Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Бизнес и персональные данные. GDPR для украинских компаний
Елена Кожокарь, юрист практики интеллектуальной собственности, ЮФ Asters

GDPR – нормативный акт Европейского союза, регламентирующий защиту персональных данных граждан и резидентов ЕС. GDPR определяет персональные данные как информацию, с помощью которой лицо можно идентифицировать прямо (через ее имя, фото) или опосредованно (через координаты местонахождения, ІР-адрес, МАС-адрес, файлы-cookies либо другую комбинацию данных).

Под действие Регламента подпадает любая компания, если она осуществляет обработку персональных данных в связи со снабжением товаров или предоставлением услуг гражданам ЕС либо занимается мониторингом их поведения. Это означает, что GDPR можно применять к компаниям, которые расположены и осуществляют свою деятельность не только на территории ЕС, но и вне его границ (напр., в Украине).

Принципы обработки

GDPR требует от компаний:

– собирать персональные данные лишь для определенных четких и законных целей и в дальнейшем не обрабатывать их, если цель обработки изменится;

– применять принцип минимизации данных, то есть собирать данные в количестве, достаточном для выполнения цели;

– обеспечивать точность и актуальность данных, а также принимать меры, чтобы неточные персональные данные, учитывая цели обработки, были стерты или исправлены без задержки;

– сохранять данные не дольше, чем это необходимо для целей их обработки;

– обрабатывать данные в способ, обеспечивающий надлежащую безопасность персональных данных (в частности, защита от несанкционированной или незаконной обработки и от неумышленной потери, уничтожения либо причинения вреда).

Законность обработки

Обязательным условием для работы с данными является согласие лица. Оно должно быть предоставлено путем четкого утверждения и соглашения на обработку персональной информации в форме письменного или устного заявления. Часто компании, намеренные обрабатывать персональные данные лица, прибегают к ухищрениям и автоматически проставляют галочки рядом с текстом "Соглашаюсь на обработку персональных данных". Однако GDPR запрещает любое молчаливое или автоматическое предоставление согласия. Разрешается только самостоятельное заполнение лицом клеточки отметкой при посещении веб-сайта в сети Интернет или иной поступок, четко указывающий на согласие лица. 

Безопасность обработки

Компании должны применять необходимые технические и организационные меры для обеспечения надлежащего уровня безопасности данных, в частности:

– использовать псевдонимы, обезличивание и шифрование персональных данных;

– обеспечивать беспрерывную конфиденциальность, целостность и стойкость систем и услуг обработки, включая установку и поддержку резервных систем для обеспечения постоянной и своевременной доступности персональных данных;

– быть способными своевременно возобновить доступ к персональным данным на случай технической аварии;

– осуществлять проверку имеющихся согласий на обработку персональных данных на соответствие требованиям GDPR, возобновлять и повторно получать такие согласия при необходимости;

– предоставлять лицам копии их персональных данных по требованию;

– предоставлять разрешение лицам следить за обработкой персональных данных;

– регулярно проводить оценку и анализ результативности данных мер безопасности.

Офицер по защите данных

Необходимость назначения офицера по защите данных связана со спецификой и объемом собираемых и обрабатываемых данных. Если цель требует "регулярного, систематического и широкомасштабного мониторинга персональных данных", вам нужен такой офицер.

Интересно то, что группа компаний может назначить одного офицера по защите данных при условии, что он будет всегда беспрепятственно доступным для каждой компании.

Задачи офицера: информировать и давать советы компаниям относительно их обязанностей согласно Регламенту, на запрос предоставлять рекомендации по оценке влияния на защиту данных и осуществлять мониторинг его проведения, а также быть ключевым контактом для сотрудничества с органом надзора.

Штраф

В случае установления нарушения обработки персональных данных к компании будет применен штраф в размере до 4 % общего годового оборота, что будет равнятся 20 млн евро (применяется большая сумма штрафа). Однако штраф должен быть пропорциональным. То есть, если вы сможете доказать, что политика и меры безопасности вашей компании разработаны так, чтобы соответствовать правилам GDPR, но вы все еще их нарушаете, наказание вряд ли будет очень суровым.

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua