О.: Регламентом предусмотрена возможность применения к компании штрафных санкций в размере до 4 % от ее мирового оборота за предыдущий финансовый год. Причем если в стране не предусмотрен специальный орган, который обеспечивает проверку соблюдения требований GDPR, как в Украине, то соответствующая служба придет в штаб-квартиру.

 

— Что собой представляет комплаенс-аудит в сфере data protection?

О.Л.: У нас уже был один такой аудит. Не скажу, где именно, — это коммерческая тайна. Он показал достаточно высокую готовность компании к исполнению данного Регламента. Но следует помнить, что в каждой стране помимо GDPR есть свое локальное законодательство (самой «продвинутой» оказалась Болгария), и его требования могут в некоторых нюансах отличаться.

В ходе комплаенс-аудита проверяется, как данные обрабатываются, как они хранятся, как уничтожаются, кто имеет к ним доступ, как исполняется запрос лица в отношении его персональных данных. Возьмем обычный пример — подачу резюме при трудоустройстве. Мы отправляем свои персональные данные, чтобы получить работу. И это резюме какое-то время находится в компании и обрабатывается, при этом там указана очень сенситивная информация, которая может быть использована по-разному. Следовательно, соискатель имеет право знать, как соответствующие данные будут обрабатываться, сколько времени будут храниться и что с ними произойдет, если его пригласят на работу или, наоборот, откажут.

И.О.: В компании должна быть политика, регулирующая процедуры, согласно которым происходит получение, обработка и уничтожение персональных данных. Кроме того, в каждой компании должна быть база данных всех систем, где хранятся персональные данные. Должно быть указано, с какой целью собираются данные, как долго они будут храниться и т.д. Все должно быть направлено на то, чтобы лишняя информация своевременно удалялась, чтобы никто со стороны не имел возможности ею воспользоваться.

О.Л.: У Иванны в этом году была командировка в Европу, и она имела возможность наблюдать, как происходила финальная подготовка к внедрению GDPR. Там был действительно огромный объем информации, которую необходимо было привести в порядок. Это в том числе позволило структурировать процессы использования информации в компании. В целом к дедлайну компания подошла достаточно подготовленной.

 

— Политики, о которых вы говорите, универсальны для всех юрисдикций или есть национальные отличия, особенно в странах, не входящих в ЕС?

О.Л.:  Первая волна касалась государств — членов ЕС. Украина находится во второй волне стран, которые наиболее часто пересекаются с Европой. Ожидаем, что вскоре будет выработан общий подход. Глобальные политики есть, а локальные как раз должны учитывать требования местного законодательства. Несмотря на то что Европа едина, специфика в отношении стран сохраняется.

 

— На что следует обращать внимание при внедрении политик, касающихся data protection?

О.Л.: Проблемы могут возникнуть там, где их меньше всего ждешь. Даже если компания не работает с европейскими контрагентами, на ее сайт могут заходить пользователи из ЕС — это по сути презюмируется, если сайт мультиязычный. Соответственно уже в момент входа на сайт пользователя следует предупредить о том, что будет происходить с его персональными данными. И это актуально для всех, нельзя сказать, что в этом аспекте GDPR на кого-то не распространяется. Также нужно обращать внимание на суть подписываемых договоров, ведь возможны ситуации, когда с европейцами работают ваши подрядчики, — и это зона потенциальных рисков. Если бизнес нацелен на экспансию, проверка на соответствие GDPR должна происходить по всем направлениям.

Мы живем в глобальном мире, и он становится все теснее. Появляется все больше экстерриториального законодательства — GDPR, FCPA, UK Bribery Act, и рано или поздно это окажет влияние на национальное законодательство.

 

— Насколько профильное украинское законодательство корреспондируется с GDPR?

