Защита персональных данных согласно GDPR

В 2018 году вступил в силу принятый Европейской Комиссией и Европарламентом Регламент (ЕС) 2016/679, более известный как GDPR. Он призван создать единый правовой режим персональных данных и обеспечить их обработку системой базовых принципов.

Персональные данные согласно GDPR — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных)

1.5.2 1 1024x683 1

Идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно посредством ссылки на имя, фамилию, идентификационный номер, данные о местоположении, онлайн-идентификатор либо на один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных параметров, а также на факторы социальной идентичности.

Категории особо чувствительных данных, обработка которых запрещена:

  • информация о расовом и этническом происхождении, политических взглядах, религиозных и философских убеждениях, членстве в профсоюзах;
  • генетические и биометрические данные для уникальной идентификации физического лица;
  • данные о здоровье, половой жизни или сексуальной ориентации физического лица.

GDPR разделяет два типа субъектов, обрабатывающих персональные данные: контролера данных и процессора данных.

Контролер — это физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими (со-контролеры) определяет цели и способы обработки персональных данных. Именно на контролере лежит большая часть ответственности за обработку персональных данных.

Процессор, или обработчик — это подрядчик контролера, физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени и по поручению контролера.

Регламент закрепил принцип экстерриториальности обработки персональных данных: он применяется ко всем компаниям, которые обрабатывают персональные данные резидентов и граждан ЕС, независимо от юрисдикции таких компаний. К примеру, если украинская компания предоставляет товары и услуги в Интернете гражданам ЕС, она сразу попадает под сферу действия GDPR как контролер персональных данных.

Получить консультацию

    На начальных этапах развития бизнеса большинство проектов лишь имитируют соответствие GDPR. Это может привести к большим неприятностям и потерям

    1.5.2 1024x572 1

    Если IT-проект встроился в цепь процессоров персональных данных (подключены API социальных сетей, приняты на аутсорс обязательства третьих лиц и пр.) и какое-то из звеньев цепи столкнулось с утечкой информации, то проверке подвергаются все участники цепи передачи персональных данных. За найденные нарушения прямо или регрессом накладываются штрафы до 20 млн евро.

    Для соответствия Регламенту и во избежание проблем и штрафов у IT-проекта должны быть как минимум такие документы:

    • публичная политика приватности, соответствующая GDPR;
    • внутренняя политика защиты персональных данных;
    • перечень действий с персональными данными
    • политика реагирования на недостатки безопасности;
    • форма уведомления надзорного органа об утечке персональных данных;
    • форма уведомления субъекта об утечке персональных данных;
    • политика хранения данных.

    К сожалению, универсального шаблона для создания документов не существует. Степень детализации зависит от регулярности обработки персональных данных, их объема и природы.

    Проектам, где данные обрабатываются постоянно, необходим штатный ответственный за персональные данные (DPO) и постоянный представитель в ЕС (DPR), который будет связываться с надзорными органами и принимать ответственность в случае нарушения законодательства ЕС.

    Разработка документов в соответствии с требованиями Регламента, а также внутренних практик и политик требуют глубокого юридического анализа, а их выполнение — технического аудита. Кроме того, в процессе обработки персональных данных необходимо придерживаться принципов законности, прозрачности и минимизации данных, что также требует юридической помощи.

    Чтобы избежать проблем с персональными данными, рекомендуем с первого дня выхода IT-проекта на европейский рынок обратиться к команде юристов ВигоЛекс. Решать проблемы после их возникновения будет намного сложнее и дороже.

    Почему VigoLex

    proffesional

    Профессиональные

    Специалисты команды VigoLex имеют многолетний опыт и уникальные знания в сфере ИТ-права, онлайн- и оффлайн- казино, а также в других сферах высокорискованного бизнеса и электронной коммерции.

    creatives

    Креативные

    Для нас не существует стандартных решений и традиционных подходов: каждое задание уникальное и требует учитывать все особенности и подводные камни.

    Гибкие

    Мы не боимся новых вызовов и готовы совершенствоваться и меняться, подстраиваясь к потребностям как времени, так и клиентов.

    responsibility

    Ответственные

    Мы осознаем, что клиента интересует не процесс, а результат. Результат клиента – наша репутация.

    Наша команда

    Анна Буяджи
    Анна Буяджи
    Управляющий партнер
    Подробнее
    Сергей Буяджи
    Сергей Буяджи
    Партнер
    Подробнее
    Александр Гольбарт
    Александр Гольбарт
    Партнер, руководитель практики по вопросам уголовного права и процессов
    Подробнее
    Геннадий Чебанова
    Геннадий Чебанова
    Руководитель практики по вопросам франчайзинга и работы с публичными лицами (РЕР)
    Подробнее
    Владимир Кочетков
    Владимир Кочетков
    Старший юрист практики IT-права
    Подробнее
    Снежана Ткачук
    Снежана Ткачук
    Юрист
    Подробнее

    Получить консультацию

      GDPR – это регламент Европейского Союза (нормативно-правовой акт, который является обязательным для всех стран-участниц ЕС вне зависимости от их национального законодательства), в котором устанавливаются требования к сбору, обработке, передаче, хранению и защите персональных данных.

      Нормы GDPR обязательны для компаний, которые зарегистрированы в ЕС или обрабатывают персональные данные резидентов ЕС. 

      Таким образом, если украинский проект зарегистрирован в одной из стран ЕС (например, на Кипре), или находиться в Украине, но работает на рынок ЕС – требования GDPR распространяются на такой проект.

      GDPR устанавливает 7 основных принципов обработки персональных данных:

      • законность, справедливость и прозрачность обработки персональных данных;
      • ограничение целей обработки;
      • минимизация данных;
      • точность обрабатываемых данных;
      • ограничение срока хранения данных;
      • целостность и конфиденциальность данных, которые обрабатываются;
      • подотчетность компании.

      Все принципы детально разъясняются в других нормах GDPR, а также гайдлайнах и разъяснениях контролирующего органа.

      +38 097 215 66 70