ЧТО НУЖНО ЗНАТЬ О GDPR

15 октября 2019

GDPR — это новый документ, регулирующий вопросы защиты персональных данных, который был принят и вступил в действие с 25 мая 2018 года и тем самым заменил собой Директиву 95/46 / ЕС Европейского Парламента и Совета ЕС «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных «, которая регулировала отношения в сфере защиты персональных данных в Европе последние десятилетия.

GDPR. Новое революционное регулирование

В 2016 году, Европейским парламентом и Советом ЕС было принят и утвержден новый Общий Регламент по Защите Персональных Данных (General Data Protection Regulation или сокращенно GDPR), который по своей сути стал революционным, ведь в этот документ, ни один другой так скрупульозно не подходил к вопросу защиты частных персональных данных.

Основные изменения по защите персональных данных

GDPR, как документ, который принимался с учетом развития современных технологий, а также с учетом тенденций использования персональных данных при предоставлении телекоммуникационных услуг в контексте использования всемирной сети Интернет, в значительной мере изменил и дополнил положения европейского законодательства в сфере защиты персональных данных, которое значительно устарело.

Основные изменения прежде всего касаются расширения принципов обработки персональных данных, прав, обязанностей и ответственности всех вместе и каждого отдельного субъекта, вовлеченного в процесс обработки персональных данных. Рассмотрим лишь некоторые из них.

  • Во-первых, появился принцип «Accountability», который обязывает все компании, вовлеченные в процесс обработки персональных данных в рамках европейского законодательства, доказывать соответствие своей деятельности требованиям GDPR, в контексте обработки персональных данных.

Например, когда к вам, как к контроллеру данных обращается контролирующий орган, вы будете обязаны доказать, что приняли все надлежащие организационные и технические мероприятия для возможности гарантировать безопасность обработки персональных данных). Иначе, к вам будут применены санкции.

  • Во-вторых, права физических лиц, чьи персональные данные обрабатываются, получили дополнительные права, например, такие как право требовать передачи персональных данных другому контроллеру (data portability right) и право на запрет принятия решения в отношении физического лица исключительно на основании автоматизированной обработки.

Например, когда вы как контроллер, осуществляя обработку персональных данных с помощью автоматизированной программы, вы формируете профиль клиента, и когда такая программа, используя информацию из профиля, автоматически принимает решение о совершении определенных действий относительно такого клиента (например выдача или невыдача денежного кредита), в таком случае, клиент, в качестве субъекта персональных данных, имеет право обратиться к вам с требованием не использовать такую ​​программу в отношении его персональных данных.

  • В-третьих, GDPR, разделяя понятия контроллер и обработчик, в отличие от Директивы 95/46 / ЕС, наделил обработчика определенными обязанностями, как по отношению к контроллеру так и в отношении физических лиц, чьи персональные данные обрабатываются.

Например, обработчик должен нести ответственность самостоятельно, если он не выполнит требования по организации надлежащей защиты персональных данных, которые полагаются на него статьей 32 GDPR.

КОГО КАСАЕТСЯ GDPR?

Рассматривая GDPR, как комплексный документ, стоит отметить, что его нормы могут быть обязательными для исполнения и за пределами Европейского Союза. В частности, Регламент определяет два принципа применения Регламента к компаниям:

  • Территориальный принцип;
  • Материальный принцип.

Материальный принцип считается универсальным и определяет, в частности, какие категории персональных данных должны обрабатываться контроллером или обработчиком, чтобы понять или их деятельность, связанная с обработкой персональных данных, подпадает под требования GDPR. Так, в статье 2 GDPR отмечается, что Регламент применяется по отношению к обработке всех персональных, физических лиц, которые находятся в ЕС, независимого от места их проживания, происхождение и регистрации. С этого следует уже сразу сделать вывод, что GDPR не будет касаться обработки персональных данных только граждан ЕС, а всех физических лиц, находящихся на территории Европейского Союза.

