Общий регламент по защите данных (GDRP) взял под контроль весь мир

Общий регламент по защите данных (GDRP) взял под контроль весь мир

  • Понедельник, 04 февраля 2019 02:00
  •  

     KorpusPrava IrinaВ январе 2012 года Европейская комиссия сформулировала планы относительно реформы защиты данных в Европейском Союзе, чтобы Европа «соответствовала духу цифровой эры». Почти четыре года спустя было достигнуто соглашение о том, что эти преобразования предусматривают и как они будут реализованы. GDPR был издан в 2016 году, вступил в силу 25 мая 2018 года и действует не только на европейском пространстве.

    Общий регламент по защите данных (ЕС) 2016/679 («GDPR») в законодательстве Европейского союза является положением о защите данных и конфиденциальности для всех лиц на территории Европейского Союза (ЕС) и Европейской экономической зоны (ЕЭЗ). Он также касается экспорта персональных данных за пределы ЕС и ЕЭЗ. GDPR направлен прежде всего на предоставление контроля физическим лицам над их персональными данными и на упрощение правового регулирования для международного бизнеса путем унификации положения в рамках ЕС.

    Рассмотрим ключевые принципы GDPR:

    • Понятие «персональные данные» означает любую информацию, касающуюся идентифицированного или идентифицируемого физического лица («субъект данных»).

    • GDPR применяется к обработке персональных данных полностью или частично автоматизированными средствами и к обработке персональных данных иными способами, отличными от автоматизированных средств, которые являются частью системы регистрации или предназначены для формирования системы регистрации.

    • GDPR применяется к обработке персональных данных в контексте деятельности учреждения контролера или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет. Регламент распространяется на обработку персональных данных субъектов данных, находящихся в Союзе, контролером или процессором, не учрежденным в Союзе, в случае, когда деятельность по обработке связана с предложением товаров или услуг, независимо от того, требуется ли оплата субъекта данных таким субъектам данных в Союзе или мониторинг их поведения в той мере, в которой их поведение происходит на территории Союза. 

    • Персональные данные обрабатываются на принципах законности, справедливости и прозрачности в отношении субъекта персональных данных; способом, обеспечивающим надлежащую безопасность персональных данных.

    • Персональные данные должны собираться для определенных, четко выраженных и законных целей и не подвергаться дальнейшей обработке способом, несовместимым с этими целями.

    • Персональные данные должны быть достаточными, релевантными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются; точными и, при необходимости, актуальными; храниться не дольше, чем это необходимо для целей, для которых они обрабатываются.

    • Обработка осуществляется на основании согласия субъекта данных или иных законных оснований, указанных в статье 6 GDPR.

    • Согласие должно быть свободно выраженным, определённым, информативным и четко сформулированным указанием на пожелания субъекта данных, с помощью которого он, путем заявления или посредством четких позитивных действий, выражает согласие на обработку своих персональных данных.

    Следует обратить внимание на права субъекта данных. GDPR значительно расширил эту категорию. В GDPR субъектам данных предоставляются следующие права:
    • право на получение информации;
    • право доступа;
    • право на уточнение;
    • право на уничтожение;
    • право на ограничение обработки;
    • право на переносимость данных;
    • право на возражение;
    • право не подвергаться автоматизированному принятию решений в индивидуальном порядке, включая профайлинг, когда решение будет иметь правовые или иные существенные последствия;
    • право на правовую защиту.

    Поскольку GDPR уже вступил в силу, большинство контролеров и процессоров уже предприняли действия с целью соответствия GDPR. Тем не менее большое количество компаний за пределами Союза всё еще ожидают осуществления процедур GDPR и задаются вопросом, подпадают ли они под действие GDPR или нет.

    Во-первых, они должны определить свой статус в соответствии с GDPR, являются ли они «контролером» и/или «процессором». В соответствии с GDPR, «контролер» означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с иными лицами определяет цели и средства обработки персональных данных. «Процессор» означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные по поручению контролера.

    Во-вторых, они должны определить, обрабатывают ли они персональные данные субъектов данных, которые находятся в Союзе. При соблюдении этих требований должны быть приняты следующие минимальные меры:
    • Назначение инспектора по защите персональных данных, который будет информировать и консультировать контролера или процессора и сотрудников, осуществляющих обработку, в отношении своих обязательств, следить за соблюдением GDPR, сотрудничать с надзорным органом.
    • Разработка согласия, которое должно отражать, что оно предоставляется свободно и субъект данных (например, клиент или сотрудник) «проинформирован». Согласие должно содержать право отозвать его в любое время.
    • Проведение соответствующих технических и организационных мероприятий для обеспечения уровня безопасности, соответствующего риску.
    • Разработка Кодексов поведения, отражающих политику компании в области защиты данных.
    • Разработка соглашений, которые должны быть подписаны между контролерами и процессорами данных, а также третьими лицами, участвующими в процедуре обработки данных (аутсорсерами).
    • Организация обучения персонала.

    Компании, подпадающие под действие GDPR, должны предпринять меры в кратчайший срок, поскольку штрафы довольно высоки: они могут доходить до 4% от продаж до максимальной суммы 20 млн. евро. Для обеспечения соблюдения GDPR в кратчайший срок компании могут отдавать на аутсорсинг третьим лицам вопросы, связанные с GDPR, или обучаться через различные образовательные программы и получать юридические консультации.

    Ирина Отрохова

    Compliance-офицер 
    Корпоративные услуги 
    Korpus Prava

     

     

  • Read 881 times