GDPR
Рынок ЕС развивается с каждым днем, в результате он увеличивает трансграничные потоки персональных данных, включая использование Интернета. Вышесказанное вызывает большие проблемы с защитой личных данных. Таким образом, основной целью GDPR является защита персональных данных и субъектов персональных данных. Общие правила защиты данных вступают в силу с 25 мая 2018 года.
GDPR призван способствовать развитию пространства свободы, безопасности, справедливости и экономического союза; экономический и социальный прогресс; укрепление верховенства закона и сближение экономик на внутреннем рынке, а также общее благосостояние людей в странах-членах ЕС.
GDPR необходимы всем государствам-членам ЕС. Для компаний-нерезидентов ЕС, в том числе стран СНГ, требования применяются в следующих случаях:
- Компании, которые поставляют свои товары или услуги физическим лицам в ЕС. Например, интернет-магазины, туроператоры, транспортные компании, которые находятся в Украине и обрабатывают данные резидентов ЕС.
- Компании, которые проводят маркетинговые исследования потребителей из ЕС.
- Компании, которые в процессе своей деятельности получают доступ к персональным данным субъектов в ЕС. Это могут быть любые украинские компании, которые, например, имеют доступ к данным сотрудников из ЕС.
Основными важными нововведениями GDPR, которые коснутся стран cif, являются:
Необходимость введения новой должности в компании — Data Protection Office
Все компании, работающие со значительным объемом личных данных или с «особыми» категориями таких данных, обязаны в обязательном порядке назначать лицо, отвечающее за защиту личных данных сотрудника. Он может выполнять свои обязанности как по трудовому договору, так и по гражданскому праву.
Сотрудник должен иметь соответствующий уровень знаний в области защиты персональных данных. В группе компаний может быть один ответственный, если он обеспечивает неограниченный доступ к деятельности каждого члена группы. Кроме того, он может работать в компании как по основному месту работы, так и по совместительству.
Необходимость представителя (представительства) в ЕС
Если ваша компания подпадает под GDPR и не находится в ЕС, необходимо присутствие официального представителя компании в ЕС. Представитель должен быть назначен контактным лицом по всем вопросам защиты персональных данных граждан ЕС для уполномоченных органов. Это может быть как физическое, так и юридическое лицо.
Среди обязательных требований к представителю — наличие (для юридических лиц) или нахождение (для физических лиц) в одной из стран, гражданами которых являются лица, чьи персональные данные обрабатываются или поведение которых исследуется.
Исключение из этого правила: если обработка данных не является постоянной; если обрабатываемые персональные данные не относятся к «особым» категориям (как уже упоминалось выше, включая, в частности, генетические, биометрические данные), относящихся к уголовным процессам или обвинениям;
Если характер данных свидетельствует о невозможности серьезно нарушить права человека в случае их утечки (нетрудно предположить, что участники рынка, которые по тем или иным причинам не намерены выполнять это требование GDPR постараюсь использовать такую формулировку оценки, чтобы этого избежать).
Подтверждение соответствия требованиям GDPR
GDPR устанавливает обязанность доказывать соответствие компании новым требованиям. Для подтверждения соответствия контролеры должны хранить всю информацию, относящуюся к действиям с персональными данными (о контроллере, операциях по передаче данных и т. Д.).
Повышение уровня безопасности персональных данных
GDPR не устанавливает четких критериев оценки уровня соответствия требованиям безопасности. Вместо этого он оперирует рейтинговыми категориями, что означает, что контроллеры и процессоры должны обеспечивать максимально возможный уровень информационной безопасности для них, включая реализацию соответствующих технических и организационных мер для обеспечения высокого уровня информационной безопасности.
Меры безопасности могут быть самыми разными. Это зависит от того, какие данные обрабатываются, от их количества, от возможности утечки и т. Д. В качестве примера шагов, которые можно предпринять, GDPR предоставляет псевдонимизацию и шифрование.
Ограничение использования облачного хранилища для размещения персональных данных
Согласно GDPR, размещение личных данных в облачном хранилище считается передаваемым третьим лицам. Необходимо остерегаться хранилищ с низким уровнем защиты, а также ограничивать размещение на них персональных данных. В этом случае, если передача данных через облачное хранилище происходит за пределами ЕС без надлежащей безопасности, такие действия являются нарушением законодательства ЕС.
Введение контроля за передачей персональных данных за пределы Европейской экономической зоны
Согласно общему правилу, персональные данные могут быть переданы в третью страну только при наличии положительного заключения Европейской комиссии о соблюдении страной высоких стандартов защиты персональных данных. Наиболее приемлемым для Украины будет использование стандартных условий контракта, которые одобрены Еврокомиссией.
Общее повышение конфиденциальности
Регламент предусматривает необходимость повышения конфиденциальности. В дополнение к стандарту наивысшего уровня конфиденциальности по умолчанию (например, в социальных сетях), может потребоваться получение согласия субъекта на обработку каждого отдельного элемента информации, который он вводит.
Основные права субъектов персональных данных (например, право доступа к данным о себе или право требовать прекращения обработки персональных данных) предусмотрены Директивой. Регламент ввел, например, такие права, как право на переносимость данных.
Субъект персональных данных может попросить передать свои персональные данные из одной организации в другую, например, при смене медицинского учреждения, в котором он обслуживается.
Регламент также вводит новое право — право на забвение, которое позволяет субъекту требовать удаления данных о себе из всех баз данных компании. Важно отметить, что такое право не является абсолютным и применяется только в прямо установленных случаях. Например, если обработка осуществляется по требованию закона, субъект не может реализовать свое право на забвение.
В частности, человек должен знать цель обработки персональных данных еще на этапе их сбора. Если сбор данных является результатом желания человека, контролер должен продемонстрировать, что он представляет свои личные данные здесь и там.
Хотя в настоящее время в Украине действуют аналогичные правила, юристы из ЕС указывают, что нынешнего уровня осведомленности пользователей недостаточно, и социальные сети вместе с принятием GDPR перейдут на незнание.
В этом отношении есть интересные положения Регламента, в которых говорится, что государства-члены ЕС должны обеспечивать конфиденциальность на рабочем месте. В частности, если работодатель наблюдает за работниками, устанавливая камеры, работник должен знать и давать согласие на обработку персональных данных. Такое правило будет действовать и в Украине, если сотрудник является гражданином ЕС.
Для личной консультации обращайтесь к нашему специалисту. Если у вас есть какие-либо вопросы или вам нужен совет по защите личных данных или GDPR, позвоните нам по номерам, указанным на сайте, или заполните и отправьте нам форму внизу страницы.