Новости

Защита персональных данных в Украине и Общий регламент защиты данных в Европейском Союзе: различия и целостность

Совсем недавно вступил в силу Общий регламент по защите персональных данных GDPR (General Data Protection Regulation) в Европейском Союзе , который меняет и делает более «жесткими» правила обработки персональных данных и в случае их нарушения устанавливает штрафы, которые могут нанести сокрушительный удар по финансам компании.

Регламент действует экстерриториально. Поэтому помните, достаточно лишь одного резидента ЕС, данные которого обрабатывает Ваша компания, чтобы действие GDPR распространялась на нее, поэтому стоит уже сейчас подумать о возможных последствиях.

Закономерно возникает вопрос: «Насколько серьезными должны быть изменения во внутренней политике компании?»

Попробуем найти ответ, для чего целесообразно сравнить правила Регламента с национальным законодательством. В Украине основным законом, регулирующим соответствующие отношения, является Закон Украины «О защите персональных данных». Проанализировав его положение, можно отметить, что украинское законодательство довольно прогрессивное в контексте соответствия правилам GDPR (в частности включая принципы обработки, порядок получения согласия субъекта, перечень категорий персональных данных со специальным статусом, прав субъектов и обязанностей владельцев / распорядителей и др).

Впрочем, определенные отличия все же есть. Так, в частности, Регламент предусматривает обязанность контроллера (то есть владельца / распорядителя персональных данных) не только обеспечивать защиту персональных данных, но и иметь возможность продемонстрировать соответствие своих действий правилам Регламента. То есть, только согласия субъекта на обработку данных теперь недостаточно. Субъект обработки данных должен принять соответствующую внутреннюю политику, которая соответствует новым требованиям, и внедрить меры, соответствующие принципам защиты (в частности, минимизация обработки персональных данных, незамедлительная псевдонимизация персональных данных, предоставление субъектам данных возможности контролировать их обработку). Не лишним будет создание механизмов сертификации защиты данных для демонстрации соответствия своих действий требованиям Регламента. Для этой же цели теперь контролер обязан вести реестр всех действий, которые совершаются в процессе обработки персональных данных. Также контроллер должен принять надлежащие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только личные данные, необходимые для каждой конкретной цели обработки.

Если Ваша компания обрабатывает данные резидентов ЕС (хотя бы одного), и не находится в ЕС, необходимо наличие официального представителя компании в ЕС (физического или юридического лица), а именно в одной из тех стран, где осуществляется обработка данных. Исключением являются случаи, когда обработка данных не является постоянной, если персональные данные, которые обрабатываются, не относятся к «специальных» категорий, касаются уголовных производств или обвинений; если характер данных свидетельствует о невозможности значительного нарушения прав человека в случае их утечки.

Регламент предусматривает довольно строгие штрафы за нарушение требований о защите персональных данных, хотя и не упоминает об уголовной ответственности (очевидно, это отнесено к юрисдикции государств-участников):  2 или 4% годовой прибыли (либо 10 или 20 млн соответственно, в зависимости от того, какая сумма больше), в зависимости от вида нарушения.

Вывод: итак, GDPR более подробно по сравнению с национальным законом устанавливает требования касательно технической стороны сбора и обработки персональных данных, в том числе положительной (хотя и довольно «жесткой») новеллой является требование демонстрации законности действий контроллера. Поэтому, основываясь на вышесказанном, на промедление времени нет, и уже сейчас целесообразно подумать о том, чтобы привести внутреннюю политику компании и механизмы сбора и обработки персональных данных в соответствие с требованиями Регламента и избежать возможных негативных последствий.

Наша команда юристов поможет вам сформировать Политику компании согласно с требованиями. Защитите свою компанию!