августа
2017
Регламент ЕС о персональных данных. Риски и рекомендации для российского бизнеса
VEGAS LEX_эж-Юрист_Регламент ЕС о персональных данных_08.2017
Скачать файлФайл добавлен | 24.08.2017 |
Презентация | .pdf (168 Кб) |
Тема безопасной обработки персональных данных является актуальной как в России, так и за рубежом. Пока российский бизнес привыкает к повышенным административным штрафам за нарушение законодательства в области персональных данных по ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, Европейский союз готовится ввести в действие Регламент № 2016/679 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее – Регламент). Особенностью Регламента является его экстерриториальность. Дело в том, что действие Регламента распространяется не только на резидентов ЕС, но и на третьих лиц. Крупным российским компаниям вряд ли удастся проигнорировать новые правила: штраф за их нарушение велик – до 20 млн евро, или 4% от мирового годового оборота за финансовый год. О том, как Регламент повлияет на российский бизнес, а также о том, как российскому бизнесу подготовиться к введению в действие Регламента и чем грозит его несоблюдение, пойдет речь в статье.
Распространяется ли действие Регламента на вашу компанию?
Если в вашей компании обрабатываются персональные данные граждан ЕС, ответ на данный вопрос будет положительный.
Кроме того, согласно официальным комментариям к Регламенту компании-нерезиденты должны соблюдать положениям Регламента, если они:
1) используют официальный язык страны – участницы ЕС как в рамках описания товаров/услуг, так и при оформлении заказов;
2) используют валюту страны – участницы ЕС при расчетах с клиентами;
3) непосредственно указали на сайте, что товары/услуги предлагаются гражданам ЕС.
Требования Регламента
Все требования Регламента можно условно разделить на четыре основных типа:
– требования по учреждению должностей в компании;
– требования по ведению внутренней документации;
– требования по обеспечению прав и свобод граждан ЕС при обработке их персональных данных;
– требования по взаимодействию с надзорными органами ЕС в сфере обработки персональных данных.
Далее кратко рассмотрим каждый из элементов выделенных типов требований.
Требования по учреждению новых должностей в компании
Первый тип требований связан с учреждением в компании должностей представителя в ЕС и инспектора по защите персональных данных. Санкции за отсутствие хотя бы одной из должностей в компании выражаются в возможных штрафах в размере до 10 млн евро, или 2% от мирового годового оборота за финансовый год.
Представитель компании в ЕС должен решать все вопросы, связанные с обработкой персональных данных европейских граждан. Он должен осуществлять взаимодействие как с субъектами персональных данных, так и с надзорными органами ЕС в сфере обработки персональных данных. Регламент предписывает, что представитель должен физически располагаться на территории ЕС. Представителя назначать не нужно, если обработка персональных данных носит случайный характер, не включает в себя масштабную обработку особых категорий персональных данных или масштабную обработку персональных данных, связанных с судимостями и уголовными преступлениями, а также обработку, которая предположительно не приведет к риску для прав и свобод физических лиц. Кроме того, органы государственной власти и правительственные учреждения также не обязаны назначать представителя в ЕС.
Инспектор по защите персональных данных (Data privacy officer) должен быть назначен в компании согласно ст. 37 Регламента. Инспектором может выступать как сотрудник компании, так и независимый консультант, действующий на основании заключенного договора об оказании услуг.
Основными функциями инспектора являются:
1) информирование оператора относительно обязанностей, предусмотренных Регламентом;
2) контроль за соблюдением оператором Регламента;
3) контроль методов обработки персональных данных оператором;
3) консультирование оператора относительно оценки воздействия на защиту персональных данных;
4) взаимодействие с надзорными органами ЕС.
Стоит отдельно отметить, что Регламент не содержит требований для инспектора физически находиться на территории ЕС. Регламент также не запрещает объединять функции инспектора и представителя в одном лице.
Требования по ведению внутренней документации
Второй тип требований связан с необходимостью принятия и ведения в компании определенной внутренней документации. При этом документы должны быть составлены на языке одной из стран – участниц ЕС. Санкции за несоответствие хотя бы одному из указанных требований выражаются в возможных штрафах в размере до 10 млн евро, или 2% от мирового годового оборота за финансовый год (таблица 1).
Таблица 1
№ |
Требование |
Описание |
1 |
Ведение письменного учета (реестра) действий по обработке персональных данных (далее также – ПД) |
Статья 30 Регламента предписывает оператору вести письменный учет всех действий, связанных с обработкой ПД. Данное требование не распространяется на организации со штатом менее 250 человек |
2 |
Ведение учета (реестра) инцидентов в сфере ПД |
В соответствии со статьей 33 Регламента оператор должен документировать любые утечки ПД, в том числе все относящиеся к утечке факты, последствия такой утечки и принятые корректирующие меры |
3 |
Наличие задокументированной оценки потенциальных рисков при обработке ПД |
Статья 35 Регламента закрепляет обязанность оператора провести оценку воздействия предусмотренного процесса обработки ПД на защиту ПД. Такая оценка рисков призвана выявить основные угрозы правам субъектов и должна как минимум включать в себя: 1) систематическое описание предусмотренных процессов обработки данных и целей обработки; 2) оценку необходимости и пропорциональности обработки данных относительно целей; 3) оценку рисков для прав и свобод субъектов данных; 4) меры, предусмотренные для устранения рисков |
Требования по обеспечению прав и свобод
Третий тип требований включает в себя обязанность оператора по обеспечению следующих основных прав субъектов:
1) право на информацию;
2) право на внесение и удаление персональной информации.
За несоответствие этим требованиям Регламента оператор может быть привлечен к ответственности в виде штрафа в размере до 4% от мирового годового оборота за последний финансовый год, или до 20 млн евро (таблица 2).
Таблица 2
№ |
Категория прав субъектов |
Описание и рекомендации |
1 |
Право на информацию |
Оператор обязан сообщить субъекту в момент сбора у него ПД в числе прочего следующую информацию: – идентификационную информацию и контактные данные оператора и при необходимости его представителя; – контактные данные инспектора по защите ПД; – цели обработки ПД, а также юридическое основание для обработки; – законные интересы, преследуемые оператором или третьей стороной (если применимо); – получателей или категории получателей ПД; – намерение оператора передать персональные данные в третью страну или международную организацию; – срок, в течение которого будут обрабатываться ПД, либо критерии для его определения; – наличие права на исправление, удаление и ограничение обработки ПД; – наличие права на доступ к своим ПД; – наличие права на возражение против обработки ПД; – наличие права на получение своих ПД в структурированном, универсальном и машиночитаемом формате; – наличие права на отзыв своего согласия; – наличие права подачи жалобы в надзорный орган |
2 |
Право на внесение и удаление персональной информации |
Оператор обязан выполнить, в частности, следующие требования субъекта: – незамедлительно внести изменения в неточные данные, относящиеся к субъекту; – незамедлительно удалить данные, относящиеся к субъекту («право на забвение»); – ограничить обработку данных, если применяется одно из условий: а) точность ПД оспаривается субъектом данных; б) обработка ПД является незаконной, но субъект данных возражает против удаления ПД и требует ограничить их использование; в) оператору больше не требуются ПД для целей обработки, но они требуются субъекту ПД для обоснования, исполнения или ведения защиты по судебным искам; – предоставить ПД в структурированном и машиночитаемом формате |
Взаимодействие с надзорными органами ЕС
Четвертый тип требований связан с обязанностью оператора взаимодействовать с надзорными государственными органами ЕС в сфере обработки персональных данных.
Краткое описание данного типа требований представлено в таблице 3.
Таблица 3
№ |
Требование |
Описание и рекомендации |
Санкции за нарушение (штраф) |
1 |
Предварительное консультирование с надзорным органом ЕС |
В соответствии со статьей 36 Регламента оператор обязан проконсультироваться с надзорным органом до начала обработки ПД, если проведенная им оценка воздействия предусмотренного процесса обработки ПД на защиту данных указывает на то, что обработка может привести к возникновению высокой степени риска при непринятии мер для его снижения. В целях реализации указанного требования рекомендовано разработать Положение о взаимодействии с надзорным органом ЕС, закрепляющее формат такого взаимодействия и перечень случаев, когда компания прибегает к такого рода консультациям |
До 2% от мирового годового оборота за последний финансовый год либо до 10 млн евро |
2 |
Уведомление в адрес надзорного органа об инцидентах в сфере обработки ПД |
В случае утечки ПД оператор незамедлительно и при наличии соответствующей возможности в течение 72 часов после того, как ему стало известно об утечке, должен уведомить об этом надзорный орган. Исключение составляют случаи, когда утечка ПД, вероятно, не приведет к риску для прав и свобод физических лиц. Если уведомление направлено в надзорный орган позже, в таком уведомлении необходимо указать причины задержки. Уведомление в обязательном порядке должно содержать следующую информацию: – описание характера утечки ПД, в том числе по возможности указание категорий и приблизительного количества субъектов ПД и категорий и приблизительного количества записей ПД; – фамилию и контактные данные инспектора по защите ПД; – описание возможных последствий утечки ПД; – описание принятых или планируемых контролером мер для устранения нарушения, в том числе в соответствующих случаях мер по смягчению возможного отрицательного воздействия данного нарушения. Инспектор обязан документировать любые утечки ПД, в том числе все относящиеся к утечке ПД факты, последствия такой утечки и принятые корректирующие меры. В целях реализации указанного требования рекомендовано в разработанном компанией положении о взаимодействии с надзорным органом ЕС прописать алгоритм подачи таких уведомлений |
До 2% от мирового годового оборота за последний финансовый год либо до 10 млн евро |
3 |
Обязательное выполнение требований надзорного органа ЕС в сфере защиты ПД |
В соответствии со ст. 58 Регламента надзорный орган обладает следственными, корректирующими, разрешительными и консультативными полномочиями. Операторы обязаны строго соблюдать требования надзорного органа |
До 4% от мирового годового оборота за последний финансовый год либо до 20 млн евро |
Ключевые рекомендации российскому бизнесу
Для начала российским компаниям нужно определить, распространяется ли на них действие Регламента. Как отмечалось выше, Регламент содержит несколько случаев, когда операторам не нужно, например, назначать представителя в ЕС.
Если Регламент распространяет свое действие на компанию, пора приступать к активной подготовке, так как до вступления Регламента в силу остается меньше года (Регламент вступает в силу в мае 2018 года), а работы предстоит достаточно много.
Во-первых, следует провести аудит существующих в компании процессов сбора и обработки персональных данных и выявить потенциальные риски.
Во-вторых, нужно усовершенствовать процессы сбора персональных данных, назначить определенных Регламентом должностных лиц, а также принять необходимые локальные акты, касающиеся обработки персональных данных, либо доработать существующие локальные акты.
Кроме того, рекомендуется проанализировать текущие договорные взаимоотношения с партнерами, обрабатывающими персональные данные европейских граждан от имени компании (либо от своего имени, но в интересах компании). В договоры предлагается внести положения о разграничении ответственности при обработке персональных данных граждан ЕС, а также установить дополнительные гарантии соблюдения норм Регламента на взаимной основе.