Адвокатским объединением «Могильницкий и партнеры» особое внимание уделяется вопросам использования и защиты персональных данных физических лиц в повседневной работе компаний, которые являются нашими Клиентами.Сегодня можно говорить о новом направлении в предоставлении юридических услуг.
Проведение комплекса юридических действий, с целью защиты компаний наших Клиентов при обработке ими персональных данных физических лиц, соблюдение порядка передачи данных, использование средств защиты данных компаниями, внедрение специальных мер безопасности при переписке с использованием данных физических лиц.
В данном ключе необходимо коротко проанализировать принятие Европейским парламентом и Советом Европейского Союза 27 апреля 2016 года Регламента, который закрепляет правила защиты при обработке персональных данных физических лиц.
Регламент требует от компаний, ведущих бизнес в странах ЕС обеспечить защиту персональных данных и конфиденциальность граждан Европейского Союза при обработке и перемещении таких данных. Также, GDPR регулирует пересылку персональных данных за пределы Евросоюза, документ вступил в силу 25 мая 2018 года.
GDPR — General Data Protection Regulation (Общие правила защиты данных) — это нормативный акт, разработанный в целях усиления и стандартизации защиты конфиденциальности данных резидентов стран Европейского союза. Акт GDPR был разработан в качестве замены Европейской директивы по защите данных, которая была создана в 1995 году и является последним нормативным актом ЕС в отношении конфиденциальности персональных данных. Соблюдение GDPR — обязательное требование для всех, кто ведет бизнес в странах Европейского союза.
Любая компания, которая планирует вести бизнес в странах Европейского союза и работать с данными резидентов стран Европейского союза, уже обязана обеспечить условия для соблюдения положений GDPR. Поставщики товаров, предоставление услуг онлайн-продаж, туроператоры, транспортные компании, компании, которые предоставляют разного рода исследования, охватывающие потребителей из Европы и многие другие должны уже сегодня задуматься о соблюдении мер безопасности. Также соответствие нормам GDPR будет обязательным требованием со стороны иностранных компаний партнеров в Евросоюзе.
Регламентом предусмотрена ответственность за нарушение основных принципов международной передачи данных, штрафы до 20 миллионов евро или в размере 4 % от прибыли компании (в зависимости от того, какая сумма больше).
Регламент GDPR коснется украинских компаний, которые имеют постоянное присутствие в ЕС, например, через учрежденные филиалы и представительства. Любая передача персональных данных резидентов ЕС обособленным подразделением в материнскую украинскую компанию и дальнейшая обработка последней полученных персональных данных должна будет осуществляться в порядке, предусмотренном Регламентом GDPR.
Географическое положение компании, обрабатывающей данные субъектов Евросоюза не влияет на необходимость соблюдения правил GDPR.
Регламент вводит новые понятия Data controller — контролёр данных, организация, которая собирает данные от резидентов ЕС; Data processor — обработчик данных, организация, которая обрабатывает данные от имени контролёра данных, например, поставщик облачных услуг; Data subject (person) — субъект данных (лицо) — физическое лицо; Special categories of personal data — специальная категория персональных данных — данные о расе, политическом мнении, религиозных или философских убеждениях, генетические данные, членство в профсоюзах, биометрические данные позволяющие определить конкретного человека, данные о здоровье, сексуальная ориентация.
Правомерность обработки данных может быть законной при выполнении следующих условий — субъект данных дал согласие на обработку его персональных данных, обработка необходима для исполнения договора, обработка необходима для соблюдения правовых обязательств, обработка необходима для защиты жизненных интересов субъекта данных, обработка необходима для выполнения задачи осуществляется в общественных интересах или при исполнении служебных полномочий возложенных на контролера.
Существует комплекс защитных мер для компаний, которые попадают под действия Регламента, такие как аудит процесса обработки персональных данных в компании, методика сбора и обработки персональных данных, хранение данных, разработка специальных систем, сроки и форматы хранения данных, безопасность использования баз данных, разработка политики по обработке и защите персональных данных, проведение оценки информационных рисков, внедрение систем обработки запросов субъектов данных,
Надзорным органом согласно Регламента выступает каждая страна участница, которая предусматривает один или несколько независимых государственных органов, которые отвечают за контроль за применением Правил GDPR.
И в конце хотелось бы обратить внимание, что Украина подписала Соглашение об ассоциации с Европейским союзом. В соответствии со ст.15 Соглашения стороны договорились сотрудничать с целью обеспечения соответствующего уровня защиты персональных данных в соответствии с наивысшими европейскими и международными стандартами, в частности соответствующих документам Совета Европы.
Таким образом, уже сегодня украинским компаниям необходимо позаботится о четком и неукоснительном соблюдении норм GDPR, в противном случае можно допустить ошибку, которая повлечет потери материального и имиджевого характера.