В современном мире все больше компаний сталкиваются с необходимостью обработки персональных данных граждан Евросоюза. При этом важно помнить о том, что европейские законы о защите данных устанавливают жесткие требования к обработке и хранению персональной информации. В данной статье мы рассмотрим основные аспекты, которые необходимо учитывать компаниям, работающим с данными европейских граждан, чтобы избежать штрафов и соблюсти законодательство.
Каких правил придерживаться при обработке персональных данных граждан Евросоюза
Общий регламент о защите данных (General Data Protection Regulation или GDPR), устанавливает правила для сбора и сохранения персональной информации граждан Евросоюза. GDPR стал обязательным для всех компаний, как тех, которые находятся как внутри, так и за пределами Евросоюза и занимаются обработкой персональных данных граждан ЕС. Данный регламент действует с мая 2018 года.
Что относится к обработке персональных данных граждан Евросоюза
К обработке персональных данных граждан Евросоюза в соответствии с GDPR относятся любые действия с персональными данными. В том числе сбор, запись, структурирование, хранение, переработка, использование, передача, уничтожение и другие действия с персональными данными.
В соответствии с GDPR относятся к персональным данным все идентификаторы, которые помогают идентифицировать физических лиц онлайн. Это IP-адрес, cookies.
Компаниям, которые имеют дело с персональными данными граждан Евросоюза, нужно построить свои бизнес-процессы в соответствии с GDPR.
Каким компаниям нужно применять Общий регламент о защите данных
Не важно, где территориально находится компания, которая обрабатывает персональные данные граждан Евросоюза. Требования GDPR нужно соблюдать компаниям, которые:
- Находятся на территории Евросоюза или за его пределами, но осуществляет деятельность, направленную на территорию Евросоюза.
- Сотрудничают с партнерами из Евросоюза и получают персональные данные пользователей.
- Собирают и проводят анализ информации с территории Евросоюза и предоставляют товары и услуги для его жителей.
- Обрабатывают персональные данные по поручению оператора, который подпадает под требования общего регламента о защите данных.
Какие персональные данные граждан Евросоюза обрабатывать запрещено
Нельзя обрабатывать особые персональные данные граждан Евросоюза, которые связаны с этническим или расовым происхождением, политическими, религиозными взглядами, генетическими и биометрическими данными, данными, связанными со здоровьем. Только само физическое лицо — гражданин Евросоюза может сделать эти данные доступными.
Основания для обработки персональных данных граждан Евросоюза
Есть два вида оснований для обработки персональных данных граждан Евросоюза. Это согласие гражданина и основания, когда согласие не требуется в соответствии с GDPR.
Согласие граждан Евросоюза на обработку персональных данных не требуется, когда персональные данные используются только для заключения договора с физлицом.
В других случаях нужно на каждое действие с персональными данными получить согласие гражданина Евросоюза. До того, как получить согласие, нужно предложить физлицу ознакомиться с информацией о компании и целями обработки персональных данных.
На сайте согласие можно выразить например:
- Отметкой в специальной форме на сайте.
- Выбором технических настроек на сайте.
Кто контролирует правильность применения GDPR в компании
Чтобы контролировать правильность применения GDPR, владелец данных (это может быть заказчик программного обеспечения) назначает DPO — Data Protection Officer или инспектора по защите персональных данных. Такой специалист работает с обращениями физических лиц и контролирующими органами.
В соответствии с белорусскими требованиями к защите персональных данных в каждой компании, которая имеет дело с физическими лицами, должны быть специалисты по обработке персональных данных.
В отношении персональных данных граждан Евросоюза не такого жесткого требования. DPO может быть специалист на аутсорсинге или сотрудник компании.
DPO назначают или нанимают организации:
- Которые обрабатывают персональные данные большого количества физических лиц — граждан Евросоюза.
- Которые обрабатывают большие объемы особых персональных данных.
Функции DPO
DPO организует систему внутреннего контроля за обработкой персональных данных. Функции DPO обусловлены спецификой компании. Чаще всего DPO:
- Консультирует сотрудников компании, которые занимаются обработкой персональных данных, по вопросам применения GDPR.
- Контролирует обработку обращений физических лиц и соблюдение порядка, который определен GDPR.
- Проводит аудит обработки персональных данных, разрабатывает регламенты и политики их обработки в соответствии с GDPR.
- Оценивает риски утечки персональных данных.
- Сотрудничает с надзором органом.
