Загальний регламент захисту даних (GDPR)

Опубліковано

January 29, 2020

Поділитися цим:

Ринок ЄС розвивається з кожним днем, в результаті він збільшує транскордонні потоки персональних даних, включаючи використання Інтернету. Вищесказане викликає великі проблеми із захистом особистих даних. Таким чином, основною метою GDPR є захист персональних даних і суб’єктів персональних даних. Загальні правила захисту даних вступають в силу з 25 травня 2018 року.

GDPR покликаний сприяти розвитку простору свободи, безпеки, справедливості і економічного союзу; економічний і соціальний прогрес; зміцнення верховенства закону і зближення економік на внутрішньому ринку, а також загальний добробут людей в країнах-членах ЄС.

GDPR необхідні всім державам-членам ЄС. Для компаній-нерезидентів ЄС, в тому числі країн СНД, вимоги застосовуються в наступних випадках:

Компанії, які постачають свої товари або послуги фізичним особам в ЄС. Наприклад, інтернет-магазини, туроператори, транспортні компанії, які знаходяться в Україні і обробляють дані резидентів ЄС.
Компанії, які проводять маркетингові дослідження споживачів з ЄС.
Компанії, які в процесі своєї діяльності отримують доступ до персональних даних суб’єктів в ЄС. Це можуть бути будь-які українські компанії, які, наприклад, мають доступ до даних співробітників з ЄС.

Основними важливими нововведеннями GDPR, які торкнуться країн cif, є:

Необхідність введення нової посади в компанії – Data Protection Office

Всі компанії, що працюють зі значним обсягом особистих даних або з «особливими» категоріями таких даних, зобов’язані в обов’язковому порядку призначати особу, яка відповідає за захист особистих даних співробітника. Він може виконувати свої обов’язки як за трудовим договором, так і по цивільному праву.

Співробітник повинен мати відповідний рівень знань в області захисту персональних даних. У групі компаній може бути один відповідальний, якщо він забезпечує необмежений доступ до діяльності кожного члена групи. Крім того, він може працювати в компанії як за основним місцем роботи, так і за сумісництвом.

Необхідність представника (представництва) в ЄС

Якщо ваша компанія підпадає під GDPR і не знаходиться в ЄС, необхідна присутність офіційного представника компанії в ЄС. Представник повинен бути призначений контактною особою з усіх питань захисту персональних даних громадян ЄС для уповноважених органів. Це може бути як фізична, так і юридична особа.

Серед обов’язкових вимог до представника – наявність (для юридичних осіб) або знаходження (для фізичних осіб) в одній з країн, громадянами яких є особи, чиї персональні дані обробляються або поведінка яких досліджується.

Виняток з цього правила: якщо обробка даних не є постійною; якщо оброблювані персональні дані не відносяться до «особливих» категорій (як уже згадувалося вище, включаючи, зокрема, генетичні, біометричні дані), що відносяться до кримінальних процесах або звинуваченнями;

Якщо характер даних свідчить про неможливість серйозно порушити права людини в разі їх витоку (неважко припустити, що учасники ринку, які з тих чи інших причин не мають наміру виконувати цю вимогу GDPR постараюся використовувати таке формулювання оцінки, щоб цього уникнути).

Підтвердження відповідності вимогам GDPR

GDPR встановлює обов’язок доводити відповідність компанії новим вимогам. Для підтвердження відповідності контролери повинні зберігати всю інформацію, що стосується дій з персональними даними (про контроллер, операціях з передачі даних і т. Д).

Підвищення рівня безпеки персональних даних

GDPR не встановлює чітких критеріїв оцінки рівня відповідності вимогам безпеки. Замість цього він оперує рейтинговими категоріями, що означає, що контролери і процесори повинні забезпечувати максимально можливий рівень інформаційної безпеки для них, включаючи реалізацію відповідних технічних і організаційних заходів для забезпечення високого рівня інформаційної безпеки.

Заходи безпеки можуть бути самими різними. Це залежить від того, які дані обробляються, від їх кількості, від можливості витоку і т. Д. Як приклад кроків, які можна зробити, GDPR надає псевдонімізацію і шифрування.

Обмеження використання хмарного сховища для розміщення персональних даних

Згідно GDPR, розміщення особистих даних в хмарному сховище вважається переданим третім особам. Необхідно остерігатися сховищ з низьким рівнем захисту, а також обмежувати розміщення на них персональних даних. В цьому випадку, якщо передача даних через хмарне сховище відбувається за межами ЄС без належної безпеки, такі дії є порушенням законодавства ЄС.

Введення контролю за передачею персональних даних за межі Європейської економічної зони

Згідно із загальним правилом, персональні дані можуть бути передані в третю країну тільки при наявності позитивного висновку Європейської комісії про дотримання країною високих стандартів захисту персональних даних. Найбільш прийнятним для України буде використання стандартних умов контракту, які схвалені Єврокомісією.

Загальне підвищення конфіденційності

Регламент передбачає необхідність підвищення конфіденційності. На додаток до стандарту найвищого рівня конфіденційності за замовчуванням (наприклад, в соціальних мережах), може знадобитися отримання згоди суб’єкта на обробку кожного окремого елемента інформації, який він вводить.

Основні права суб’єктів персональних даних (наприклад, право доступу до даних про себе або право вимагати припинення обробки персональних даних) передбачені Директивою. Регламент ввів, наприклад, такі права, як право на переносимість даних.

Суб’єкт персональних даних може попросити передати свої персональні дані з однієї організації в іншу, наприклад, при зміні медичної установи, в якому він обслуговується.

Регламент також вводить нове право – право на забуття, яке дозволяє суб’єкту вимагати видалення даних про себе з усіх баз даних компанії. Важливо відзначити, що таке право не є абсолютним і застосовується тільки в прямо встановлених випадках. Наприклад, якщо обробка здійснюється на вимогу закону, суб’єкт не може реалізувати своє право на забуття.

Зокрема, людина повинна знати мету обробки персональних даних ще на етапі їх збору. Якщо збір даних є результатом бажання людини, контролер повинен продемонструвати, що він представляє свої особисті дані тут і там.

Хоча в даний час в Україні діють аналогічні правила, юристи з ЄС вказують, що нинішнього рівня обізнаності користувачів недостатньо, і соціальні мережі разом з прийняттям GDPR перейдуть на незнання.

В цьому відношенні є цікаві положення Регламенту, в яких йдеться про те, що держави-члени ЄС повинні забезпечувати конфіденційність на робочому місці. Зокрема, якщо роботодавець спостерігає за працівниками, встановлюючи камери, працівник повинен знати і давати згоду на обробку персональних даних. Таке правило буде діяти і в Україні, якщо співробітник є громадянином ЄС.

Для особистої консультації звертайтеся до нашого фахівця. Якщо у вас є які-небудь питання або вам потрібна порада щодо захисту особистих даних або GDPR, зателефонуйте нам за номерами, вказаними на сайті, або заповніть та надішліть нам форму внизу сторінки.

Вас може зацікавити

Ліцензія на управління активами в Естонії

У сфері фінансів управління активами є значної і складну роль. Фізичним чи юридичним особам, які займаються управлінням інвестиціями та портфелями цінних паперів, доручено відповідальність, що вимагає високого рівня знань та дотримання законодавчих норм. Отримання відповідної ліцензії для проведення операцій стає ключовим етапом у цьому процесі. Наша компанія спеціалізується на професійній допомозі при заснуванні та запуску...

Деякі регульовані та нерегульовані Форекс-брокери у 2023 році, поради для початківців

Коли новачки намагаються почати працювати у сфері форекс продажів, їм необхідно розбиратися в кожній ланці ланцюжка для здійснення угод. Не всі розуміють необхідність участі в угоді форекс-брокерів. Форекс-брокерами є посередники між клієнтами і міжбанківськими системами. Саме вони допомагають знайти найбільш вигідні угоди, адже вони висувають пропозиції через мережу банків, де фінансові установи проводять торги між...

Відкрийте для себе наші послуги

Міжнародна компанія Eternity Law International надає професійні послуги у галузі міжнародного консалтингу, аудиторських послуг, юридичних та податкових послуг.

Продаж готових компаній

Компанії з банковським рахунком по всьому світу

Продаж готових ліцензій на криптовалюту

Форекс, кріптовалюти, азартні ігры, EMI, PSP, SVF, MSO, DLT

Банки на продаж

Придбання готових банківських структур для запуску або розширення свого бізнесу.

Реєстрація офшорної компанії

Експертні консультації щодо придбання офшорної компанії

Ліцензування

Ліцензії форекс, кріптовалюти, азартні ігры, EMI, PSP, SVF, MSO, DLT

Відкриття банківського рахунку

Відкривайте банківські рахунки в більш ніж 120 банках по всьому світу

Інші послуги

Заповніть форму:

Цюрих

Центр Штокерхоф, Дракенигштрассе 31а

+41 435 50 73 23

Київ

вул. Басейна, 7в

+38 094 712 03 54

Лондон

52 Гросвенор Гарденс

+44 203 868 34 37

Таллінн

Харью мааконди, Кесклинн Ліннаоса, Туукрі, 19

+372 880 41 85

Вільнюс

просп. Гедімінаса, 44А

+370 52 11 14 32

Вашингтон

1629 K St. Suite 300 N.W.

+1 (888) 647 05 40

Единбург

площа Лохрін 1

+44 203 868 34 37

Нікосія

Вежа Нікосії Яковідес, 5 поверх

+371 665 550 51

Рига

Еспланада, 7 поверх

+371 665 550 51

Сідней

20 Мартін Плейс

+61 2 888 00 365

Сінгапур

поверх 42, Сантек Вежа 3, бульвар Темасек 8

+6531594300

Гонконг

вул. Харбор 18, 35 / Ф, Сентрал Плаза, Ваньчай

800938622

Порту

2609 Avenida da Boavista

+351 300 528 106

Тбілісі

вул. Реваза Табукашвілі, N 45, площа N 7

+995706070360

Останні новини

Регулювання криптовалюти в Індонезії

Що таке юридичний висновок?

Корпоративний податок в Люксембурзі на 2024 рік

Які ліцензії та дозволи необхідні для відкриття бізнесу в Швейцарії?

Останні пропозиції

SPI ліцензія у Великобританії на продаж

Готова компанія у Великобританії з банківськими рахунками в Barclays та HSBC

Готова компанія у Великобританії з відкритими банківськими рахунками

Транспортна компанія у Швейцарії на продаж