Передача из Европы — PRAVO.UA
прапор_України
2024

Генеральний партнер 2024 року

Видавництво ЮРИДИЧНА ПРАКТИКА
Головна » Юридическая практика №52 » Передача из Европы

Передача из Европы

Положения общего регламента по защите данных вступили в силу с мая текущего года, однако множество вопросов относительно соблюдения европейских правил GDPR до сих пор остаются открытыми

Елена СЕМЕНИЙ

Специально для «Юридической практики»

В условиях стремительного развития технологий защита персональных данных занимает существенное место в жизни каждого из нас. К персональным данным относится любая информация, с помощью которой можно идентифицировать человека: имя и фамилия, номер телефона, адрес электронной почты, компания, в которой он работает, должность в компании, доход и банковская информация, история посещения страниц компании в сети интернет, IP-адрес.

Общие правила

С целью обеспечения защиты данных Европейским парламентом в 2015 году был разработан и утвержден Общий регламент по защите данных (General Data Protection Regulation — GDPR). GDPR — это общие правила по защите конфиденциальности персональных данных граждан стран ЕС, разработанные с целью повышения уровня защиты и предоставления гражданам ЕС более эффективных средств контроля над своими данными.

Положения Общего регламента по защите данных вступили в силу с мая текущего года, однако вопросы о том, кто является обязательным субъектом исполнения GDPR и как следует действовать компании для соблюдения GDPR, до сих пор остаются открытыми.

Отвечая на первый вопрос, следует указать, что в обязательном порядке положения GDPR должны соблюдать компании, (1) занимающиеся обработкой персональных данных резидентов и граждан ЕС, независимо от месторасположения компании; (2) обрабатывающие персональные данные граждан ЕС при реализации онлайнпродаж (например, авиакомпании, гостиницы, хостелы и др.), продающие свой товар либо услугу в мультилингвоформате и принимающие евро в качестве оплаты, осуществляющие доставку в страны ЕС и использующие таргетированную рекламу, нацеленную на граждан ЕС; (3) отслеживающие поведение граждан ЕС с целью обработки персональных данных для составления «социальных портретов», изучения и прогнозирования их потребительских вкусов.

При этом не стоит забывать, что в числе последствий несоблюдения норм GDPR следующие:

штраф в зависимости от масштаба нарушения (10 млн евро или 2 % годового дохода либо 20 млн евро или 4 % годового дохода);

ограничение доступа к сайтам стран ЕС;

потеря репутации компании на рынке в области защиты данных;

ухудшение бизнесотношений с партнерами и контрагентами на территории ЕС.

Обращаем особое внимание, что в добровольном порядке положения GDPR могут применять любые компании, предприятия, организации, учреждения с целью повышения своей репутации. Преимущества соблюдения компаниями норм GDPR таковы: по отношению к клиентам это способность защитить приватность пользователей, что в целом приводит к повышению конкурентоспособности компании; по отношению к контрагентам и партнерам — формирование качественных коммерческих и других отношений с партнерскими организациями на территории ЕС, что способствует увеличению репутации компании на международном рынке в области защиты данных, возможность расширения бизнеса и работы с европейскими клиентами.

Раскрывая второй вопрос, отметим, что по сравнению с первым, ответ на который в том или ином виде изложен в самом регламенте, в данном случае, если учитывать особенности бизнеса каждой компании, единственный правильный ответ отсутствует. Но есть общие универсальные юридические рекомендации относительно соблюдения положений о защите данных в соответствии с нормами GDPR.

Первоочередным шагом для компании должно стать проведение информационного аудита системы защиты персональных данных с целью установления оценки их конфиденциальности и выявления возможных рисков на предмет соответствия требованиям GDPR. Кроме того, компания должна проводить постоянный мониторинг, оценку, аудит своих текущих процессов, контроль использования персональных данных и изучать любые изменения процесса или отслеживать реализацию новых процессов для обеспечения конфиденциальности и защиты данных. Преимущество проведения текущего мониторинга деятельности компании заключается в возможности выявления уязвимых мест в области защиты конфиденциальности данных.

Следующий шаг — определение законных оснований для сбора и обработки персональных данных, в связи с чем необходимо точно определиться с целью сбора, обработки персональных данных, после чего установить наличие/отсутствие согласия клиента на сбор и обработку своих данных.

Важными для компании являются пересмотр и обновление политики, процедуры, стандартов и регламента по управлению персональными данными, а также процедуры получения и регистрации согласия субъекта персональных данных, стандартов конфиденциальности и обеспечения безопасностью.

Рекомендуется разработать и внедрить необходимые меры по защите персональных данных, процедуры обнаружения, политику реагирования и расследования инцидентов, вызванных нарушением безопасности компании и утечкой персональных данных.

Ответственные лица

Для обеспечения деятельности компании целесообразно назначить лицо, ответственное за сохранение персональных данных, определив его место в структуре компании и механизмах управления. На данную должность может быть назначен как сотрудник компании, так и внештатный специалист на основании договора об оказании услуг. Следует также определиться, необходимо ли назначать комиссара по вопросам защиты персональных данных (Data protection officer). Отсутствие в компании ответственного сотрудника послужит негативным фактором в случае выявления инцидента, связанного с обработкой персональных данных, при принятии решения о наложении штрафа.

Обучение сотрудников принципам GDPR и введение культуры бережного отношения к конфиденциальности персональных данных каждого человека также играют немаловажную роль, и пренебрегать этим не стоит. Каждый сотрудник, руководитель, менеджер и исполнительный директор должен понимать, как работать в соответствии с GDPR и почему соблюдение данного регламента жизненно важно для успеха компании.

Кроме того, рекомендуем проанализировать возможные риски при передаче персональных данных третьим сторонам/в другие страны. Важным аспектом является ведение компанией деятельности с надежными партнерами, которые могут обеспечить сохранность данных, в связи с чем компания должна провести оценку политик и процедур защиты данных, осуществляемых сторонними подрядчиками или партнерами.

Также желательно внедрить систему обработки запросов субъектов персональных данных, чтобы обеспечить механизм подачи и обработки запросов от субъектов персональных данных, которые могут быть направлены с целью реализации их прав, например, на исправление, ограничение обработки персональных данных, доступ к своим данным для проверки их точности, удаление всех своих персональных данных (право на забвение). Субъекту персональных данных должна быть предоставлена возможность направления запросов электронным способом. Компания, получающая соответствующий запрос от субъекта, обязана ответить на него в течение одного месяца (либо двух месяцев — в зависимости от сложности и количества запросов).

Следует еще раз обратить внимание на то, что указанный перечень рекомендаций не является исчерпывающим, а лишь обращает внимание на основные моменты, которые компаниям следует учитывать в своей деятельности для соблюдения требований по защите персональных данных в соответствии с нормами GDPR.

СЕМЕНИЙ Елена юрист QUANTUM ATTORNEYS, гКиев

Поділитися

Підписуйтесь на «Юридичну практику» в Facebook, Telegram, Linkedin та YouTube.

Баннер_на_сайт_тип_1
YPpicnic600x900
баннер_600_90px_2
2024
tg-10
Legal High School

Інші новини

PRAVO.UA