Published On: Mon, May 21st, 2018

General Data Protection Regulation (GDPR) или Общий регламент по защите данных: что нужно знать

Юлия Гуткович, консультант по вопросам иммиграции в Redfern Legal LLP

Юлия Гуткович, Redfern Legal LLP, Solicitor

Эта статья посвящена Постановлению Европейского Парламента и Европейского Совета 2016/679 от 27 апреля 2016 года “О защите физических лиц в отношении обработки персональных данных, перемещении этих данных и об отмене Директивы 95/46 / EC (Общие правила защиты данных)[1], которое вступает в силу 25 мая 2018. Cегодня мы сосредоточим внимание на том, что необходимо предпринять организациям и предприятиям Великобритании для того, чтобы соответствовать новому закону.

Зачем нужны изменения?

В настоящее время в ЕС действует Закон о защите данных 1998 года, однако 25 мая 2018 вступает в силу Постановление Европейского Парламента и Европейского Совета 2016/679, (для краткости “GDPR”). GDPR Постановление не требует от правительств стран-участниц ЕС никаких законодательных изменений и является непосредственно обязательным к исполнению в ЕС.

Причиной законодательных изменений послужило стремительное развитие технологий. Одной из целей GDPR является упорядочивание правил защиты данных в ЕС: государства-члены ЕС имеют право изменять правила лишь в ограниченном числе случаев (например, в области национальной безопасности, предотвращения и выявления преступлений). Выход Великобритании из Евросоюза не повлияет на применение GDPR в Соединенном Королевстве: новый Закон о Защите Данных 2018 года уже в процессе чтения в Парламенте и основываться на правилах GDPR.

На кого распространяются новые правила?

GDPR касается двух категорий компаний: тех, кто “контролирует” личные данные и тех, кто их обрабатывет. Контроллер данных –  это организация, предпрятие, индивидуальный предприниматель, который решает как и зачем обрабатывать персональные данные. Обычно это бизнес, который собирает данные. Новые правила распространяются на юридические лица, индивидуальных предпринимателей в ЕС, а также на любые компании, которые предлагают товары и услуги гражданам ЕС либо собирают данные о поведении граждан ЕС. При этом неважно, насколько велика, мала или успешна компания.

Другая категория компаний – это “процессоры”, которые обрабатывают личные данные от имени “контроллеров”. Это, по сути, предприятия, предоставляющие сервисы такие как бухгалтерские услуги, IT-провайдеры и т. д. Контроллеры данных должны убедиться в том, чтобы обработчики данных действовали согласно их инструкциям.

Что подразумевается под личными (персональными) данными?

Личные данные – это любая информация, идентифицирующая человека либо та, на основании которой можно идентифицировать человека. Например имя, адрес электронной почты, дата рождения, должность, информация о действиях или поведении лица, конфиденциальные данные о расе, сексуальной ориентации, состоянии здоровья.

Можно провести эксперимент, чтобы определить, являются ли данные, которые вы обрабатываете, личными или нет: наберите имеющуюся у Вас информацию о человеке в Google или Facebook и посмотрите легко ли найти этого человека? Появится ли искомый человек среди первых пяти результатов поиска?

Что означает обработка данных?

Обработка данных – это любая деятельность, которая включает в себя использование личных данных: их сбор, хранение, использование (отправка электронной почты, звонки), раскрытие и уничтожение. Приведем пример: Ваш клиент заполняет контактную форму на Вашем веб-сайте, предлагая обсудить с Вами возможности сотрудничества. Вместо того, чтобы написать свое имя и фамилию, как Вы просите, он оставляют название компании «Handbags.com» и адрес электронной почты [email protected] В данном случае идентифицировать клиента будет непросто и GDPR, скорее всего, распространяться не будет. Однако, если клиент предоставит адрес электронной почты [email protected], правила GDPR будут действовать поскольку человек предоставил Вам адрес электронной почты, который, как Вы можете предположить, состоит из имени, фамилии и, поэтому, его можно найти в Google или FaceBook.

Каковы принципы GDPR?

Новый закон вводит несколько принципов, согласно которым личные данные должны:

  1. обрабатываться законно, честно и прозрачно;
  2. могут быть собранны для конкретных целей и обрабатывается только в связи с этими целями;
  3. запрашиваемые данные должны быть релевантны для целей обработки. Например, Вы не можете запрашивать домашний адрес клиента, если вы намереваетесь отправлять ему информационные бюллетени по электронной почте;
  4. личные данные должны быть точны и уточнятся по мере изменений;
  5. хранить личные данные законно лишь до тех пор, пока это необходимо;
  6. надежно охранятся.

