Вступил в силу европейский GDPR

Этот регламент имеет территориальную сферу действия не только в странах Европейского Союза, но и в других государствах. GDPR распространяются на компании, которые занимаются обработкой данных резидентов и граждан ЕС, причем независимо от местонахождения такой компании. Поэтому все компании, которые предоставляют услуги, осуществляют продажу товаров или мониторинг поведения субъектов данных на территории ЕС должны соответствовать новым требованиям.

Следует обратить внимание, что новые правила защиты распространяются даже на компании, которые на своем официальном сайте только предлагают свои услуги на таких языках, как, например, английский, немецкий, французский и др. То есть независимо от того, заинтересовался клиент из другого государства данной предложением, компания должна выполнять новые правила защиты (в частности назначить контролера, оператора и представителя).

В ходе обработки персональных данных должны быть соблюдены следующие принципы: законность, справедливость, прозрачность, целевое ограничение, минимизация данных, точность, ограничения хранения, целостность и конфиденциальность, подотчетность. В любом случае обработки должно быть основано на согласии субъекта данных, но с правом отозвать такое согласие в любое время. Контроллер должен сообщать физическому лицу (субъекту данных) об обработке его персональных данных, а также предоставлять информацию о сроке хранения персональных данных, существовании права на отзыв его согласия в любой момент, права обращения с жалобой в надзорный орган и др. Такой субъект данных наделен большим спектром прав, среди них: право на доступ к информации об обработке данных, право на исправление, право на удаление, право на ограничение обработки, право на мобильность данных.

Для того чтобы обработка персональных данных осуществлялось в соответствии с Регламентом, контроллеру необходимо осуществить ряд технических и организационных мероприятий. В связи с развитием новейших технологий, свободной доступности Интернета значительно вырос поток обмена персональными данными между частными и публичными лицами, а это в свою очередь приводит к сложности защиты этой информации.

Компаниям недостаточно назначить лицо (контроллера), которое будет осуществлять контроль за сбором персональных данных, нужен еще оператор и представитель. Оператор должен обрабатывать данные от имени контроллера, а представитель - находиться в стране ЕС, в которой будут предоставляться услуги или осуществляться продажа товара. Представитель назначается контроллером или оператором в письменной форме. В некоторых случаях компания освобождается от назначения представителя, а именно когда обработка осуществляется не на постоянной основе, не в большом объеме относительно специальных категорий данных (расовую или этническую принадлежность, политические убеждения и др.) или обработка данных о судимости и уголовных преступлениях и, вероятно, не приведет к возникновению риска для прав и свобод физического лица.

«Персональными данными» является любая информация, касающаяся физического лица, которое идентифицировано или можно идентифицировать (идентификационный номер, данные о местонахождении, онлайн-идентификатор и др., факторы, которые являются определяющими для физической, умственной, культурной сущности субъекта данных).

Контроллеры, операторы, представители должны сотрудничать с надзорными органами, своевременно предоставлять ответы на запросы таких органов. Контроллер должен в случае обнаружения любого нарушения защиты персональных данных не позднее 72 часов с момента выявления обратиться в надзорные органы.

Если осуществляется нарушения обработки персональных данных физического лица, то такое лицо вправе обратиться в контролирующий орган с жалобой по месту своего постоянного жительства, месту работы или месту нарушения прав. В дальнейшем контролирующий орган информирует заявителя о результатах рассмотрения поданной жалобы. В случае ненадлежащего исполнения органом своих обязанностей, а именно непредоставление информации о ходе или результатах рассмотрения жалобы в течение 3 месяцев, лицо имеет право обратиться в суд государства, в котором был создан контролирующий орган.

За нарушение правил GDPR предусмотрены административные штрафы, размер которых зависит от характера, тяжести и продолжительности нарушения, но они могут достигать очень высокого уровня. В случае нарушения основных принципов обработки данных, передачи персональных данных получателю третьих стран или международных организаций, невыполнение требований национальных контролирующих органов, штраф может достигать 20000000 евро или 4% от годового дохода компании. В случае нарушения полномочий контроллера, оператора, возложенных на них Регламентом, применяется штраф размером до 10000000 евро или 2% от годового дохода.

Применения этих правил в деятельности компаний является очень важным. Вообще соблюдения GDPR влияет на успешность Вашего бизнеса, поскольку последствия невыполнения очень серьезные, речь идет не только о высоких штрафах, но и о дальнейшей репутации. Вряд ли предприятие, которое будет ненадлежащим образом осуществлять обработку персональных данных, сможет выйти и зарекомендовать себя на европейском рынке.

Следовательно, компании должны тщательно подойти к вопросу защиты персональных данных для создания прочных связей на европейском рынке.


Моргунова Алина Юрист Правовая корпорация «Татаров Фаринник Головко»

 

http://zib.com.ua/ua/133036-nabrav_chinnosti_reglament_pro_zahist_fizosib_u_zvyazku_iz_o.html

Свяжитесь с нами