Введение
В мае этого года законодательство Европейского Сообщества в области защиты персональных данных (далее - ПД) ожидают самые большие изменения за последние два десятилетия. Действующие правила были сформулированы еще в 90-е годы прошлого столетия, но объем цифровой информации, которую мы создаем, получаем и храним, с тех пор значительно возрос. В результате существующий на сегодняшний день режим работы с информацией перестал соответствовать поставленным целям. Добавим к этому, что для различных организаций ЕС все большее значение приобретают вопросы кибербезопасности.
В целях защиты прав физических лиц в отношении их персональных данных на смену действующей Директиве по защите данных 95/46/EC придет новый законодательный акт - Общий регламент ЕС по защите персональных данных. Главной задачей Регламента является не просто усилить защиту и расширить права всех граждан ЕС по обеспечению неприкосновенности их персональных данных, он требует согласования законов о неприкосновенности данных на территории Европейского Сообщества, а также изменения подхода организаций во всем регионе к проблеме неприкосновенности данных. Новый Регламент напрямую касается украинских компаний, работающих на европейских рынках. Поэтому в настоящей статье будут рассмотрены главные положения данного законодательного акта. Внимание, в частности, будет уделено важным изменениям, произошедшим в европейском законодательстве в области защиты ПД.
Имплементация в национальное законодательство
Несмотря на то что Регламент будет иметь прямое действие во всех государствах - членах ЕС, в их национальные законы необходимо внести поправки для согласования с некоторыми положениями Регламента, который, в частности, содержит ряд «открытых» понятий и норм, требующих более четкой формулировки для их применения на практике.
К слову, в Нидерландах уже опубликован первый вариант проекта законодательных изменений в национальной системе права. Если парламент, а затем и сенат Нидерландов, проголосуют за его принятие, то закон о введении в действие Регламента ЕС вступит в силу на территории государства.
Максим Ходак |
Преимущества и недостатки нового закона
Введение Регламента в действие, безусловно, произведет положительный эффект, но возможны и определенные проблемы. Самое главное преимущество Регламента - гармонизация существующих в законодательствах стран ЕС правил, которые сегодня фрагментированы и разноречивы. Следовательно, компаниям приходилось учитывать различия в правилах по защите данных 28 государств - членов ЕС. Тем не менее, несмотря на ряд позитивных нововведений, реализованных в Регламенте, он все же подвергся серьезной критике. Регламент оставляет место для различных толкований и пока неясно, как его нормы будут преобразованы в законах различных стран.
Главные нововведения
Новое законодательное положение будет иметь важные последствия не только для физических лиц, но и для компаний, занимающихся бизнесом в зоне ЕС.
Итак, шесть наиболее значимых новаций обсуждаемого Регламента состоят в следующем:
1. В сферу действия Регламента попадает более обширный перечень видов предпринимательской деятельности. Основополагающее понятие «персональные данные» в Регламенте истолковывается очень широко. Помимо документов, содержащих имена, адреса и т. п., под определение персональных данных согласно Регламенту попадают данные, связанные с IP-адресами, MAC-адресами, cookies-файлы, сохраняющие сугубо индивидуальную информацию о пользователе сети, и т. д.;
2. Новый Регламент расширяет сферу действия европейского законодательства в области защиты персональных данных на компании за пределами ЕС. Так, предприятия из стран, не входящих в ЕС, предлагающие товары или услуги субъектам персональных данных в ЕС или следящие за поведением субъектов данных (при условии, что такое поведение имеет место в пределах ЕС), будут мониториться, и в отношении полученных данных эти предприятия будут обязаны соблюдать требования Регламента, даже если у них нет офиса или дочерней компании на территории ЕС. Это очень важное нововведение, напрямую к тому же затрагивающее украинские компании, для которых страны ЕС являются рынком сбыта;
3. Согласно Регламенту от физических лиц необходимо получать согласие для обоснования использования их персональных данных. Однако условия его получения стали более строгими. Согласие должно быть однозначным и подтвержденным;
4. Регламент вводит несколько основных принципов и требует от компаний продемонстрировать, как они им следуют.
