Защита персональных данных. GDPR

В середине 2010-го был введен в действие Закон, призванный регулировать сферу защиты персональных данных. Таким образом, Украина последовала примеру большинства развитых стран, переняв международный опыт в регулировании данной сферы. 

Желая укрепить положительный имидж страны на международной арене, Парламент также закончил процесс ратификации Конвенции Совета Европы о защите личных данных.

На что эта Конвенция влияет? В первую очередь, она защищает личные данные, подлежащим автоматизированной обработке - т.е. той, в которой человек не принимает непосредственного участия. 

Такие изменения способствовали: 

  • улучшению координации Украины с международной правоохранительной системой; 
  • введению мер усиления контроля при пересечении иностранцами её границы.

До сегодня, изменения в процесс защиты данных физических лиц, вносились только 1 раз - в 2013 году.  Тогда обязанность по контролю распорядителей персональных данных была передана Уполномоченному по правам человека в украинском парламенте - Омбудсмену. Последовав опыту развитых европейских государств, его наделили правом совершать проверки распорядителей персональных данных.

Мы поговорим про то, что такое GDPR, как он работает и как может повлиять на Ваш бизнес.

Статья на тему: GDPR - общий регламент защиты персональных данных

Что такое GDPR?

Обработка персональных данных происходит практически во всех сферах коммерческой деятельности. И должна она проводиться согласно требованиям актуальной законодательной базы, а значит: 

  • Компания должна определить, попадает ли ее деятельность, помимо украинской, ещё и под европейскую юрисдикцию. 

Если украинское предприятие оказывает услуги или осуществляет торговлю товарами с частными лицами, имеющими паспорта государств-членов ЕС - его деятельность подпадает под действие документа, носящего название GDPR (General Data Protection Regulation). Это Общий регламент по защите данных, который создан для унификации защиты данных физлиц-граждан ЕС. 

Цель GDPR: защитить право на частную жизнь всех граждан ЕС, а также помочь устранить любые нарушения закона в сфере защиты персональных данных. 

Статья на тему: Защита персональных данных в Интернете. Что делать человеку, если фотографии с его изображением попали в «сеть»?

Как GDPR может влиять на бизнес? 

Внедрение принципа экстерриториальности (Расширения территориального охвата).

Возможно, самое значимое изменение коснулось расширенной юрисдикции GDPR. Он применим ко всем компаниям, обрабатывающим личные данные соответствующих субъектов, проживающих на территории ЕС, независимо от местоположения компаний

Раньше этот вопрос был урегулирован неоднозначно, что повлекло за собой множество судебных разбирательств. 

GDPR же чётко растолковывает где и как его можно применять:

  • при обработке контроллерами и процессорами персональных данных в ЕС, независимо от того, происходит ли обработка в пределах Союза;
  • при обработке персональных данных контроллерами или процессорами в случаях, если деятельность предприятий связана с предложением товаров или услуг гражданам Объединённой Европы, независимо от того, требуется ли за них оплата. 

Важно! Если предприятие находится за пределами Евросоюза, но собирается обрабатывать данные граждан ЕС, оно должно назначить собственного представителя в ЕС.

Новые штрафы и санкции.

Организации, которые нарушат GDPR, могут быть оштрафованы на сумму до 4% от глобального годового оборота или 20 миллионов евро (в зависимости от того, какая сумма будет большей). 

Это максимально возможный размер взыскания за самые серьезные нарушения, такие как: 

  • предоставление согласия на обработку данных вместо Клиента; 
  • нарушение общих принципов передачи данных третьим странам, международным организациям.

В случае, если компания не ведет свои записи в процессе обработки данных в установленном Регламентом порядке, она может быть оштрафована на 2% от оборота.

Авторизация.

Расширились условия предоставления согласия на обработку персональных сведений: 

  • Компании не имеют права использовать длинные неразборчивые положения, набитые юридической терминологией. 
  • Запрос о согласии должен предлагаться в понятной и легко воспринимаемой форме. 
  • Сам вопрос о согласии должен ставиться четко и выделяться среди остальных вопросов, используя ясные формулировки. 
  • Отозвать согласие должно быть так же легко, как и дать его первоначально.

Наша услуга: Защита персональных данных на предприятии в соответствии с требованиями законодательства

Права субъекта персональных данных

Физлица, данные которых подлежат обработке, имеют право:

  • Узнать, если их права нарушаются. Согласно GDPR, рассылка оповещений о нарушениях необходима во всех странах-членах Евросоюза, где нарушение обработки данных может «стать поводом для ущемления прав и свобод человека». 

Это должно быть сделано в течение 72-х часов после того, как стало известно о нарушении. Обработчики данных также обязаны уведомлять своих клиентов и контроллеров, сразу после того, как им стало известно о взломе базы личных сведений.

  • Право на забвение. Также известное как “уничтожение данных”,  дает физлицу право на то, чтобы контроллер удалил его/ее личные данные, прекратил дальнейшее распространение данных и потенциально мог остановить обработку данных третьими лицами.
  • Иметь беспрепятственный доступ к информации. Физлица имеют право узнать, обрабатываются ли принадлежащие им персональные данные. Если да, то нужно указать, где и с какой целью это будет осуществляться. 

Кроме того, контроллер должен бесплатно предоставить копию личных данных в электронном формате по соответствующему запросу. 

  • Право на конфиденциальность. GDPR призывает контролеров хранить и рассматривать исключительно те данные, которые являются необходимыми для выполнения их обязанностей (минимизация данных), а также, исходя из возможностей, ограничивать доступ к персональным данным для тех, кто занимается обработкой.

О чем нужно помнить в связи с введением GDPR?

Общий регламент обязывает любой бизнес, который будет проводить обработку персональных данных:

  • Подготовить специфическое Положение о защите персональных данных, которые могут оказаться у владельца базы подобных данных.
  • Подготовить формы для уведомления физлиц о том, что их данные будут обработаны и формы их согласия.
  • Подготовить разного рода договора, которые будут способствовать защите данных и правильному функционированию базы данных и т.д.

Наша компания может помочь Вам с разработкой полного комплекта документов, необходимых для соблюдения GDPR.

Если Вы хотите узнать больше о том, что такое GDPR и как обезопасить свой бизнес во время его выполнения - позвоните нам!

Написать автору письмо

ВСЕ ЕЩЕ ОСТАЮТСЯ ВОПРОСЫ?

Может хватит тратить время и пора обратиться к профессионалам?

Узнать стоимость

Связанная практика

ЗАДАТЬ ВОПРОС ЮРИСТУ
Доп. меню
Связанная практика Услуги по теме статьи
+38 044 499 47 99