25 мая 2018 года вступает в силу новое регулирование ЕС в сфере защиты персональных данных - General Data Protection Regulation (GDPR). GDPR – это нормативный акт ЕС, имеющий статус регламента Европейского парламента и Совета Европейского Союза, далее в тексте - Регламент[1]. Его цель - повышение уровня защищенности персональных данных[2] на территории и, в некоторых случаях, - за пределами территории ЕС. В этой связи Регламент расширяет круг прав граждан в отношении их персональных данных, а также прав, обязанностей и ответственности лиц, оперирующих этими данными.
Регламент распространяет свое действие на всех лиц - субъектов персональных данных, независимо от их гражданства и постоянного места жительства, если они находятся на территории ЕС.
Оперирование персональными данными (ПД),[4] подпадающее под действие Регламента, охватывает разнообразные действия, связанные с получением, обработкой, сохранением, передачей ПД, как для собственных целей, так и для целей передачи данных иным лицам, независимо от объема данных и размера организации. Так, например, любая компания, ведущая работу с клиентами - физическими лицами, находящимися в ЕС, либо с базами, содержащими данные европейских потребителей,оперирует ПД с точки зрения Регламента.
Регламент имеет и экстерриториальное действие, то есть его требования распространяются на организации, учрежденные и работающие исключительно за пределами ЕС, в случаях, если они оперируют персональными данными лиц, находящихся на территории ЕС. В каких случаях и каким образом это может повлиять на иностранный бизнес в ЕС, будет рассмотрено ниже.
Регламент имеет прямое действие, т.е. может применяться независимо от имплементирующего национального законодательства, и предусматривает возможность применения к компаниям таких санкций, как запрет на обработку данных, а также штраф в размере до 4% годового оборота или 20 млн евро. Контроль за соблюдением Регламента и привлечение к ответственности за его нарушение будет осуществляться компетентными органами, действующими как на общеевропейском уровне, так и на уровне стран ЕС ( в Болгарии это Комисия за защита на личните данни ) . На общеевропейском уровне компетентным судом по применению Регламента является Суд Европейского Союза (European Court of Justice).
Какие обязанности возлагает Регламент на компании? Важно отметить, что он содержит не столько конкретные указания по поводу того, какие действия необходимо предпринять, а от каких воздерживаться, сколькоустанавливает общие принципы защиты персональных данных, и критерии, которыми следуетруководствоваться. На их основе компании должны вырабатывать собственные решения в области защиты персональных данных. В этом процессе, помимо европейского законодательства и судебной практики, компаниям следует опираться на национальное законодательство.
Объем требований, устанавливаемых Регламентом, не одинаков для всех операторов ПД. На компании, которые, в частности, обрабатывают данные на профессиональной или систематической основе,имеют дело с большими объемами персональных данных, с данными, носящими особо конфиденциальный характер, либо данными, обработка которых может иметь правовые последствия для субъектов ПД, возлагаются дополнительные обязанности, связанные с подготовкой и ведением специализированной документации, а также назначением ответственных за GDPR должностных лиц.
Очень кратко основные принципы, предусмотренные Регламентом, можно резюмировать следующим образом :
- Обработка[6] персональных данных (ПД) должна осуществляться строго в соответствии с законом и на основе принципа прозрачности для субъекта ПД
- Допустимо собирать, обрабатывать и хранить лишь такой минимум ПД, который обоснован требованиями законодательства, либо необходимостью, вытекающей из защиты интересов организации, признаваемых легитимными
- Обработка ПД должна вестись только в легитимных целях, о которых субъект ПД должен быть информирован
- Характер обрабатываемых ПД и их объем должны соответствовать данным целям; ПД, изначально собранные для одной цели, не могут использоваться для другой
- Согласие граждан на обработку персональных данных должно соответствовать ряду критериев, в том числе, быть информированным, конкретным и активным
- ПД должны сохраняться на протяжении минимально возможного срока, который должен быть обоснован в каждом отдельном случае требованиями закона, либо иными конкретными легитимными целями, после чего данные должны удаляться
- Лицам, обрабатывающим ПД, предписывается обязанность информировать граждан об их правах в сфере защиты ПД
- Компании обязуются выполнять требования граждан, основанные на их правах в сфере ПД, например, об удалении ПД («право быть забытым»)
- Лицо, обрабатывающее ПД, носит ответственность за их сохранность, точность и актуальность и за последствия искажения и нарушения целостности данных
- Компании обязаны уведомлять граждан об утечке, искажении, либо уничтожении их ПД
- «Профайлинг»[7] - компания должна гарантировать, что решения, оказывающие влияние на права гражданина (например, решение об отказе в выдаче кредита), будут приниматься не автоматизированным способом, а с участием человека, а также обеспечить возможность обжалования таких решений
- Маркетинг – граждане должны иметь возможность отказаться от получения сообщений рекламного характера с использованием их ПД
Данный список носит общий характер и не носит исчерпывающего характера.
[1] Полное наименование - Регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (Принят в г. Брюсселе 27.04.2016)
[2] К персональным данным Регламент относит любую совокупность данных о человеке, которая позволяет идентифицировать его как личность, в том числе, в тех случаях, когда такая идентификация возможна на основе сопоставления разрозненных данных. К ПД относятся имя, дата рождения, персональный номер, данные документов, кредитных карт, почтовый адрес, адрес места жительства, электронный адрес, телефонный номер, фото и видео-материалы, сведения о поведении и действиях и т.п.
[3] Помимо стран ЕС, Регламент распространяет свое действие на страны ЕЭП, включая такие страны, как Исландия, Лихтенштейн и Норвегия. В данном материале для краткости будет использоваться только аббревиатура ЕС.
[4] К сожалению, объем данного материала не позволяет уделить внимание отдельным видам деятельности по оперированию персональными данными, таким как «контроль» и «обработка» данных, и учитывать различие между ними. Поскольку цель материала – краткий обзор основных положений Регламента, здесь будет использоваться общий термин «оперирование» персональным данными.
[6] В данном списке под «обработкой» данных понимаются как действия по контролю, так и по обработке данных в соответствии с терминологией Регламента
[7] Использование в процессе деятельности организация профиля лица как набора его ПД, которые используются для принятия решений