Первый принцип: законность, справедливость и прозрачность
Регламент требует от контролера ПД предоставлять самому субъекту персональных данных в прозрачной и доступной форме информацию об обработке его данных, изложенную понятным и простым языком. Прозрачность достигается путем информирования частных лиц до наступления момента сбора данных, а также после внесения любых последующих изменений. Регламент содержит перечень видов информации, которая в обязательном порядке должна предоставляться физическим лицам с целью их уведомления о получении их персональных данных прямо или опосредовано.
Второй принцип: целевое ограничение
Обработка персональных данных допустима только в том случае и только в целях, в которых осуществляется сбор этих данных. Согласие также требуется при обработке персональных данных контролерами и обработчиками ПД для другой цели. Единственным исключением из этого требования является ситуация, когда эта «другая цель» «совместима» с первоначальной целью сбора ПД.
Третий принцип: минимизация данных
Личные данные должны соответствовать, иметь отношение и ограничиваться целями, для которых такие данные обрабатываются. Указанное положение возвращает к целевому ограничению сбора и обработки персональных данных.
Четвертый принцип: точность данных
Персональные данные должны быть точными и актуальными. Устаревшие и неточные данные необходимо исправлять или удалять.
Пятый принцип: ограничение хранения
Предприятия должны удалять ПД, если они больше не нужны для целей, ради которых они собирались, при отсутствии иных основании для их хранения. Согласно требованиям Регламента компании должны проводить регулярные проверки с целью упорядоченной чистки баз данных.
Шестой принцип: целостность и конфиденциальность
Данный принцип затрагивает основу защиты частной жизни людей. Персональные данные должны быть защищены от взлома и случайной утраты. При необходимости внесения обновлений в ПД должны быть разработаны соответствующие правила.
Седьмой принцип: отчетность
Новый принцип отчетности требует от компаний продемонстрировать соблюдение предписаний Регламента. При этом Регламент устанавливает процедуру, в соответствии с которой уполномоченные организации могут потребовать от компаний соблюдения соответствующих технических и организационных мер с целью демонстрации правильного аннулирования баз ПД, подлежащих уничтожению.
Повышение внимания к соблюдению требований, следующих из данного принципа, стало одним из наиболее значимых изменений, которые вносит Регламент;
5. Регламент наделяет частных лиц рядом новых прав, а также укрепляет некоторые права, уже существовавшие в рамках предыдущей Директивы, а именно:
правом на перемещение данных: Регламент позволяет частным лицам получать и использовать свои персональные данные в собственных целях и переносить ПД в базы различных контролеров и/или обработчиков данных;
правом протеста: Регламент позволяет частным лицам выражать протест против определенных видов обработки их персональных данных - прямого маркетинга, обработки с целью защиты законных интересов или выполнения какой-либо задачи в общественных интересах / реализации властных полномочий, а также обработки данных в исследовательских или статистических целях;
правом на удаление данных: Регламент позволяет частным лицам требовать уничтожения или удаления их персональных данных при отсутствии веских причин для их дальнейшей обработки;
правом на ограничение обработки данных: Регламент гарантирует, что при наложении ограничения на обработку ПД компаниям разрешается хранить персональные данные, но им не разрешается их обрабатывать.
В случае утечки ПД контролер данных обязан довести этот факт до сведения Комитета по защите персональных данных (регулятора) не позднее, чем через 72 часа после того, как ему стало известно о такой утечке. К тому же организации - контролеры ПД обязаны вести внутренний журнал учета случаев взлома данных. Согласно Регламенту Компании обязаны документировать факты утечки данных, даже если о таких утечках не сообщается в Комитет по защите персональных данных.
Переход к соблюдению новых требований
Необходимо ли соблюдать новые требования?
Этим вопросом сегодня задаются многие предприниматели. Обязательность соблюдения Регламента очевидна. Максимальный штраф за нарушение его требований составляет четыре процента от общего годового оборота за предыдущий год или 20 миллионов евро - в зависимости от того, что больше.
