fbpx
+375 (17) 385-91-36
+375 (29) 310-88-15
office@ukon.by
EN

Что представляет собой General Data Protection Regulation?

General Data Protection Regulation (далее – GDPR или Регламент) является правовой основой, которая устанавливает руководящие принципы для сбора и обработки персональных данных физических лиц в пределах Европейского союза (далее – ЕС). GDPR также определяет принципы управления персональными данными и права пользователей, а также предусматривает штрафы для компаний в случае несоблюдения требований Регламента.

Ключевые принципы, касающиеся обработки персональных данных:

  • Законность, справедливость и прозрачность – обработка персональных данных должна осуществляться в соответствии с требованиями GDPR: субъект данных должен знать о том, что его данные обрабатываются, а также знать о целях обработки персональных данных.
  • Конкретность целей – данные должны собираться в конкретных, четко сформулированных и законных целях и не подвергаться последующей обработке, противоречащей этим целям. За нецелевую обработку персональных данных установлены санкции. Цель сбора персональных данных должна быть указана во время сбора.
  • Минимизация данных – обработке должен подвергаться только конкретный минимальный перечень персональных данных, необходимый для конкретного бизнес-процесса.
  • Достоверность персональных данных – неточности, обнаруженные в обрабатываемых персональных данных, должны быть своевременно (без замедления) исправлены или удалены.
  • Ограничение срока хранения персональных данных – персональные данные должны храниться не дольше, чем это необходимо для целей обработки персональных данных.
  • Целостность и конфиденциальность – персональные данные должны обрабатываться способом, который может обеспечить надлежащую безопасность персональных данных, включая защиту от незаконной и несанкционированной обработки, а также защиту от случайной утраты, уничтожения или повреждения персональных данных. После завершения процесса обработки персональные данные должны оставаться полными и единообразными.

На кого распространяется действие GDPR?

GDPR применяется ко всем Компаниям, хранящим и обрабатывающим персональные данные лиц, находящихся на территории ЕС, независимо от того, осуществляется ли обработка на территории ЕС или нет. Если компания, обрабатывающая персональные данные, учреждена вне ЕС, то GDPR будет применяться в случае, если деятельность Компании связана с:

  • предоставлением товаров и услуг неограниченному кругу лиц;
  • мониторингом действий лиц, находящихся на территории ЕС.

В то же время Регламент не применяется к обработке персональных данных:

  • юридических лиц;
  • умерших лиц
  • физическими лицами при осуществлении ими сугубо личной или бытовой деятельности;
  • компетентными органами в целях предотвращения, расследования, выявления уголовных преступлений или исполнения уголовных наказаний.

Субъекты GDPR

В соответствии с Регламентом всех субъектов защиты персональных данных можно разделить на несколько категорий:

  • контроллер – физическое или юридическое лицо, государственный орган или иной орган, определяющий цели и средства обработки персональных данных, то есть это те лица, в чьих интересах происходит сбор и обработка персональных данных;
  • процессор – физическое или юридическое лицо, государственный орган или иной орган, обрабатывающий персональные данные от имени и по поручению контроллера;
  • субъект данных – идентифицированное или идентифицируемое лицо, чьи персональные данные обрабатываются;
  • надзорный орган – самостоятельный полномочный государственный орган, создаваемый в государствах-членах Регламента.

Что представляют собой персональные данные?

Персональные данные – это любая информация, которая относится к уже идентифицированному или идентифицируемому живому человеку. Идентифицируемым лицом является лицо, которое может быть прямо или косвенно идентифицировано по отдельной информации, например, по имени, фотографии, данным о местоположении и т.д.

GDPR защищает персональные данные независимо от технологии, используемой для обработки этих данных (персональные данные могут обрабатываться как ручным, так и автоматизированным образом), при условии, что данные организованы в соответствии с заранее определенными критериями (например, в алфавитном порядке). Также не имеет значения, как хранятся данные в информационной системе (в виде записей с камер видеонаблюдения или в бумажном варианте): во всех случаях персональные данные подпадают под требования защиты, изложенные в GDPR.

Следует иметь в виду, что анонимная информация, которая не позволяет провести идентификацию физических лиц, не подлежит защите в соответствии с Регламентом. Такая информация может быть собрана, например, в статистических или исследовательских целях.

Что понимается под обработкой персональных данных?

