Главная / Новости

Защита данных по-европейски: кого коснется GDPR в Украине

06.07.2018
Защита данных по-европейски: кого коснется GDPR в Украине
юрист
Общий регламент по защите данных 2016/679 от 27.04.2016 (General Data Protection Regulation, далее — GDPR) действует с 25 мая 2018 года. Регламент заменил Директиву 95/46/ЕС Европейского Парламента от 24.10.1995 о защите физических лиц при обработке персональных данных и свободном перемещении таких данных.

GDPR предлает обновленное определение для термина персональные данные. Теперь это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, по которой прямо или косвенно можно определить лицо. К такой информации относится, в том числе имя, данные о местоположении, онлайн-идентификатор или один либо несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица. Таким образом даже IP-адрес и e-mail могут быть персональными данными.

Почему GDPR касается украинского бизнеса?

GDPR является нормативным актом прямого действия для стран Евросоюза, но его действие не ограничено рамками ЕС. Если компания обрабатывает персональные данные резидентов и граждан ЕС, она подпадает под сферу действия Регламента и обязана привести свою деятельность в соответствие с GDPR. Разберемся детально, к кому может применяться Регламент. Вы подпадаете под действие GDPR:
  • если у вас есть учреждения, находящиеся в ЕС. Регламент применяется к таким учреждениям независимо от того, где именно осуществляется такая обработка. Организационно-правовые формы таких учреждений согласно GDPR могут быть самыми разными, включая представительство и дочернее предприятие; 
  • если вы предлагаете товары и услуги в Евросоюзе. Достаточно именно предложения товаров и услуг. Факт их продажи не является определяющим. Впрочем, сама по себе доступность вашего веб-сайта в Евросоюзе, адреса электронной почты или иных контактных данных не является достаточной для установления намерения предложить товары и услуги в Евросоюзе. Необходимы следующие признаки как использование языка или валюты одной или нескольких стран Евросоюза с возможностью заказа товаров и услуг на этом языке, либо упоминание потребителей или пользователей, которые находятся в Евросоюзе. Примером предложения товаров и услуг могут быть e-commerce и SaaS-бизнес; 
  • если вы осуществляете мониторинг поведения субъектов ЕС. На первый взгляд, довольно безобидный критерий. Однако это не так. Под мониторингом поведения следует понимать отслеживание поведения субъектов данных в сети Интернет, включая последующую обработку персональных данных для составления профилей, в особенности для целей принятия решений в отношении таких субъектов или анализа и предсказывания их поведения и предпочтений. Примером мониторинга поведения субъектов данных является использование файлов cookies, которые позволяют аутентифицировать пользователя, хранить его персональные данные, предпочтения и настройки и вести статистику пользователя. Если ваш сайт использует файлы cookies, то вы подпадаете под действие Регламента, даже несмотря на единичные или случайные посещения вашего сайта европейскими пользователями. Именно поэтому многие сайты компаний, находящиеся за пределами Евросоюза, блокируют доступ потребителей из ЕС; 
  • если вы предоставляете услуги заказчикам из Евросоюза, осуществляете от их имени обработку, хранение или передачу персональных данных субъектов, находящихся в ЕС. В данном случае вы являетесь обработчиком этих данных. 

Основания для обработки данных

GDPR устанавливает, что обработка является правомерной, только если и поскольку применимо хотя бы одно из следующих условий:
  • субъект данных дал согласие на обработку его персональных данных для одной или нескольких конкретных целей; 
  • обработка необходима для выполнения договора, в котором субъект данных является одной из сторон либо для принятия мер по требованию субъекта данных до заключения договора; 
  • обработка необходима для соблюдения правовых обязательств, субъектом которых является контролер;
  • обработка необходима для защиты жизненных интересов субъекта данных либо иного физического лица;
  • обработка необходима для выполнения задачи, осуществляемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
  • обработка необходима для целей обеспечения законных интересов контролера или третьего лица, за исключением случаев, когда такие интересы не принимают во внимание интересы или основные права и свободы субъекта данных, требующих защиты персональных данных, в частности, если субъектом данных является ребенок.
Существует общее заблуждение, что для обработки персональных данных согласно GDPR необходимо всегда получать согласие субъекта данных. Обращаем ваше внимание, что согласие на обработку — это лишь одно из шести оснований для обработки данных. И вполне вероятно, что вы можете применить другое основание для обработки данных. Например, обработка данных будет законной и без согласия субъекта, если осуществляется для выполнения договора, в котором субъект данных является одной из сторон, либо для принятия мер по требованию субъекта данных до заключения договора.

Представитель контролера или обработчика в ЕС

Если на вас распространяется Регламент, и вы являетесь либо контролером, либо обработчиком, то априори вы обязаны назначить представителя в Евросоюзе. Представителем контролера или обработчика может быть любое физическое или юридическое лицо, находящееся в Евросоюзе. Представитель назначается контролером или обработчиком на основании документа, оформленного в письменной форме. Он представляет контролера или обработчика в отношении обязательств, вытекающих из GDPR.
Впрочем, GDPR допускает случаи, когда представитель может не назначаться. Это касается:
обработки, которая является единичной, не охватывает в больших масштабах обработку особых категорий данных либо обработку персональных данных, связанных с уголовными приговорами и правонарушениями;
обработки, осуществляемой органом государственной власти или учреждения;
обработки персональных данных, которая едва ли обернется рисками для прав и свобод физических лиц, принимая во внимание характер, контекст, цели и задачи этой обработки.
Надо сказать, что если с первыми двумя случаями обработки данных более-менее ясно, то с последним случаем — не совсем. Любая обработка данных представляет риск для прав и свобод, как минимум в связи с возможностью утраты или утечки информации. Вероятнее всего, по мнению автора, речь идет о высоких рисках. Однако на данный момент отсутствуют какие-либо разъяснения Европейской комиссии по этому вопросу.

