Общий регламент по защите данных (GDRP) взял под контроль весь мир

В январе 2012 года Европейская комиссия сформулировала планы относительно реформы защиты данных в Европейском Союзе, чтобы Европа «соответствовала духу цифровой эры». Почти четыре года спустя было достигнуто соглашение о том, что эти преобразования предусматривают и как они будут реализованы. GDPR был издан в 2016 году, вступил в силу 25 мая 2018 года и действует не только на европейском пространстве.

Общий регламент по защите данных (ЕС) 2016/679 («GDPR») в законодательстве Европейского союза является положением о защите данных и конфиденциальности для всех лиц на территории Европейского Союза (ЕС) и Европейской экономической зоны (ЕЭЗ). Он также касается экспорта персональных данных за пределы ЕС и ЕЭЗ. GDPR направлен, прежде всего, на предоставление контроля физическим лицам над их персональными данными и на упрощение правового регулирования для международного бизнеса путем унификации положения в рамках ЕС.

Рассмотрим ключевые принципы GDPR:

• понятие «персональные данные» означает любую информацию, касающуюся идентифицированного или идентифицируемого физического лица («субъект данных»);
• GDPR применяется к обработке персональных данных полностью или частично автоматизированными средствами и к обработке персональных данных иными способами, отличными от автоматизированных средств, которые являются частью системы регистрации или предназначены для формирования системы регистрации;
• GDPR применяется к обработке персональных данных в контексте деятельности учреждения контролера или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет. Регламент распространяется на обработку персональных данных субъектов данных, находящихся в Союзе, контролером или процессором, не учрежденным в Союзе, в случае когда деятельность по обработке связана с предложением товаров или услуг, независимо от того, требуется ли оплата субъекта данных таким субъектам данных в Союзе или мониторинг их поведения в той мере, в которой их поведение происходит на территории Союза;
• персональные данные обрабатываются на принципах законности, справедливости и прозрачности в отношении субъекта персональных данных; способом, обеспечивающим надлежащую безопасность персональных данных;
• персональные данные должны собираться для определенных, четко выраженных и законных целей и не подвергаться дальнейшей обработке способом, несовместимым с этими целями;
• персональные данные должны быть достаточными, релевантными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются; точными и, при необходимости, актуальными; храниться не дольше, чем это необходимо для целей, для которых они обрабатываются;
• обработка осуществляется на основании согласия субъекта данных или иных законных оснований, указанных в статье 6 GDPR;
• согласие должно быть свободно выраженным, определённым, информативным и четко сформулированным указанием на пожелания субъекта данных, с помощью которого он, путем заявления или посредством четких позитивных действий, выражает согласие на обработку своих персональных данных.

Следует обратить внимание на права субъекта данных. GDPR значительно расширил эту категорию. В GDPR субъектам данных предоставляются следующие права:

• право на получение информации;
• право доступа;
• право на уточнение;
• право на уничтожение;
• право на ограничение обработки;
• право на переносимость данных;
• право на возражение;
• право не подвергаться автоматизированному принятию решений в индивидуальном порядке, включая профайлинг, когда решение будет иметь правовые или иные существенные последствия;
• право на правовую защиту.

Поскольку GDPR уже вступил в силу, большинство контроллеров и процессоров уже предприняли действия с целью соответствия GDPR. Тем не менее большое количество компаний за пределами Союза всё еще ожидают осуществления процедур GDPR и задаются вопросом, подпадают ли они под действие GDPR или нет. Во-первых, они должны определить свой статус в соответствии с GDPR, являются ли они «контроллером» и/или «процессором». В соответствии с GDPR, «контролер» означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с иными лицами определяет цели и средства обработки персональных данных. «Процессор» означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные по поручению контролера. Во-вторых, они должны определить, обрабатывают ли они персональные данные субъектов данных, которые находятся в Союзе. При соблюдении этих требований должны быть приняты следующие минимальные меры:

• назначение инспектора по защите персональных данных, который будет информировать и консультировать контролера или процессора и сотрудников, осуществляющих обработку, в отношении своих обязательств, следить за соблюдением GDPR, сотрудничать с надзорным органом;
• разработка согласия, которое должно отражать, что оно предоставляется свободно и субъект данных (например, клиент или сотрудник) «проинформирован». Согласие должно содержать право отозвать его в любое время;
• проведение соответствующих технических и организационных мероприятий для обеспечения уровня безопасности, соответствующего риску;
• разработка Кодексов поведения, отражающих политику компании в области защиты данных;
• разработка соглашений, которые должны быть подписаны между контролерами и процессорами данных, а также третьими лицами, участвующими в процедуре обработки данных (аутсорсерами);
• организация обучения персонала.

Компании, подпадающие под действие GDPR, должны предпринять меры в кратчайший срок, поскольку штрафы довольно высоки: они могут доходить до 4% от продаж до максимальной суммы 20 млн. евро. Для обеспечения соблюдения GDPR в кратчайший срок компании могут отдавать на аутсорсинг третьим лицам вопросы, связанные с GDPR, или обучаться через различные образовательные программы и получать юридические консультации.

Ирина Отрохова

Комплаенс-офицер

Корпоративные услуги

Корпус Права (Кипр)