А вот, чтобы деятельность предприятия отвечала требованиям нового законодательства, следует осуществить ряд мероприятий. Компании и организации, не находящиеся на территории Евросоюза, но подпадающие под действие норм нового Регламента, в течение предыдущих месяцев готовились к вступлению его в силу. И теперь им необходимо предпринять как минимум следующие шаги:
задокументировать имеющиеся персональные данные, указать источник, из которого они получены, а также их получателя от компании. Возможно, потребуется провести информационный аудит. Документирование персональных данных поможет соблюсти принцип отчетности, требующий от предприятий демонстрации соблюдения предписаний по защите данных;
проверить свои текущие уведомления о конфиденциальности и составить план для своевременного внесения возможных изменений для реализации требований Регламента. Как уже говорилось, контролеры ПД должны информировать самих субъектов ПД о сборе конфиденциальной информации. Это производится путем направления уведомления. Информация о том, как компания будет обрабатывать персональные данные, должна быть краткой, прозрачной, легкодоступной, написанной на понятном и простом языке и предоставляться бесплатно;
проверить свои процедуры на соблюдение прав частных лиц, включая способы удаления персональных данных или предоставления ПД в электронном виде и в широко применяемом формате. Как указывалось выше, Регламент наделяет частных лиц новыми правами - правом на перемещение данных, правом протеста, правом на удаление данных и правом на ограничение обработки данных;
определить нормативную базу для работы по обработке данных в соответствии с Регламентом, изложить в письменном виде и обновить свою форму уведомления о конфиденциальности, включив в нее разъяснение о таком обновлении;
проанализировать процедуру запроса, регистрации и управления процессом получения согласия на обработку данных, а также внесения в них изменений при необходимости. Исключается оказание какого-либо давления для получения согласия на обработку ПД. Согласие должно быть конкретным, недвусмысленным и предоставленным в виде сообщения. Сообщения о согласии на обработку ПД, не соответствующие стандартам Регламента, подлежат удалению;
убедиться в том, что процедуры обнаружения и расследования утечки персональных данных, а также направления отчета об этом отвечают требованиям Регламента. Как упоминалось ранее, Регламент устанавливает, что контролер данных должен оповещать соответствующий орган по надзору о факте утечки без неоправданной задержки, а в случае задержки оповещения продолжительностью более 72 часов после обнаружения утечки требуется прилагать письменное объяснение причин такой задержки. Для успешного соблюдения положений нового закона необходимо наличие правильной технологии контроля, позволяющей своевременно реагировать на факты, касающиеся безопасности обработки ПД. Это одно из самых важных положений Регламента;
назначить лицо, ответственное за сохранение персональных данных, определив его место в структуре предприятия и механизмах управления. Следует также определиться, необходимо ли назначать специального сотрудника, ответственного за охрану данных;
если компания работает более чем в одном государстве, входящем в ЕС, следует определить главный контролирующий орган по защите ПД (регулятора). Главным органом является контролирующий орган в стране нахождения головного офиса. Головной офис - это место работы центральной администрации компании в ЕС или другое место, где принимаются решения о целях и средствах обработки персональных данных.
Заключение
Новый Регламент - серьезный прорыв Евросоюза на пути к обеспечению надежной защиты неприкосновенности частной жизни и персональных данных граждан ЕС. Предприятия, в свою очередь, начинают процесс перехода к соблюдению новых требований.
Самым большим преимуществом Регламента является потенциальное упорядочение разрозненных норм и правил. До сих пор компаниям приходилось учитывать правила по защите данных 28 государств - членов ЕС. Тем не менее, несмотря на ряд преимуществ, Регламент все же подвергается критике, поскольку, в частности, оставляет место для различных толкований и пока неясно, как его нормы будут внедрены в законах различных стран.
Для украинских компаний, работающих на европейских рынках, осознание факта изменения закона является первым шагом к его соблюдению. Более того, они просто не могут не считаться с Регламентом, ведь его действие распространяется и на их деятельность. Поэтому крайне важно спланировать стратегию и пройти все этапы, упомянутые в настоящей статье, чтобы уменьшить риски возможных штрафов, которым могут подвергаться украинские компании.
Максим Ходак,
адвокат
Адвокатской конторы Law & More (Нидерланды)