Главным принципом является подотчетность. Контроллер данных несет ответственность за обработку данных и должен, при необходимости, продемонстрировать соблюдение этих принципов.

Первый принцип заключается в том, что данные должны обрабатываться на законных основаниях. Основными законными основаниями для обработки данных являются:

  1. получение согласия физического лица на обработку;
  2. необходимость обработки данных для выполнения контракта, участником которого является физическое лицо;
  3. необходимость обработки данных для соблюдения юридического обязательства;
  4. необходимость обработки данных для реализации законных интересов, прав и свобод человека.

Прозрачность обработки данных означает предоставление физическому лицу информации о том, как Вы будете использовать его личные данные и на каком основании.

Например, в трудовом договоре должнен быть пункт о конфиденциальности  с перечнем ситуаций, когда работодатель может обрабатывать персональные данные работника, а также юридических оснований для такой обработки. Так, основанием  использования данных банковского счета для оплаты труда работника явлается контракт. Данные о праве кандидата работать в Великобртании необходимы для соблюдения работодателем законодательства и т.д.

Обычно можно выделить несколько причин для обработки личных данных, но Вы должны выбрать из них одну.

Могу ли я перемещать личные данные за границу?  

Согласно новому закону, личные данные могут передаватся если:

  • Информационный комиссар (Information commissioner’s office) принял решение об “адекватности” третьей страны
  • Контроллер данных предпринял адекватные меры предосторожности для защиты передаваемых данных;
  • Передача данных необходима для выполнения контракта.

В любом случае физическое лицо должно знать, что его личные данные передаются за пределы ЕС. Это должно быть записано на Вашем веб-сайте для клиентов и в уведомлении Вашим сотрудникам.

Повышение мер защиты физических лиц

Главной целью нового закона является повышение мер защиты физических лиц, направленное на то, чтобы знать, как и почему используются личные данные. Теперь физические лица имеют право на:

(a) аннуляцию согласия на обработку личных данные в любое время (если на это полагается согласие физических лиц);

(b) получение информации о том, как организация обрабатывает их личные данные;

(c) доступ к своей личной информации, которой владеет бизнес;

(d) предотвращение использования своих личных в целях маркетинга;

  1. e) право быть забытым. Физические лица вправе просить удалить их личные данные, если организация больше нуждается в них для осуществления своих целей, для которых они были собраны или обработаны, или для исправления неточностей;
  2. f) оспаривание процесса обработки данных, который был осуществлен на основе законных интересов или в интересах общества;
  3. g) запроса копии соглашения, по которому личные данные передаются за пределы ЕС;
  4. h) получение уведомления о нарушении законодательства о личных данных, которое может привести к ущемлению прав и свобод; а также

(i) подачу жалобы в надзорный орган.

Информация, предоставляемая физическим лицам, должна включать в себя название и контактные данные контроллера данных; цели обработки данных и юридические основания для этого, данные и категории получателей данных, период хранения данных, права на подачу запроса, на согласие и подачу жалоб.

Если получен запрос данных от физического лица, Вы должны ответить на него бесплатно, без неоправданной задержки и, по крайней мере, в течение одного месяца с момента получения запроса. При необходимости этот период может быть продлен до двух месяцев.

Штрафы

В случае нарушения закона о защите личных данных, которое может привести к ущемлению прав и свобод отдельных лиц, Вы обязаны уведомить Офис Информационнго комиссара о нарушении без неоправданной задержки и не позднее, чем через 72 часа после того, как Вам стало известно о нарушении. Вы также обязаны уведомить об этом пострадавшего без неоправданной задержки.

Офис Информационнго комиссара обеспечивает выполнение Закона о защите информации в Великобритании. Этот надзорны й орган может проводить аудит Вашей деятельности по обработке данных, налагать штрафы в размере до 20 миллионов евро или 4% общего годового оборота (в зависимости от того, что выше),  а также определять размер компенсации  пострадавшим лицам, затрат на аудит, административные и правовые расходы и т.п.

[1] REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

Надеюсь, что эта информация будет для Вас полезна!

 

 

Внимание! Юлия Гуткович вместе с TechHub, который предоставляет рабочее пространство и программу поддержки развития бизнеса, организует мероприятие в рамках Лондонской недели технологий!

Если вы хотите узнать, как начать и развивать бизнес в технологической экосистеме Лондона, получить бесплатную юридическую консультацию по защите данных, регистрации компаний в Великобритании и узнать о визах, приходите в 9:30 13 июня к TechHub! Бесплатно!

Leave a comment

XHTML: You can use these html tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>




Translate »