И.О.: У нас есть Закон Украины «О защите персональных данных», который уже достаточно устарел. По сравнению с Регламентом он очень краток и очень обобщен. Основные положения и определения похожи. Основным отличием я бы назвала то, что Регламент устанавливает четкие процедуры, по которым информация может получаться, как она может обрабатываться, как она должна храниться и удаляться. Такая детализированная схема работы украинским законом не предусмотрена. Да и ответственность установлена очень общая — «в соответствии с законодательством Украины». У нас есть определенные нормы в Уголовном кодексе Украины и Кодексе Украины об административных правонарушениях, но они касаются в основном распространения конфиденциальной информации. Все остальное — админответственность с санкциями, несопоставимыми с европейскими. Евросоюз постарался максимально защитить права физических лиц.

О.Л.: На самом деле глобального нового ничего не нужно, в Украине было бы достаточно внести изменения в существующий закон, установить ответственность и предусмотреть механизмы реализации законодательных предписаний.

 

(Беседовал Алексей НАСАДЮК,

«Юридическая практика»)­

 

Поделиться

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Подписывайтесь на «Юридическую практику» в Facebook, Telegram, Linkedin и YouTube.

1 Комментарий
Встроенные отзывы
Посмотреть все комментарии
Anton Rosenko

Спасибо за материал. Интересно, а необходимо ли привлекать офицера по защите данных, если моя компания в Украине? Я до сих пор не могу понять, это должен быть отдельный человек или я сам, как директор, могу выполнять его функции.Много разной информации есть. ребята здесь https://bsoprivacygroup.com/node/31 пишут что не могу, другие ресурсы пишут что могу. Кому верить?))

Slider

Содержание

VOX POPULI

Самое важное

Безучастный ВАС

Акцент

Статус обновлен

Государство и юристы

Новости законотворчества

Совершение нотариальных действий предлагают снимать на видео

Для военнослужащих предлагают новое приветствие

Государство и юристы

Новости из Евросуда

Режим массового перехвата сообщений не нарушает норм Конвенции, но должен соответствовать критериям прецедентной практики ЕСПЧ

Государство и юристы

Девятой вал

Самострой

Государство и юристы

Новости законотворчества

Порядок возмещения вреда, причиненного правоохранителями или судом, предлагают адаптировать к практике ЕСПЧ

Государство и юристы

Новости из-за рубежа

Суд Европейского Союза признал необоснованным увольнение католического врача за развод

Государство и юристы

Новости из Евросуда

Нереализация общественного проекта нарушает права собственников экспроприированного имущества

Государство и юристы

Новости из-за рубежа

Суды Китая будут принимать к рассмотрению данные в блокчейне

Государство и юристы

Свернуть на право

Конспект

Болевой характер

Ария спасения

Новости из зала суда

Судебная практика

Определяющим признаком дела админюрисдикции является его суть — ВС

Суд стал на сторону физлица в споре об исполнительной надписи нотариуса

Новости юридических фирм

Частная практика

В ЮА «Абсолют» создан международный департамент

ЮФ Sayenko Kharenko оказывает поддержку Safege-Suez Consulting в достижении договоренности с украинским госорганом в рамках финансируемого Всемирным банком проекта по оказанию консультационных услуг

ЮФ «Ильяшев и Партнеры» защищает интересы украинского госпредприятия в России

Interlegal защитил интересы клиента в процессе обжалования решения МКАС при ТПП Украины

ЮФ Asters выступает национальным юридическим советником Украины в споре с Россией по еврооблигациям

Отрасли практики

Место пресечения

Алиментарный механизм

Подозрительное дело

Рабочий график

Карта событий

Репортаж

Острая роль

Самое важное

Настроиться на частоту

Миноритарии в ауте

Комплексное задание

Отчетный ход

Судебная практика

Судебные решения

Исковая давность не распространяется на требования о возврате депозитов

Судебная практика

Дефекты фикции

Понять планку

Отменная норма

Последствия завершения урегулирования

Тема номера

Ролевой прием

Решить с трудом

Профилактический осмотр

Этические мотивы

GDPR-активность

Дефицит кадров

Включить программу

Частная практика

Дальний свет

Другие новости

PRAVO.UA

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: