Генеральный партнер 2020 года

Издательство ЮРИДИЧЕСКАЯ ПРАКТИКА

Защитное средство

Рубрика Тема номера
Елена Семений: «Способность компании защитить персональные данные пользователей повышает ее конкурентоспособность, улучшает репутацию и расширяет возможности сотрудничества с европейскими партнерами»

Мы живем в информационную эпоху, когда драйверами экономического развития становятся ІТ-технологии, а представить жизнь без интернета и социальных сетей практически невозможно. Миграция бизнеса во Всемирную паутину породила проблему сбора и хранения персональных данных, и эта проблема становится еще более актуальной в связи со вступлением в силу в 2018 году Общего регламента ЕС о защите данных — GDPR (Регламент), который, среди прочего, регулирует вопросы защиты конфиденциальности персональных данных пользователей Европейского Союза. О том, как повлияет этот документ на работу украинского бизнеса, мы говорили с Еленой Семений, адвокатом, юристом QUANTUM ATTORNEYS, к.ю.н.

 

— Почему вопрос защиты персональных данных приобрел такое значение? И какие данные можно считать персональными?

— На самом деле исчерпывающего перечня информации, которая относится к персональным данным, не существует, поэтому персональными данными считается любая информация, с помощью которой можно идентифицировать человека: начиная от имени, отчества и заканчивая данными о состоянии здоровья. И вся эта информация подлежит защите. Актуальность защиты персональных данных обусловлена неоднократными попытками незаконного использования персональных данных и даже их хищения с целью последующей продажи. Поэтому Евросоюз и мировое сообщество в целом (ведь аналогичные нормативные акты об управлении данными существуют в большинстве развитых стран) пришли к пониманию необходимости защиты конфиденциальности персональных данных.

 

— В чем заключается роль Общего регламента о защите данных?

— GDPR устанавливает набор ключевых принципов «управления» данными (сбор, обработку, хранение, использование, удаление, передача третьим лицам). Важными среди таких принципов являются управление персональными данными в рамках конкретной цели и ограничение срока хранения персональных данных. Документ представляет собой акт Европейского Союза и в первую очередь направлен на защиту интересов пользователей ЕС. Однако его действие не ограничивается территорией Евросоюза, поэтому любой субъект, любая компания, которая тем или иным образом собирает, обрабатывает или использует данные физических лиц — граждан ЕС, должна соответствовать требованиям GDPR. В противном случае ответственность неизбежна, и уже были применены санкции к первым нарушителям.

 

— Можете привести примеры?

— Например, штраф в размере 4,8 тыс. евро взыскан с австрийского предпринимателя за размещение камеры видеонаблюдения в публичном месте без информирования населения о факте осуществления видеосъемки и в отсутствие аргументированного обоснования такого размещения. Штраф в размере 20 тыс. евро взыскан с немецкого социального чат-сервиса за несоответствующее хранение персональных данных пользователей, что привело к утечке данных около двух миллионов пользователей. 400 тыс. евро взыскано с португальской медицинской клиники за несанкционированный доступ медицинского персонала к персональным данным пациентов. Штраф в размере 20 млн евро взыскан с канадской консалтинговой компании AggregateIQ за незаконный сбор и обработку данных пользователей социальных сетей для проведения таргетированных агитационных кампаний. Рекордсменом является американская корпорация Google, на которую наложен штраф в сумме 50 млн евро за плохое информирование своих пользователей о судьбе их персональных данных.

— Могут ли украинские компании попасть в этот список?

— Украинскому бизнесу следует понимать следующее: GDPR, несмотря на то что он является нормативным актом Европейского Союза, имеет экстерриториальную сферу действия, так как определяет круг субъектов, которые должны выполнять требования относительно защиты персональных данных европейских субъектов по всему миру. Таким образом, положения Регламента могут оказаться обязательными, в том числе и для украинских компаний. При их нарушении к украинским компаниям также применяются санкции в виде штрафа в зависимости от масштаба нарушения (10 млн евро или 2 % от годового дохода, 20 млн евро или 4 % от годового дохода). Кроме того, негативными последствиями могут стать ограничение доступа к сайтам стран ЕС, потеря репутации компании на рынке защиты данных, ухудшение бизнес-отношений с партнерами и контрагентами на территории ЕС.

 

— На каком основании компания может собирать персональные данные?

