В условиях стремительного развития цифровых технологий, информация стала одним из наиболее ценных ресурсов, поэтому защита персональных данных (далее — ПД), процесс их обработки, использования и хранения играют одно из ключевых вопросах при функционировании компаний.
General Data Protection Regulation (GDPR) — это регламент, принятый в рамках законодательства Европейского Союза (ЕС), направленный на обеспечение защиты персональных данных граждан ЕС и урегулирование процесса обработки таких данных компаниями, вступивший в силу 25 мая 2018 года.
Регламент устанавливает принципы работы с данными; особенности согласия пользователей на обработку их персональных данных; права пользователей в отношении их персональных данных; детализирует порядок сбора, обработки и хранения таких данных для контролирующих организаций и т.д. Отдельного внимания заслуживает ответственность за нарушение GDPR, ведь санкции достаточно строгие. К примеру, наказание за нарушение установленных требований может быть в виде штрафа до 4% мирового годового оборота компании или до 20 миллионов евро.
К каким компаниям применяется GDPR
GDPR применяется к компаниям и организациям, которые в процессе их функционирования осуществляют сбор, обработку и хранение персональных данных граждан ЕС, а также в случаях, когда такая компания или организация находится в пределах ЕС, независимо от того, обработка персональных данных осуществляется в пределах ЕС или за пределами ЕС, а также независимо от субъектов, персональные данные которых обрабатываются.
Другими словами, GDPR применяется к любой компании, которая:
- зарегистрирована или расположена в ЕС
В таком случае место хранения и обработки персональных данных, которые собирает компания не имеет значения. При этом даже если в ЕС расположен филиал или представительство иностранной компании без статуса юридического лица и они осуществляют обработку персональных данных граждан и резидентов ЕС, компания может рассматриваться как такая, которая расположена на территории ЕС.
- предлагает услуги или товары лицам на территории ЕС
Предложением можно считать использование языка одного из государств-членов ЕС в одной из версий сайта компании, указание цен на товары или услуги в валюте государства-члена ЕС или использование национальных доменов одного или из государств-членов ЕС.
Например, одна из версий сайта украинского интернет-магазина зоотоваров представлена на итальянском языке и цены на товары указаны в евро считается предложением товаров лицам на территории ЕС.
- отслеживает поведение лиц в ЕС.
Одним из наиболее распространенных примеров отслеживания является использование файлов «cookie» для аналитики или рекламы на сайте. Преимущественно указанная норма касается компаний, которые предлагают свои товары или услуги потребителям в ЕС. Однако, компания, которая не ориентирована на потребителей из ЕС, но может собирать их персональные данные на своем сайте, технически может быть привлечена к ответственности за нарушение норм GDPR.
Основные моменты, которые должны приниматься во внимание при подготовке к работе с GDPR
1) Обрабатываются ли чувствительные персональные данные?
Среди персональных данных GDPR выделяет так называемые чувствительные данные (специальные категории данных). Они требуют особой защиты, поскольку делают человека уязвимым. К ним, в частности, относятся:
— данные о расовой или этнической принадлежности
— политические убеждения
— религиозные или философские верования
— участие в профсоюзах
— генетические данные/биометрические данные
— состоянии здоровья и сексуальной жизни/ориентации
— данные о преступлениях и мерах уголовной ответственности, которые применяются или были применены в прошлом к конкретному лицу
2) Что предусмотрено национальным законодательством?
Обязательно стоит проверить национальные стандарты и требования по обработке персональных данных, которые закреплены в законодательстве конкретного государства-члена ЕС: часто национальное законодательство расширяет положения GDPR. Например, расширение объема регулирования (то есть не только Регламент, но и требования национального закона) может повлечь за собой:
— расширение субъектов персональных данных (включать еще и юридических лиц)
— требования относительно минимального возраста субъектов персональных данных, которые самостоятельно могут давать согласие на обработку данных;
— Whitelists и Blacklists, то есть согласованные с European Data Protection Board (EDPB) перечни операций, для которых не требуется или, наоборот, обязательно требуется проведение оценки рисков (Data Protection Impact Assessment, DPIA).
3) Какую роль в процессе обработки данных выполняет компания?
На этом этапе важно определить роль, которая выполняется: роль контролера или оператора. На последнего же возлагается значительно меньше ответственности по сравнению с первым. Это связано с тем, что оператор действует исключительно по инструкции владельца. Он не может собирать и обрабатывать персональные данные (ПД) иным способом, чем указанный контроллером.
Контроллер занимает же ведущую роль. Он предоставляет гарантии по техническим и организационным мерам безопасности, информирует дополнительно обработчика об обработке специальных категорий данных, гарантирует, что лица, которые взяли на себя обязательства по обработке персональных данных, осуществляют это в соответствии с условиями конфиденциальности; и, конечно же, определяет цели и способы обработки ПД.
4) Нужен ли в компании Data Protection Officer (DPO)?
GDPR определяет перечень обстоятельств, при которых компания обязана назначить Data Protection Officer (далее — DPO). В свою очередь, DPO — это лицо, которое назначает владелец данных, для слежения за правильностью применения норм GDPR. Это может быть как работник, так и лицо, работающее по гражданско-правовому договору. Data Protection Officer может выполнять свои функции для разных компаний одновременно — как подрядчик. Обязательно назначается DPO по следующим причинам:
— владелец является публичным учреждением (например, государственным органом)
— данные обрабатываются в больших масштабах
— обрабатываются специальные категории данных
В обязанности DPO входит предоставление советов контроллеру или процессору при осуществлении обработки персональных данных, коммуникация с надзорным органом, осуществление контроля правильности применения Регламента.
Преимуществом осуществления правил GDPR является формирование деловой репутации компании, которая ценит персональные данные своих клиентов. Кроме этого, обеспечение безопасности данных позволит избежать финансовых и экономических потерь в будущем.
Поэтому, действующим компаниям мы рекомендуем критически осмыслить на какую аудиторию пользователей по географическому критерию направлены их услуги, в случае, если вы не ограничены украинским рынком и ваши бизнес-цели направлены на масштабирование — то следует позаботиться о соответствии GDPR. Список основных моментов для работы с GDPR значительно больше, чем мы отметили в статье. Обращайтесь к нашим юристам, чтобы получить подробную консультацию и помощь в производстве GDPR.
GDPR / авторское право / защита / интеллектуальная собственность / персональные данные
