На что обратить внимание компании, которая имеет дело с персональными данными граждан Евросоюза

В современном мире все больше компаний сталкиваются с необходимостью обработки персональных данных граждан Евросоюза. При этом важно помнить о том, что европейские законы о защите данных устанавливают жесткие требования к обработке и хранению персональной информации. В данной статье мы рассмотрим основные аспекты, которые необходимо учитывать компаниям, работающим с данными европейских граждан, чтобы избежать штрафов и соблюсти законодательство.

Каких правил придерживаться при обработке персональных данных граждан Евросоюза

Общий регламент о защите данных (General Data Protection Regulation или GDPR), устанавливает правила для сбора и сохранения персональной информации граждан Евросоюза. GDPR стал обязательным для всех компаний, как тех, которые находятся как внутри, так и за пределами Евросоюза и занимаются обработкой персональных данных граждан ЕС. Данный регламент действует с мая 2018 года.

Что относится к обработке персональных данных граждан Евросоюза

К обработке персональных данных граждан Евросоюза в соответствии с GDPR относятся любые действия с персональными данными. В том числе сбор, запись, структурирование, хранение, переработка, использование, передача, уничтожение и другие действия с персональными данными.

В соответствии с GDPR относятся к персональным данным все идентификаторы, которые помогают идентифицировать физических лиц онлайн. Это IP-адрес, cookies.

Компаниям, которые имеют дело с персональными данными граждан Евросоюза, нужно построить свои бизнес-процессы в соответствии с GDPR.

Каким компаниям нужно применять Общий регламент о защите данных

Не важно, где территориально находится компания, которая обрабатывает персональные данные граждан Евросоюза. Требования GDPR нужно соблюдать компаниям, которые:

1. Находятся на территории Евросоюза или за его пределами, но осуществляет деятельность, направленную на территорию Евросоюза.
2. Сотрудничают с партнерами из Евросоюза и получают персональные данные пользователей.
3. Собирают и проводят анализ информации с территории Евросоюза и предоставляют товары и услуги для его жителей.
4. Обрабатывают персональные данные по поручению оператора, который подпадает под требования общего регламента о защите данных.

Какие персональные данные граждан Евросоюза обрабатывать запрещено

Нельзя обрабатывать особые персональные данные граждан Евросоюза, которые связаны с этническим или расовым происхождением, политическими, религиозными взглядами, генетическими и биометрическими данными, данными, связанными со здоровьем. Только само физическое лицо — гражданин Евросоюза может сделать эти данные доступными.

Основания для обработки персональных данных граждан Евросоюза

Есть два вида оснований для обработки персональных данных граждан Евросоюза. Это согласие гражданина и основания, когда согласие не требуется в соответствии с GDPR.

Согласие граждан Евросоюза на обработку персональных данных не требуется, когда персональные данные используются только для заключения договора с физлицом.

В других случаях нужно на каждое действие с персональными данными получить согласие гражданина Евросоюза. До того, как получить согласие, нужно предложить физлицу ознакомиться с информацией о компании и целями обработки персональных данных.

На сайте согласие можно выразить например:

• Отметкой в специальной форме на сайте.
• Выбором технических настроек на сайте.

Кто контролирует правильность применения GDPR в компании

Чтобы контролировать правильность применения GDPR, владелец данных (это может быть заказчик программного обеспечения) назначает DPO — Data Protection Officer или инспектора по защите персональных данных. Такой специалист работает с обращениями физических лиц и контролирующими органами.

В соответствии с белорусскими требованиями к защите персональных данных в каждой компании, которая имеет дело с физическими лицами, должны быть специалисты по обработке персональных данных.

В отношении персональных данных граждан Евросоюза не такого жесткого требования. DPO может быть специалист на аутсорсинге или сотрудник компании.

DPO назначают или нанимают организации:

• Которые обрабатывают персональные данные большого количества физических лиц — граждан Евросоюза.
• Которые обрабатывают большие объемы особых персональных данных.

Функции DPO

DPO организует систему внутреннего контроля за обработкой персональных данных. Функции DPO обусловлены спецификой компании. Чаще всего DPO:

• Консультирует сотрудников компании, которые занимаются обработкой персональных данных, по вопросам применения GDPR.
• Контролирует обработку обращений физических лиц и соблюдение порядка, который определен GDPR.
• Проводит аудит обработки персональных данных, разрабатывает регламенты и политики их обработки в соответствии с GDPR.
• Оценивает риски утечки персональных данных.
• Сотрудничает с надзором органом.

