Вступил в силу европейский GDPR
Алина Моргунова, юрист правовой корпорации «Татаров Фаринник Головко»Сегодня, 25 мая 2018 года, вступил в силу Регламент Европейского Парламента и Совета (ЕС) 2016/679 от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных и свободном движении таких данных.
Этот регламент имеет территориальную сферу действия не только в странах Европейского Союза, но и в других государствах. GDPR распространяются на компании, которые занимаются обработкой данных резидентов и граждан ЕС, причем независимо от местонахождения такой компании. Поэтому все компании, которые предоставляют услуги, осуществляют продажу товаров или мониторинг поведения субъектов данных на территории ЕС должны соответствовать новым требованиям.
Следует обратить внимание, что новые правила защиты распространяются даже на компании, которые на своем официальном сайте только предлагают свои услуги на таких языках, как, например, английский, немецкий, французский и др. То есть независимо от того, заинтересовался клиент из другого государства данным предложением, компания должна выполнять новые правила защиты (в частности назначить контролера, оператора и представителя).
В ходе обработки персональных данных должны быть соблюдены следующие принципы: законность, правомерность, прозрачность, целевое ограничение, минимизация данных, точность, ограничения хранения, целостность и конфиденциальность, подотчетность. В любом случае обработка должна быть основана на согласии субъекта данных, но с правом отозвать такое согласие в любое время. Контроллер должен сообщать физическое лицо (субъекта данных) про обработку его персональных данных, а также предоставить информацию о сроке хранения персональных данных, существование права на отзыв согласия в любой момент, право обращения с жалобой в надзорный орган и др. Такой субъект данных наделен большим спектром прав, среди них: право на доступ к информации об обработке данных, право на исправление, право на удаление, право на ограничение обработки, право на мобильность данных.
Для того чтобы обработка персональных данных осуществлялось в соответствии с Регламентом, контроллеру необходимо осуществить ряд технических и организационных мероприятий. В связи с развитием новейших технологий, свободной доступности Интернета значительно вырос поток обмена персональными данными между частными и публичными лицами, а это в свою очередь приводит к сложности защиты этой информации.
Компаниям недостаточно назначить лицо (контроллера), который будет осуществлять контроль за сбором персональных данных, нужен еще оператор и представитель. Оператор должен обрабатывать данные от имени контроллера, а представитель — находиться в стране ЕС, в которой будут предоставляться услуги или осуществляться продажа товара. Представитель назначается контроллером или оператором в письменной форме. В некоторых случаях компания освобождается от назначения представителя, а именно когда обработка осуществляется не на постоянной основе, не в большом объеме относительно специальных категорий данных (расовую или этническую принадлежность, политические убеждения и др.) Или обработки данных о судимости и уголовные преступления и, вероятно, не приведет к возникновению риска для прав и свобод физического лица.
«Персональными данными» является любая информация, касающаяся физического лица, которое идентифицировано или можно идентифицировать (идентификационный номер, данные о местонахождении, онлайн-идентификатор и др., Факторы, которые являются определяющими для физического, умственного, культурного сущности субъекта данных).
Контроллеры, операторы, представители должны сотрудничать с надзорными органами, своевременно предоставлять ответы на запросы таких органов. Контроллер должен в случае обнаружения любого нарушения защиты персональных данных не позднее 72 часов с момента обнаружения обратиться в надзорный орган.
Если осуществляется нарушения обработки персональных данных физического лица, то такое лицо вправе обратиться в контролирующий орган с жалобой по месту своего постоянного жительства, месту работы или месту нарушения прав. В дальнейшем контролирующий орган информирует заявителя о результатах рассмотрения поданной жалобы. В случае ненадлежащего исполнения органом своих обязанностей, а именно непредоставления информации о ходе или результатах рассмотрения жалобы в течение 3 месяцев, лицо имеет право обратиться в суд государства, в котором был создан контролирующий орган.
За нарушение правил GDPR предусмотрены административные штрафы, размер которых зависит от характера, тяжести и продолжительности нарушения, но они могут достигать очень высокого уровня. В случае нарушения основных принципов обработки данных, передачи персональных данных получателю третьих стран или международных организаций, невыполнение требований национальных контролирующих органов, штраф может достигать 20 000 000 евро или 4% от годового дохода компании. В случае нарушения полномочий контроллера, оператора, возложенных на них Регламентом, применяется штраф размером до 10 000 000 евро или 2% от годового дохода.
Скорейшее применения этих правил в деятельности компаний является очень важным. Вообще соблюдения GDPR влияет на успешность Вашего бизнеса, поскольку последствия невыполнения очень серьезные, речь идет не только о высоких штрафах, но и о дальнейшей репутации. Вряд ли предприятие, которое будет ненадлежащим образом осуществлять обработку персональных данных, сможет выйти и зарекомендовать себя на европейском рынке.
Итак компании должны тщательно подойти к вопросу защиты персональных данных для создания прочных связей на европейском рынке.