В 2018 году вступил в силу принятый Европейской Комиссией и Европарламентом Регламент (ЕС) 2016/679, более известный как GDPR. Он призван создать единый правовой режим персональных данных и обеспечить их обработку системой базовых принципов.
Персональные данные согласно GDPR — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных)
Идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно посредством ссылки на имя, фамилию, идентификационный номер, данные о местоположении, онлайн-идентификатор либо на один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных параметров, а также на факторы социальной идентичности.
Категории особо чувствительных данных, обработка которых запрещена:
- информация о расовом и этническом происхождении, политических взглядах, религиозных и философских убеждениях, членстве в профсоюзах;
- генетические и биометрические данные для уникальной идентификации физического лица;
- данные о здоровье, половой жизни или сексуальной ориентации физического лица.
GDPR разделяет два типа субъектов, обрабатывающих персональные данные: контролера данных и процессора данных.
Контролер — это физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими (со-контролеры) определяет цели и способы обработки персональных данных. Именно на контролере лежит большая часть ответственности за обработку персональных данных.
Процессор, или обработчик — это подрядчик контролера, физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени и по поручению контролера.
Регламент закрепил принцип экстерриториальности обработки персональных данных: он применяется ко всем компаниям, которые обрабатывают персональные данные резидентов и граждан ЕС, независимо от юрисдикции таких компаний. К примеру, если украинская компания предоставляет товары и услуги в Интернете гражданам ЕС, она сразу попадает под сферу действия GDPR как контролер персональных данных.
Получить консультацию
На начальных этапах развития бизнеса большинство проектов лишь имитируют соответствие GDPR. Это может привести к большим неприятностям и потерям
Если IT-проект встроился в цепь процессоров персональных данных (подключены API социальных сетей, приняты на аутсорс обязательства третьих лиц и пр.) и какое-то из звеньев цепи столкнулось с утечкой информации, то проверке подвергаются все участники цепи передачи персональных данных. За найденные нарушения прямо или регрессом накладываются штрафы до 20 млн евро.
Для соответствия Регламенту и во избежание проблем и штрафов у IT-проекта должны быть как минимум такие документы:
- публичная политика приватности, соответствующая GDPR;
- внутренняя политика защиты персональных данных;
- перечень действий с персональными данными
- политика реагирования на недостатки безопасности;
- форма уведомления надзорного органа об утечке персональных данных;
- форма уведомления субъекта об утечке персональных данных;
- политика хранения данных.
К сожалению, универсального шаблона для создания документов не существует. Степень детализации зависит от регулярности обработки персональных данных, их объема и природы.
Проектам, где данные обрабатываются постоянно, необходим штатный ответственный за персональные данные (DPO) и постоянный представитель в ЕС (DPR), который будет связываться с надзорными органами и принимать ответственность в случае нарушения законодательства ЕС.
Разработка документов в соответствии с требованиями Регламента, а также внутренних практик и политик требуют глубокого юридического анализа, а их выполнение — технического аудита. Кроме того, в процессе обработки персональных данных необходимо придерживаться принципов законности, прозрачности и минимизации данных, что также требует юридической помощи.
Чтобы избежать проблем с персональными данными, рекомендуем с первого дня выхода IT-проекта на европейский рынок обратиться к команде юристов ВигоЛекс. Решать проблемы после их возникновения будет намного сложнее и дороже.
Почему VigoLex
Профессиональные
Специалисты команды VigoLex имеют многолетний опыт и уникальные знания в сфере ИТ-права, онлайн- и оффлайн- казино, а также в других сферах высокорискованного бизнеса и электронной коммерции.
Креативные
Для нас не существует стандартных решений и традиционных подходов: каждое задание уникальное и требует учитывать все особенности и подводные камни.
Гибкие
Мы не боимся новых вызовов и готовы совершенствоваться и меняться, подстраиваясь к потребностям как времени, так и клиентов.
Ответственные
Мы осознаем, что клиента интересует не процесс, а результат. Результат клиента – наша репутация.
Получить консультацию
GDPR – это регламент Европейского Союза (нормативно-правовой акт, который является обязательным для всех стран-участниц ЕС вне зависимости от их национального законодательства), в котором устанавливаются требования к сбору, обработке, передаче, хранению и защите персональных данных.
Нормы GDPR обязательны для компаний, которые зарегистрированы в ЕС или обрабатывают персональные данные резидентов ЕС.
Таким образом, если украинский проект зарегистрирован в одной из стран ЕС (например, на Кипре), или находиться в Украине, но работает на рынок ЕС – требования GDPR распространяются на такой проект.
GDPR устанавливает 7 основных принципов обработки персональных данных:
- законность, справедливость и прозрачность обработки персональных данных;
- ограничение целей обработки;
- минимизация данных;
- точность обрабатываемых данных;
- ограничение срока хранения данных;
- целостность и конфиденциальность данных, которые обрабатываются;
- подотчетность компании.
Все принципы детально разъясняются в других нормах GDPR, а также гайдлайнах и разъяснениях контролирующего органа.