Территориальный принцип, предусмотренный статьей 3 GDPR, уже более четко дает возможность понять, какие же компании подпадают под требования нового Регламента. Прежде всего, и это очень важно знать, это компании, которые зарегистрированы на территории Европейского Союза или которые имеют представительства (например, дочерние компании, филиалы или отделения) на территории ЕС.

Например это касается компаний, зарегистрированных в Эстонии или компаний, которые являются частью крупных холдингов, часть которых зарегистрирована и действует на территории Европейского Союза.

Также, в статье 3 GDPR отмечается, что нормы Регламента применяется к компаниям, которые не зарегистрированы и не имеют представительств на территории ЕС, но осуществляют обработку персональных данных субъектов данных, находящихся на территории ЕС, когда такие компании: (i) предлагают товары или услуги субъектам данных на территории ЕС, независимо от того, взимается ли за это плата; (іi) осуществляют мониторинг поведения субъектов данных, находящихся на территории ЕС, если такое поведение имеет место в пределах Европейского Союза.

Например, предположим, что компания из Украины, которая разработала программное обеспечение, реализует его как услугу (SaaS) на территории ЕС для конечных потребителей. В таком случае, следует считать, что компания предоставляет платные услуги гражданам и лицам, находящимся на территории ЕС. Соответственно, на нее распространяется положение статьи 3 GDPR, а значит и требования всего Регламента.

Передача персональных данных в третьи страны в соответствии с GDPR

Помимо всего прочего, определенного в GDPR, стоит выделить информацию о передаче персональных данных между компаниями в рамках Европейского Союза, а также за его пределы. Кстати, одной из ключевых задач Регламента, конечно же кроме защиты персональных данных, является обеспечение облегчения перемещения персональных данных между любым странами, в том числе не являющихся членами ЕС.

Перемещаться персональные данные могут кое-как и между кем-либо, главное, чтобы все субъекты, которые привлекаются в процесс перемещения и которые используют персональные данные, придерживались положений GDPR.

Рассматривая перемещения персональных данных между компаниями внутри Европейского Союза, стоит отметить, что такое перемещение (передача) может осуществлять свободно, без применения каких-либо дополнительных мер безопасности, ведь по умолчанию, все компании в рамках ЕС, должны соблюдать нормы европейского законодательства.

Когда возникает необходимость в передаче данных за пределы ЕС, требования к компаниям, которые находятся за пределами Европы намного строже. Когда персональные данные должны быть перемещены за пределы ЕС, должна применяться одно из следующих требований:

  • Страна, в которой находится компания, должна иметь надлежащий уровень защиты, что должно подтверждаться соответствующим имплементационным актом Европейской Комиссии.
  • Компания, которая передает и компания, которая получает персональные данные, должны гарантировать принятие соответствующих мер безопасности в отношении обработки персональных данных, достаточных для того, чтобы защитить права и интересы физических лиц.
  • В случае отсутствия условий, предусмотренных в первых двух пунктах, компания может осуществить передачу персональных данных в третью страну только при условии применения специально оговоренных исключений, которые предусматриваются в статье 49 Регламента.

Что ждать от нового регулирование?

В общем, суммируя все выше сказанное, следует сделать вывод, что GDPR действительно является революционным законом, действие которого распространяется не только на компании, зарегистрированные в Европейском Союзе, а также и на другие компании, стремящиеся осуществлять свою деятельность на территории ЕС, в том числе украинские компании.

Учитывая все изменения, которые уже приняты в Европе и те изменения, которые будут приниматься в будущем, компании, осуществляющие обработку персональных данных, должны на постоянной основе принимать организационные и технические меры для того, чтобы соответствовать требованиям GDPR, а вместе с тем и обеспечить надлежащее функционирование своего бизнеса не территории ЕС.

Если у вас возникли вопросы по внедрению GDPR или любой другой вопрос, касающийся защиты данных, просим обращаться к специалистам копании BSO Privacy Group.