Заказчик из Евросоюза может настаивать на аудите соответствия GDPR работы с персональными данными, на привлечении DPO. В любом случае компании, которая обрабатывает персональные данные граждан Евросоюза, будет полезно получить консультацию DPO.

Кто такие контроллер и процессор

В GDPR используются такие понятия, как «контроллер» и «процессор». Эти понятия соответствуют понятиям оператора и уполномоченного лица в белорусском законодательстве о персональных данных.

К обязанностям контроллеров относятся:

• Проверка соответствия порядка обработки персональных данных принципам законности, честности и прозрачности.
• Возможность граждан реализовывать свои права, связанные с обработкой их персональных данных.
• Защита информации.
• Найм процессоров и заключение с ними договоров.
• Информирование контролирующего органа о нарушениях при обработке персональных данных. Информировать нужно в течение 72 часов.
• Соблюдение порядка международной передачи персональных данных.
• Взаимодействие с органами, контролирующими обработку персональных данных в государствах Евросоюза.

О чем нужно информировать физическое лицо

Когда контроллер получил персональные данные не от самого физического лица-субъекта персональных данных, в соответствии с GDPR контроллер должен информировать физлицо:

1. О своих данных и данных своего представителя.
2. О контактах DPO.
3. О целях обработки персональных данных и основаниях обработки.
4. О видах персональных данных и получателях персональных данных.

К обязанностям процессоров относятся:

1. Исполнение инструкций контроллера, которые не нарушают требования законодательства к конфиденциальности информации.
2. Защита информации.
3. Передача информации контроллерам и регуляторам об инцидентах, связанных с информационной безопасностью.
4. Привлечение субпроцессоров по указанию контроллера и взаимодействие с ними.

Что такое право на забвение

GDPR как и белорусское законодательство предоставляет физическим лицам право потребовать у контроллера удаления персональных данных, которые относятся к этим физическим лицам. Для удаления персональных данных должны быть основания:

• Отсутствует необходимость в персональных данных для тех целей, для которых они собраны.
• Отзыв согласия на обработку персональных данных физическим лицом.
• Возражения физического лица против обработки персональных данных.
• Незаконная обработка персональных данных.
• Уничтожение персональных данных по требованию законодательства.

Как действуют в случае инцидента

К инцидентам относятся случаи утечки персональных данных. Об утечке нужно сообщить в надзорный орган на территории того государства Евросоюза, гражданство которого имеют граждане, чьи персональные данные пострадали. В случае масштабной утечки персональных данных информацию об этом распространяют в СМИ.

Что такое орган-регулятор

К органам-регуляторам в сфере персональных данных относятся государственные органы, например, суды, в каждом государстве Евросоюза.

Регулятор может:

• Проверять порядок обработки персональных данных.
• Выносить предупреждения и предписания о соблюдении GDPR.
• Определять условия трансграничной передачи персональных данных.
• Запрещать обработку персональных данных и штрафовать за нарушения GDPR.

В Евросоюзе контролирующим органом является Европейский совет по защите персональных данных.

Какие меры может применить регулятор за нарушения GDPR при обработке персональных данных

За нарушения обязательств в отношении приватности и нарушения обязательств контроллеров и процессоров применяется штраф до 2% от финансового оборота за предыдущий год или 10 млн евро.

За нарушения принципов обработки персональных данных, прав субъектов персональных данных, порядка передачи персональных данных, отсутствие DPO применяется штраф до 4% от финансового оборота за предыдущий год или до 20 млн евро.

Возможна подача иска в суд.

Чем мы можем быть полезны при выстраивали бизнес-процессов в соответствии с GDPR и обработке персональных данных граждан Евросоюза

Мы можем:

• Проконсультировать вас по вопросам соответствия GDPR порядка обработки персональных данных в компании.
• Провести аудит обработки персональных данных на соответствие GDPR и дать рекомендации.
• Предоставить услуги DPO на аутсорсинге.
• Представить ваши интересы в переговорах с заказчиками по вопросам соответствия процессов GDPR.
• Разработать документы по защите персональных данных в соответствии с GDPR.

Свяжитесь с нами

Если у Вас возникли вопросы, связанные с выполнениями требований GDPR — мы будем рады Вам помочь! Наш многолетний опыт поможет Вам в разрешении и урегулировании любых спорных ситуаций.
Для вашего удобства доступны варианты связи по телефону и электронной почте:

• +375293664477 (WhatsApp/Telegram/Viber);
• info@ambylegal.by.