Обработка охватывает широкий спектр операций с персональными данными. Например, она включает в себя сбор, запись, организацию, структурирование, хранение, переработку или изменение, поиск выборку, экспертизу, использование, раскрытие посредством передачи, рассылку или иной способ предоставления для доступа, группировку или комбинирование, отбор, стирание или уничтожение. Таким образом, практически все действия, которые компания может осуществлять с персональными данными, являются обработкой.

Что означает правомерность обработки персональных данных?

Компаниям при обработке персональных данных необходимо помнить о критериях правомерности обработки. Так, обработка является правомерной, если применимо хотя бы одно из следующих условий:

  • субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
  • обработка необходима для исполнения договора, по которому субъект данных является одной из сторон, либо для принятия мер по требованию пользователя до заключения договора;
  • обработка необходима для исполнения обязательств, субъектом которых является контролер;
  • обработка необходима для защиты жизненных интересов субъекта данных либо иного физического лица;
  • обработка необходима для обеспечения законных интересов контролера или третьего лица;
  • обработка необходима в общественных интересах или для исполнения официальных полномочий контролера.

Регламентом установлены возрастные ограничения для субъектов данных. Так, по общему правилу, установленному Регламентом, обработка персональных данных будет правомерна том случае, если субъект данных достиг возраста 16 лет. Если субъект данных не достиг 16 лет, то обработка будет правомерной только в случае получения согласия на обработку законных представителей. В государствах-членах Регламента может быть предусмотрен меньший возраст субъекта данных, но не ниже 13 лет.

Следует обратить внимание, что Регламентом предусмотрены отдельные категории персональных данных, которые подлежат усиленной защите, так называемые «sensitive data». Так, к указанной категории персональных данных относятся сведения, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения, либо членство в профсоюзе; генетические данные, биометрические данные, однозначно идентифицирующие физическое лицо; данные, касающиеся здоровья, половой жизни или сексуальной ориентации физического лица.

Что означает утечка персональных данных?

Утечка персональных данных означает нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным. Например, к утечке можно отнести отправку персональных данных не тому адресату, копирование персональных данных на флеш-накопители и т.д. Компаниям следует помнить о том, что в случае утечки персональных данных субъектов данных, необходимо сообщить об этом в контролирующий орган в течение 72 часов с момента такой утечки. Если же утечка персональных данных может нанести серьезный ущерб правам и свободам субъектов данных, то они также должны быть осведомлены о факте утечки.

Чем грозит несоответствие деятельности Компании требованиям GDPR?

GDPR установлена ответственность за несоответствие деятельности компании требованиям Регламента. Надзорный орган может использовать следующие санкции: предупреждение, запрет на обработку, блокировку продукта и штрафные санкции. Штраф устанавливается в зависимости от того, какое именно положение GDPR было нарушено. Например, за невыполнение контроллером или процессором, сертификационным или контрольным органом своих обязанностей (например, непринятие процессором надлежащих мер по выявлению того, кем было дано согласие на обработку персональных данных лица, не достигшего 16 лет, и т.д.) установлен штраф в размере до 10 миллионов долларов или до 2% годового дохода, полученного за предшествующий год, в то время, как за нарушения базовых принципов обработки, некоторых прав субъекта персональных данных и в иных случаях, предусмотренных Регламентом, штраф может достигать 20 миллионов долларов или 4% годового дохода, полученного за предшествующий финансовый год. Таким образом, несоответствие деятельности компании в области обработки персональных данных GDPR, может грозить компании блокировкой самого продукта и утратой европейского рынка или же огромным штрафом. Несмотря на то, что судебная практика по Регламенту еще не устоялась, уже имеются судебные решения по вопросам, касающимся Регламента. Так, например, компании ICANN (данная компания координирует процесс присвоения доменных имен) запретили обработку большего объема персональных данных, чем необходимо для самой цели обработки.

Первым шагом к обеспечению деятельности компании требованиям GDPR является ознакомление сотрудников с Регламентом. После этого можно начинать разработку необходимой документации.

Данный цикл статей поможет ознакомиться с основными положениями Регламента.

Автор статьи: младший юрист Валерия Жигадло

По вопросам обеспечения соответствия деятельности Вашей компании требованиям GDPR, пожалуйста, связывайтесь с:

Евгением Ходькиным

Управляющий партнер Юридической компании ЮКОН

e.khodzkin@ukon.by

 

 

Ноябрь 2018
Пн Вт Ср Чт Пт Сб Вс
 1234
567891011
12131415161718
19202122232425
2627282930  
YouTube
Instagram
Vkontakte
Меню