Еще 27–го апреля 2016 г. Европейский парламент и Совет Европейского союза приняли постановление № 2016/679 o защите персональных данных, которое вступает в силу сейчас в мае. GDPR для многих является самым большим изменением 2018 года, с другой стороны, пугаться нет смысла, новые правила вводят и значительное количество упрощений.
GDPR – это General Data Protection Regulation, на русском языке используется, чаще всего, название «Общий регламент по защите данных», словацкое название: Všeobecné nariadenie na ochranu osobných údajov.
Этот регламент кардинально изменяет проблематику защиты персональных данных и является самым большим изменением в этой области за всю историю европейской интеграции. В чем причина его введения – это не так уж трудно угадать и если посмотреть на данную проблематику с социологически-психологической точки зрения, является настоящим подтверждением иерархии потребностей Абрахама Маслоу. Последние новости, такие как утечка данных с Фейсбука через Cambridge Analytica, с «ПриватБанка», с «Новой Почты» или даже с социальной сети «ВКонтакте» подтверждают актуальность проблематики.
Новостью GDPR является и то, что устанавливаются единые правила защиты персональных данных для всех государств-членов ЕС (включая Исландию, Норвегию и Лихтенштейн), тем самым упрощая порядок работы, особенно для компаний, работающих в нескольких странах ЕС. Новое постановление будет действовать на всей территории ЕС, включая Словацкую Республику, с 25 мая 2018 года автоматически, что означает, что вступает в силу на основании указанного европейского регламента, и для государств-членов ЕС нет необходимости менять что-либо в своем законодательстве. Тем не менее, для упрощения был в Словакии принят новый закон № 2018/18 «о защите персональных данных», который практически скопировал все содержание регламента. Его нумерацию легко запомнить: 18/18.
Пугалом для многих являются возможные санкции за нарушение правил GDPR. Штрафы – это не 60 евро как за нарушение знака СТОП, или 165 евро как в полиции по делам иностранцев, даже не 2 000 евро за нелегальное трудоустройство или 100 000 если вы забыли известить биржу труда после трудоустройства иностранца.
Максимальный размер штрафа: 4% от мировых доходов или 20 000 000 евро – то что больше.
Также важно отметить, что регламент GDPR действует не только на территории ЕС, но в любой стране и касается любой фирмы, которая обрабатывает данные граждан ЕС, другими словами GDPR имеет экстерриториальное действие.
Изменения в постановлении затрагивают почти каждого предпринимателя, поскольку персональными данными может считаться, широкий круг данных.
Персональными данными, согласно GDPR, могут считаться, например:
- имя и фамилия
- место проживания
- дата рождения
- идентификационный номер
- название компании
- адрес электронной почты
- номер телефона
- файлы куки, IP адрес,
- фотография
- информация о состоянии здоровья
- информация о доходе
- расовое или этническое происхождение,
- политические взгляды, религиозные или философские убеждения,
- членство в профсоюзах,
- генетические или биометрические данные,
- и многое другое.
Вообще говоря, это касается любой информации, касающейся физического лица, на основании которой это лицо может быть идентифицировано или будет идентифицировано.
Например, если в фирме 50 сотрудников, из которых 10 блондинок и одна из них из Полтавы, тогда словосочетание «наша блондинка из Полтавы» спадает под определение персональные данные. Мейл в форме Ivan.Ivanov@firma.sk является персональными данными (если в фирме один такой сотрудник), но мейл lapochka98@gmail.com персональными данными не является.
GDPR не касается анонимизированных данных, или данных умерших, также не регулирует права и обязанности физических лиц – не предпринимателей.
GDPR вас касается если вы занимаетесь, например, следующим:
- У вас имеется хотя бы один сотрудник.
- Вы обрабатываете персональные данные клиентов.
- Вы храните данные в облаке или предоставляете такую услугу для других.
- Отправляете рекламные мейлы клиентам.
- Используете камеры наблюдения.
- У вас есть свой сайт с регистрацией клиентов или e-shop.
- У вас имеется хотя бы один счет-фактура из ЕС с указанием имени и фамилии.
Любой, кто каким-либо образом вступает в контакт с этими данными, обязан, в соответствии с регламентом (и законом), обеспечить защиту этих данных.
Такая защита состоит из двух частей:
- Документальная защита,
- ИТ защита.
Защита данных означает, что каждый, кто обрабатывает персональные данные, должен иметь правовую основу для получения персональных данных, а также хранить полученные данные надлежащим образом.
Регламент точно определяет эту правовую основу, то есть, в каких случаях можно обрабатывать персональные данные. Кроме того, о такой обработке должно быть информировано лицо, данные которого обрабатываются, т.е. «заинтересованное лицо», а именно проинформировано о том, кто, в какой степени и как долго будет иметь доступ к данным. Такое уведомление об обработке данных должно быть четким и на том языке, который понимает заинтересованное лицо. В случае нарушения, обработчик личных данных должен уведомить заинтересованное лицо, если для него существует серьезный риск злоупотребления.
Постановление устанавливает в рамках правовой основы обработки данных содержание и формальные условия согласия лица. В частности, согласие заинтересованного лица должно предоставляться четким и недвусмысленным образом, причем для более чем одной цели согласие с обработкой персональных данных должно предоставляться для каждой цели отдельно. Согласие должно быть сформулировано в понятной и легкодоступной форме. Согласие не обязательно давать в письменной форме, однако в случае спора обработчик личных данных должен доказать, что он уполномочен обрабатывать персональные данные, включая возможное согласие. Также необходимо предоставить простую и понятную информацию о возможности отказа от согласия, как и сам отказ от согласия должен производиться простым способом.
Важным вопросом в предоставлении согласия остается, возможно ли получить согласие на обработку личных данных от любого лица. В этом случае правоспособность в отношении обработки персональных данных остается в силе в соответствии с Гражданским кодексом, за исключением одного случая, а именно, если оператор обрабатывает персональные данные заинтересованного лица на основе согласия в связи с услугами компаний, работающих с информационными технологиями, адресованными непосредственно несовершеннолетнему, обработка личных данных несовершеннолетнего законна только в том случае, если его минимальный возраст – 16 лет. (Это можно скорректировать в законодательстве отдельных стран на более низкий возраст, но не менее чем 13 лет.) Однако в Словакии эта граница – 16 лет. Если несовершеннолетний моложе 16 лет, такая обработка является законной только при условии и в той степени, в какой такое согласие было дано или одобрено законным представителем или законным опекуном несовершеннолетнего. В связи с этим оператор соответствующей компании должен в таких случаях предпринять разумные усилия для проверки, дал ли законный представитель или законный опекун несовершеннолетнего свое согласие или одобрил его с помощью применения доступных технологий.
Чтобы завершить раздел о предоставлении согласия, предоставим еще последнюю информацию о том, что нет необходимости запрашивать согласие и давать согласие в случае, если использование данных необходимо для исполнения договора. Например, если наша фирма занимается расчетом заработной платы сотрудников наших клиентов, для чего необходимо использовать персональные данные этих сотрудников, нет необходимости получать разрешение для использования персональных данных, поскольку эти данные нам непосредственно нужны для выполнения договора.
Поскольку вопрос GDPR непростой, продолжение следует…