Заказчик из Евросоюза может настаивать на аудите соответствия GDPR работы с персональными данными, на привлечении DPO. В любом случае компании, которая обрабатывает персональные данные граждан Евросоюза, будет полезно получить консультацию DPO.
Кто такие контроллер и процессор
В GDPR используются такие понятия, как «контроллер» и «процессор». Эти понятия соответствуют понятиям оператора и уполномоченного лица в белорусском законодательстве о персональных данных.
К обязанностям контроллеров относятся:
- Проверка соответствия порядка обработки персональных данных принципам законности, честности и прозрачности.
- Возможность граждан реализовывать свои права, связанные с обработкой их персональных данных.
- Защита информации.
- Найм процессоров и заключение с ними договоров.
- Информирование контролирующего органа о нарушениях при обработке персональных данных. Информировать нужно в течение 72 часов.
- Соблюдение порядка международной передачи персональных данных.
- Взаимодействие с органами, контролирующими обработку персональных данных в государствах Евросоюза.
О чем нужно информировать физическое лицо
Когда контроллер получил персональные данные не от самого физического лица-субъекта персональных данных, в соответствии с GDPR контроллер должен информировать физлицо:
- О своих данных и данных своего представителя.
- О контактах DPO.
- О целях обработки персональных данных и основаниях обработки.
- О видах персональных данных и получателях персональных данных.
К обязанностям процессоров относятся:
- Исполнение инструкций контроллера, которые не нарушают требования законодательства к конфиденциальности информации.
- Защита информации.
- Передача информации контроллерам и регуляторам об инцидентах, связанных с информационной безопасностью.
- Привлечение субпроцессоров по указанию контроллера и взаимодействие с ними.
Что такое право на забвение
GDPR как и белорусское законодательство предоставляет физическим лицам право потребовать у контроллера удаления персональных данных, которые относятся к этим физическим лицам. Для удаления персональных данных должны быть основания:
- Отсутствует необходимость в персональных данных для тех целей, для которых они собраны.
- Отзыв согласия на обработку персональных данных физическим лицом.
- Возражения физического лица против обработки персональных данных.
- Незаконная обработка персональных данных.
- Уничтожение персональных данных по требованию законодательства.
Как действуют в случае инцидента
К инцидентам относятся случаи утечки персональных данных. Об утечке нужно сообщить в надзорный орган на территории того государства Евросоюза, гражданство которого имеют граждане, чьи персональные данные пострадали. В случае масштабной утечки персональных данных информацию об этом распространяют в СМИ.
Что такое орган-регулятор
К органам-регуляторам в сфере персональных данных относятся государственные органы, например, суды, в каждом государстве Евросоюза.
Регулятор может:
- Проверять порядок обработки персональных данных.
- Выносить предупреждения и предписания о соблюдении GDPR.
- Определять условия трансграничной передачи персональных данных.
- Запрещать обработку персональных данных и штрафовать за нарушения GDPR.
В Евросоюзе контролирующим органом является Европейский совет по защите персональных данных.
Какие меры может применить регулятор за нарушения GDPR при обработке персональных данных
За нарушения обязательств в отношении приватности и нарушения обязательств контроллеров и процессоров применяется штраф до 2% от финансового оборота за предыдущий год или 10 млн евро.
За нарушения принципов обработки персональных данных, прав субъектов персональных данных, порядка передачи персональных данных, отсутствие DPO применяется штраф до 4% от финансового оборота за предыдущий год или до 20 млн евро.
Возможна подача иска в суд.
Чем мы можем быть полезны при выстраивали бизнес-процессов в соответствии с GDPR и обработке персональных данных граждан Евросоюза
Мы можем:
- Проконсультировать вас по вопросам соответствия GDPR порядка обработки персональных данных в компании.
- Провести аудит обработки персональных данных на соответствие GDPR и дать рекомендации.
- Предоставить услуги DPO на аутсорсинге.
- Представить ваши интересы в переговорах с заказчиками по вопросам соответствия процессов GDPR.
- Разработать документы по защите персональных данных в соответствии с GDPR.
Свяжитесь с нами
Если у Вас возникли вопросы, связанные с выполнениями требований GDPR — мы будем рады Вам помочь! Наш многолетний опыт поможет Вам в разрешении и урегулировании любых спорных ситуаций.
Для вашего удобства доступны варианты связи по телефону и электронной почте:
- +375293664477 (WhatsApp/Telegram/Viber);
- info@ambylegal.by.