— Хотя основания для сбора и обработки персональных данных могут быть разными, для того чтобы они были законными, необходимо точно определиться с целью сбора, обработки персональных данных и попросить у клиента согласие на их сбор и обработку. Следует обратить внимание, что цель сбора и обработки персональных данных должна быть четко сформулирована, написана на понятном для клиента языке. В свою очередь согласие физического лица с условиями использования веб-ресурса во время регистрации на сервисе должно быть конкретным, информированным, непротиворечивым, его следует излагать простым языком, оно должно представлять собой отдельный документ и запрашиваться для каждой конкретной цели использования данных.

 

— Насколько украинские стандарты защиты персональных данных корреспондируются с иностранными, прежде всего с GDPR? Какие рекомендации вы могли бы дать компаниям в этом направлении?

— Украинский бизнес пока только начинает проводить GDPR-compliance. Вопрос в том, что самостоятельно, внутренними силами провести подготовку довольно сложно, так как это непростой процесс, требующий сотрудничества большого количества людей, прежде всего менеджмента компании, юристов и технических специалистов. Должны привлекаться специалисты всех подразделений, департаментов и отделов, участвующих в процессе обработки персональных данных. Для начала отмечу, что можно выделить такие преимущества соблюдения норм Регламента: по отношению к клиентам — способность защитить приватность пользователей, что в целом приводит к повышению конкурентоспособности компании; по отношению к контрагентам и партнерам — формирование качественных коммерческих и других отношений с партнерскими организациями на территории ЕС, что способствует увеличению репутации компании на международном рынке в области защиты данных, расширению бизнеса и работе с европейскими клиентами.

Для соответствия требованиям положений Регламента компания должна провести информационный аудит всех своих бизнес-процессов с целью оценки конфиденциальности и выявления возможных рисков, касающихся несоответствия требованиям GDPR.

 

— Что дает компании проведение такого аудита?

— Информационный аудит предоставит компании возможность задокументировать имеющиеся персональные данные (в случае необходимости предоставления отчетности), указать источник получения персональных данных и получателя от компании, выявить виды обрабатываемой информации, которые подлежат защите, определить необходимость привлечения третьих лиц или передачи данных им для обработки, проанализировать существующие методы защиты персональных данных, выявить риски информационной безопасности. После анализа состояния и выявления зон риска следующим шагом должна стать разработка поэтапного плана, в котором нужно отобразить, какие документы следует разработать (политику обработки персональных данных) и какие изменения в внести в бизнес-процессы для соответствия Регламенту, назначить лицо, ответственное за сохранение персональных данных (либо инспектора по защите персональных данных), провести обучение сотрудников принципам GDPR и развивать культуру бережного отношения к конфиденциальности личных данных каждого человека.

 

— Всегда ли в штате компании должен быть инспектор по защите персональных данных и какова его роль?

— Инспектор по защите персональных данных либо комиссар по вопросам защиты персональных данных является основным ответственным лицом в компании по обеспечению соответствия деятельности положениям Регламента. Инспектор также будет представлять компанию перед органами, расследующими инциденты, связанные с безопасностью. Назначение такого инспектора в компании не является обязательным, кроме случаев, когда осуществляется регулярное систематическое наблюдение (мониторинг) в больших объемах или обработка больших объемов специальных категорий персональных данных. Инспектор может работать в штате компании как сотрудник или предоставлять услуги как независимый подрядчик. Следует также отметить, что в случае выявления инцидента, касающегося обработки персональных данных, отсутствие в компании ответственного сотрудника станет негативным фактором при принятии решения о наложении штрафа.

 

(Беседовал Олесь ЕВТЕЕВ,

«Юридическая практика»)

 

Поделиться

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Добавить комментарий

Пожалуйста, авторизуйтесь чтобы добавить комментарий.
Slider

Содержание

Новости юридических фирм

VOX POPULI

Реформенный стиль

Акцент

Летнее бремя

Слово — народу

В фокусе: адвокатура

Сужение людям

В фокусе: рынок

Украинский порыв

Государство и юристы

Сборный интерес

LET’s go

Выносить взор из избы

На ТО есть причины

Зарубежная практика

Мира измерения

Книжная полка

Мировое оглашение

Отрасли практики

Уклончивый ответ

Тоска отчета

Бес тормозов

Тень сомнения

Самое важное

С новым гОООдом!

Судебная практика

Уравнение с иском

Общественный порядок

О нюансах налогообложения представительства иностранной компании

Судебные решения

В случае получения акта камеральной проверки определенной налоговой декларации налогоплательщик не ограничен в праве подать уточняющий расчет к этой декларации

Третейский суд не является участником судебного дела об отмене принятого им решения

Тема номера

Защитное средство

M&A-фактор

Забить штрафной

Частная практика

В стиле техно

Другие новости

PRAVO.UA

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: