Общий регламент по защите данных (GDRP) взял под контроль весь мир

В январе 2012 года Европейская комиссия сформулировала планы относительно реформы защиты данных в Европейском Союзе, чтобы Европа «соответствовала духу цифровой эры». Почти четыре года спустя было достигнуто соглашение о том, что эти преобразования предусматривают и как они будут реализованы. GDPR был издан в 2016 году, вступил в силу 25 мая 2018 года и действует не только на европейском пространстве.

Общий регламент по защите данных (ЕС) 2016/679 («GDPR») в законодательстве Европейского союза является положением о защите данных и конфиденциальности для всех лиц на территории Европейского Союза (ЕС) и Европейской экономической зоны (ЕЭЗ). Он также касается экспорта персональных данных за пределы ЕС и ЕЭЗ. GDPR направлен, прежде всего, на предоставление контроля физическим лицам над их персональными данными и на упрощение правового регулирования для международного бизнеса путем унификации положения в рамках ЕС.

Рассмотрим ключевые принципы GDPR:

  • понятие «персональные данные» означает любую информацию, касающуюся идентифицированного или идентифицируемого физического лица («субъект данных»);
  • GDPR применяется к обработке персональных данных полностью или частично автоматизированными средствами и к обработке персональных данных иными способами, отличными от автоматизированных средств, которые являются частью системы регистрации или предназначены для формирования системы регистрации;
  • GDPR применяется к обработке персональных данных в контексте деятельности учреждения контролера или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет. Регламент распространяется на обработку персональных данных субъектов данных, находящихся в Союзе, контролером или процессором, не учрежденным в Союзе, в случае когда деятельность по обработке связана с предложением товаров или услуг, независимо от того, требуется ли оплата субъекта данных таким субъектам данных в Союзе или мониторинг их поведения в той мере, в которой их поведение происходит на территории Союза;
  • персональные данные обрабатываются на принципах законности, справедливости и прозрачности в отношении субъекта персональных данных; способом, обеспечивающим надлежащую безопасность персональных данных;
  • персональные данные должны собираться для определенных, четко выраженных и законных целей и не подвергаться дальнейшей обработке способом, несовместимым с этими целями;
  • персональные данные должны быть достаточными, релевантными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются; точными и, при необходимости, актуальными; храниться не дольше, чем это необходимо для целей, для которых они обрабатываются;
  • обработка осуществляется на основании согласия субъекта данных или иных законных оснований, указанных в статье 6 GDPR;
  • согласие должно быть свободно выраженным, определённым, информативным и четко сформулированным указанием на пожелания субъекта данных, с помощью которого он, путем заявления или посредством четких позитивных действий, выражает согласие на обработку своих персональных данных.

Следует обратить внимание на права субъекта данных. GDPR значительно расширил эту категорию. В GDPR субъектам данных предоставляются следующие права:

  • право на получение информации;
  • право доступа;
  • право на уточнение;
  • право на уничтожение;
  • право на ограничение обработки;
  • право на переносимость данных;
  • право на возражение;
  • право не подвергаться автоматизированному принятию решений в индивидуальном порядке, включая профайлинг, когда решение будет иметь правовые или иные существенные последствия;
  • право на правовую защиту.

Поскольку GDPR уже вступил в силу, большинство контроллеров и процессоров уже предприняли действия с целью соответствия GDPR. Тем не менее большое количество компаний за пределами Союза всё еще ожидают осуществления процедур GDPR и задаются вопросом, подпадают ли они под действие GDPR или нет. Во-первых, они должны определить свой статус в соответствии с GDPR, являются ли они «контроллером» и/или «процессором». В соответствии с GDPR, «контролер» означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с иными лицами определяет цели и средства обработки персональных данных. «Процессор» означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные по поручению контролера. Во-вторых, они должны определить, обрабатывают ли они персональные данные субъектов данных, которые находятся в Союзе. При соблюдении этих требований должны быть приняты следующие минимальные меры:

  • назначение инспектора по защите персональных данных, который будет информировать и консультировать контролера или процессора и сотрудников, осуществляющих обработку, в отношении своих обязательств, следить за соблюдением GDPR, сотрудничать с надзорным органом;
  • разработка согласия, которое должно отражать, что оно предоставляется свободно и субъект данных (например, клиент или сотрудник) «проинформирован». Согласие должно содержать право отозвать его в любое время;
  • проведение соответствующих технических и организационных мероприятий для обеспечения уровня безопасности, соответствующего риску;
  • разработка Кодексов поведения, отражающих политику компании в области защиты данных;
  • разработка соглашений, которые должны быть подписаны между контролерами и процессорами данных, а также третьими лицами, участвующими в процедуре обработки данных (аутсорсерами);
  • организация обучения персонала.

Компании, подпадающие под действие GDPR, должны предпринять меры в кратчайший срок, поскольку штрафы довольно высоки: они могут доходить до 4% от продаж до максимальной суммы 20 млн. евро. Для обеспечения соблюдения GDPR в кратчайший срок компании могут отдавать на аутсорсинг третьим лицам вопросы, связанные с GDPR, или обучаться через различные образовательные программы и получать юридические консультации.

Ирина Отрохова

Комплаенс-офицер

Корпоративные услуги

Корпус Права (Кипр)

Другие статьи по темам
Смотрите также статьи из номера
Наследование пенсионных накоплений граждан

Пенсионную систему наше правительство будоражит уже не первое десятилетие, и в настоящий момент это одна из самых запутанных сфер в нашем законодательстве.

22 октября, 2018

Смутно пишут о том, что смутно себе представляют

Концепция фактического получателя доходов существует уже довольно давно и успешно применяется на территории разных стран (в т.ч. в Швейцарии, Австрии, Германии, Нидерландах и др.).

22 октября, 2018

Страновая отчетность международных групп компаний: план BEPS по-русски

ОЭСР утвердила глобальный план противодействия с размыванием налоговой базы и выводом прибыли из-под налогообложения (Base Erosion and Profit Shifting, или BEPS) в 2013 году.

22 октября, 2018

Должны, но не обязаны

Обязательное предложение является публичной офертой, адресованной акционерам - владельцам акций соответствующих категорий (типов), о приобретении принадлежащих им акций открытого общества.

20 октября, 2018

Привлечение к субсидиарной ответственности скрытого бенефициара

Для российского банкротного права наступил очередной этап развития: в Закон о банкротстве введена новая глава III.2.

20 октября, 2018

По секрету всему свету

С 1 января 2019 года вступает в силу закон, согласно которому у налоговых органов появляется возможность получить сведения о налогоплательщиках от аудиторских организаций и индивидуальных аудиторов, оказывающих профессиональные услуги.

20 октября, 2018

Институт редомицилирования: новое в законодательстве РФ о смене личного закона юридического лица

Институт редомицилирования (или редомициляции), являясь сравнительно неразвитым в глобальном (мировом) масштабе, одновременно представляет собой актуальную тему, получившую развитие в рамках международного частного права.

20 октября, 2018

Весь покрытый льготами, абсолютно весь…

Российским парламентом был принят ряд законодательных актов, регламентирующих возможность проведения процедуры редомициляции в РФ иностранных компаний в обмен на предоставление налоговых преимуществ.

20 октября, 2018