Страна отходит от праздников, и понемногу включаются рабочие процессы. Новый год всегда несет законодательные изменения в разных сферах регулирования. Но не только в Украине, меняется регулирование и в соседних государствах.
Бизнесу, чья деятельность связана с персональными данными граждан или жителей стран-членов Европейского союза, сейчас самое время задуматься о том, как адаптировать свою деятельность к новым требованиям. Превентивные меры и приведение всех бизнес процессов в соответствие с требованиями новых правил является лучшей альтернативой непомерным штрафам.
Так, 2018 год ознаменуется вступлением в силу регламента General Data Protection Regulation от 26 апреля 2016 года. Этот регламент заменит Директиву 95/46/ЕС Европейского парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном перемещении этих данных» и после вступления в силу заменит соответствующее местное законодательство стран-членов ЕС.
GDPR считается наиболее прогрессивным регуляторным актом в сфере защиты персональных данных и его роль в этой сфере тяжело переоценить. В нем уточнено понятие персональных данных, а именно в перечень таких включены IP-адреса, cookies, цифровые идентификаторы устройств и местоположения, по которым может быть идентифицировано конкретное физическое лицо.
Кроме определения именно персональных данных, дано определение контроллера и процессора. Так, контроллером является физическое или юридическое лицо, государственный орган, организация или другой орган, которые самостоятельно или совместно с другими определяет цель и способы обработки персональных данных. А под процессором понимается физическое или юридическое лицо, государственный орган, организация, которые осуществляет обработку персональных данных от имени контроллера.
|
Андрей Илюк |
Регламент будет применяться к обработке персональных данных субъектов данных, которые находятся в ЕС, даже если контроллер или процессор не зарегистрированы в Союзе, но их деятельность по обработке связана с предложением товаров или услуг, независимо от того, потребуется ли оплата от субъекта данных в ЕС, или мониторингом их поведения, если их поведение имеет место в границах ЕС.
Так что, если компания попадает под действие данного регламента, следует уже сейчас задуматься о последствиях. Размер штрафов составит до 20 млн евро или 4 % общего мирового годового оборота предыдущего финансового года в зависимости от того, какая из двух цифр окажется выше. Такие штрафы заставят каждого контроллера и процессора ответственно относиться к обработке данных. А значит, можно рассчитывать на взвешенный подход всех компаний, которые так или иначе связаны с персональными данными, к проведению соответствующего комплаенса.
В странах Европейского союза уже началась подготовка к новым правилам работы с персональными данными. Но не стоит ограничиваться границами Европейского союза, готовиться необходимо и компаниям, которые, так или иначе, работают с жителями ЕС либо их персональными данными.
Поэтому украинским компаниям необходимо оценить возможность применения GDPR к их деятельности. При этом следует обратить внимание на наличие в пуле клиентов европейских граждан. Если деятельность компании подпадает под действие Регламента, необходимо предпринять шаги по ограничению работы с европейскими гражданами или привести свою деятельность в полное соответствие с новыми правилами.
Андрей Илюк, адвокат,
юридическая компания Nobili