Передача данных в Украину

Если вы являетесь контролером, действующим совместно с другим контролером в Евросоюзе или вы являетесь обработчиком, то положения GDPR, которые касаются передачи данных в Украину, для вас могут быть особенно критичными. Для передачи данных в Украину на сегодня априори необходимо разрешение надзорного органа.
Согласно Регламенту трансграничная передача данных без решения надзорного органа контролера возможна, если:
  • если передача санкционирована Комиссией ЕС. На сегодня в списке стран, в которые передача разрешена, Украина отсутствует; 
  • если в стране-адресате внедрены необходимые гарантии, обеспечивающие адекватный уровень защиты персональных данных. К таким гарантиям относятся: 
- подписание документов, которые носят юридически обязательный характер и подлежат принудительному применению между органами власти или учреждениями;
- утверждение обязательных корпоративных правил (Binding Corporate Rules). Речь идет об утвержденных компетентным надзорным органом внутренних кодексах поведения, которые касаются передачи персональных данных третьим странам в контексте трансграничной передачи данных субъектам международных организаций или транснациональных корпораций (группа компаний или группа предприятий, занимающихся совместной экономической деятельностью, включая членов), которые находятся за пределами ЕС;
- утверждение уполномоченным органом кодексов поведения, которые подлежат исполнению со стороны контролера или обработчика в третьей стране на основании обязующих документов, подписанных контролером или обработчиком. Такие кодексы разрабатывают ассоциации и иные организации, представляющие определенные категории контролеров или обработчиков;
- утверждение уполномоченным органом механизма сертификации, который подлежит исполнению контролером или обработчиком в третьей стране в силу обязательств, взятых на себя контролером или обработчиком.
Таким образом, для получения данных украинские контролеры и обработчики должны разработать и утвердить в надзорном органе Обязательные корпоративные правила (если предприятие входит в группу компаний); вступить в ассоциацию или иную организацию, применяющую утвержденный кодекс поведения; пройти механизм сертификации и т. п. или получить разрешение надзорного органа о передаче данных в Украину.

Ответственность за нарушение требований GDPR

Основные штрафы, предусмотренные GDPR:
  • 10 млн евро или 2 % от годового мирового оборота за предыдущий финансовый год — за нарушение обязанностей контролера и обработчика в отношении согласия ребенка, представителя контролера или обработчика, не учрежденных в Евросоюзе, учетных записей обработки данных, назначения на должность инспектора по защите персональных данных (Data Protection Officer) и т. д.; 
  • 20 млн евро или 4 % от годового мирового оборота за предыдущий финансовый год — за нарушение основных принципов обработки данных, прав субъекта данных, порядка передачи данных за пределы ЕС, требований контролирующих органов.

Меры по имплементации требований GDPR

Этап 1. Подготовительные действия.
На данном этапе необходимо определить, подпадаете ли вы под сферу действия Регламента, и если подпадаете, то кем вы являетесь — контролером или обработчиком. Вполне может быть, что в отношении одних данных вы будете контролером, в отношении других — обработчиком.
Установите состав и объем персональных данных, которые вы обрабатываете, составьте реестр данных.
Проведите аудит рисков, связанных с обработкой персональных данных. Установите, каким требованиям вы не соответствуете и какие действия необходимо произвести, чтобы им соответствовать.
При обработке данных с высоким риском проведите анализ влияния процессов обработки данных на права и свободы субъектов данных (Data Protection Impact Assessment).
Этап 2. Составление документации по защите персональных данных.
Для соответствия требованиям GDPR следует подготовить такие документы: политику конфиденциальности, политику о защите персональных данных, политику хранения и архивирования данных, форму согласия на обработку персональных данных, обязательные корпоративные правила (Binding Corporate Rules), если вы входите в группу компаний, и т.д.
Этап 3. Осуществление организационных и технических мер по имплементации требований Регламента.
На данном этапе вам необходимо предпринять следующие меры:
  • организационные: приведение в соответствие с разработанной документацией и Регламентом процедуры обработки данных, согласование обязательных корпоративных правил с надзорным органом, поиск представителя в ЕС и оформление с ним письменного документа, назначение ответственного лица, назначение инспектора по защите данных (Data Protection Officer) и т. д.; 
  • технические: введение программ по управлению соответствию GDPR, по ограничению доступа к персональным данным, псевдонимизации, цифрованию данных, программ, удаляющих данные по истечении срока хранения и т. д.

/по материалам газеты «Бухгалтерия» от 25.06.2018 г. №26,

 http://www.blitz-press.com.ua/c20/podatku?product_id=13049 /



Обучение в ВУЗе не спасет: новые правила мобилизации Бой Усик - Джошуа 2: смотреть онлайн СНБО накажет банкиров и руководство НБУ Рожкову и Дегтяреву за «банкопад» и разворовывание десятков миллиардов гривен