24 августа 2017 |
Регламент ЕС о персональных данных. Риски и рекомендации для российского бизнесаИсточник: Газета "ЭЖ-Юрист" Тема безопасной обработки персональных данных является актуальной как в России, так и за рубежом. Пока российский бизнес привыкает к повышенным административным штрафам за нарушение законодательства в области персональных данных по ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, Европейский союз готовится ввести в действие Регламент № 2016/679 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее – Регламент). Особенностью Регламента является его экстерриториальность. Дело в том, что действие Регламента распространяется не только на резидентов ЕС, но и на третьих лиц. Крупным российским компаниям вряд ли удастся проигнорировать новые правила: штраф за их нарушение велик – до 20 млн евро, или 4% от мирового годового оборота за финансовый год. О том, как Регламент повлияет на российский бизнес, а также о том, как российскому бизнесу подготовиться к введению в действие Регламента и чем грозит его несоблюдение, пойдет речь в статье. Распространяется ли действие Регламента на вашу компанию? Если в вашей компании обрабатываются персональные данные граждан ЕС, ответ на данный вопрос будет положительный. Кроме того, согласно официальным комментариям к Регламенту компании-нерезиденты должны соблюдать положениям Регламента, если они: 1) используют официальный язык страны – участницы ЕС как в рамках описания товаров/услуг, так и при оформлении заказов; 2) используют валюту страны – участницы ЕС при расчетах с клиентами; 3) непосредственно указали на сайте, что товары/услуги предлагаются гражданам ЕС. Требования Регламента Все требования Регламента можно условно разделить на четыре основных типа: – требования по учреждению должностей в компании; – требования по ведению внутренней документации; – требования по обеспечению прав и свобод граждан ЕС при обработке их персональных данных; – требования по взаимодействию с надзорными органами ЕС в сфере обработки персональных данных. Далее кратко рассмотрим каждый из элементов выделенных типов требований. Требования по учреждению новых должностей в компании Первый тип требований связан с учреждением в компании должностей представителя в ЕС и инспектора по защите персональных данных. Санкции за отсутствие хотя бы одной из должностей в компании выражаются в возможных штрафах в размере до 10 млн евро, или 2% от мирового годового оборота за финансовый год. Представитель компании в ЕС должен решать все вопросы, связанные с обработкой персональных данных европейских граждан. Он должен осуществлять взаимодействие как с субъектами персональных данных, так и с надзорными органами ЕС в сфере обработки персональных данных. Регламент предписывает, что представитель должен физически располагаться на территории ЕС. Представителя назначать не нужно, если обработка персональных данных носит случайный характер, не включает в себя масштабную обработку особых категорий персональных данных или масштабную обработку персональных данных, связанных с судимостями и уголовными преступлениями, а также обработку, которая предположительно не приведет к риску для прав и свобод физических лиц. Кроме того, органы государственной власти и правительственные учреждения также не обязаны назначать представителя в ЕС. Инспектор по защите персональных данных (Data privacy officer) должен быть назначен в компании согласно ст. 37 Регламента. Инспектором может выступать как сотрудник компании, так и независимый консультант, действующий на основании заключенного договора об оказании услуг. Основными функциями инспектора являются: 1) информирование оператора относительно обязанностей, предусмотренных Регламентом; 2) контроль за соблюдением оператором Регламента; 3) контроль методов обработки персональных данных оператором; 3) консультирование оператора относительно оценки воздействия на защиту персональных данных; 4) взаимодействие с надзорными органами ЕС. Стоит отдельно отметить, что Регламент не содержит требований для инспектора физически находиться на территории ЕС. Регламент также не запрещает объединять функции инспектора и представителя в одном лице. Требования по ведению внутренней документации Второй тип требований связан с необходимостью принятия и ведения в компании определенной внутренней документации. При этом документы должны быть составлены на языке одной из стран – участниц ЕС. Санкции за несоответствие хотя бы одному из указанных требований выражаются в возможных штрафах в размере до 10 млн евро, или 2% от мирового годового оборота за финансовый год (таблица 1). Таблица 1
Требования по обеспечению прав и свобод Третий тип требований включает в себя обязанность оператора по обеспечению следующих основных прав субъектов: 1) право на информацию; 2) право на внесение и удаление персональной информации. За несоответствие этим требованиям Регламента оператор может быть привлечен к ответственности в виде штрафа в размере до 4% от мирового годового оборота за последний финансовый год, или до 20 млн евро (таблица 2). Таблица 2
Взаимодействие с надзорными органами ЕС Четвертый тип требований связан с обязанностью оператора взаимодействовать с надзорными государственными органами ЕС в сфере обработки персональных данных. Краткое описание данного типа требований представлено в таблице 3. Таблица 3
Ключевые рекомендации российскому бизнесу Для начала российским компаниям нужно определить, распространяется ли на них действие Регламента. Как отмечалось выше, Регламент содержит несколько случаев, когда операторам не нужно, например, назначать представителя в ЕС. Если Регламент распространяет свое действие на компанию, пора приступать к активной подготовке, так как до вступления Регламента в силу остается меньше года (Регламент вступает в силу в мае 2018 года), а работы предстоит достаточно много. Во-первых, следует провести аудит существующих в компании процессов сбора и обработки персональных данных и выявить потенциальные риски. Во-вторых, нужно усовершенствовать процессы сбора персональных данных, назначить определенных Регламентом должностных лиц, а также принять необходимые локальные акты, касающиеся обработки персональных данных, либо доработать существующие локальные акты.
Кроме того, рекомендуется проанализировать текущие договорные взаимоотношения с партнерами, обрабатывающими персональные данные европейских граждан от имени компании (либо от своего имени, но в интересах компании). В договоры предлагается внести положения о разграничении ответственности при обработке персональных данных граждан ЕС, а также установить дополнительные гарантии соблюдения норм Регламента на взаимной основе. |
Связанные услуги
Связанные отрасли
VEGAS LEX_эж-Юрист_Регламент ЕС о персональных данных_08.2017
Скачать файлФайл добавлен | 24.08.2017 |
Презентация | .pdf (168 Кб) |