Если ваша компания собирает или иным образом обрабатывает персональные данные (анг. Personal Data, далее PD) при осуществлении своей экономической деятельности либо основной или частичной экономической деятельностью компании является обработка PD, то эта статья для вас!
На сегодняшний момент, практические все компании, которые для предоставления своих услуг используют интернет, собирают информацию о своих клиентах. С другой стороны, для того, чтобы вести свою экономическую деятельность просто необходимо получать персональные данные от своих клиентов. В независимости от того, на каком основании или каким способом ведется сбор PD, законом предусмотрен ряд обязательств, которые необходимо выполнять при обработке, передачи и защите данных. Разница для лиц, обрабатывающих персональные данные, состоит лишь в том, что чем чувствительнее и массивнее обработка данных, тем строже правила их обработки.
Начиная с 25 мая 2018 года начнет действовать новое постановление ЕС нр 2016/679 регулирующее защиту персональных данных (GDPR — General Data Protection Regulation), которое принесет субъектам персональных данных ряд новых прав, а лицам обрабатывающим данные ряд новых обязательств.
Следует признать, что в последнее время тема защиты персональных данных является одной из наиболее важных и актуальных тем в ЕС. Одной из основных целей реформы защиты данных, охватившей всю Европу, является усиление защиты физических лиц и предоставление им большего контроля за своими персональными данными. С новыми правилами увеличивается возможности лиц требовать прекращение переработки их личных данных и их удаление, также усилятся права лиц связанных с защитой данных. Для лиц, обрабатывающих личные данные. это означает увеличение требований при обработке и защите персональных данных.
Так как изменения в области обработки данных начнут действовать с мая 2018 года, мы советуем уже сейчас пересмотреть действующий подход компании при обработке PD и быть готовыми к новым изменениям.
Советуем устраивать свою экономическую деятельность таким образом, чтобы она позволяла корректно и без задержек выполнить все требования по переработке и защите PD. Пересмотрите внутреннюю документацию, технологические процессы и инфо-системы, а также трудовую документацию и убедитесь, что к моменту вступления новых правил компания сможет выполнить следующие условия:
.- сделана оценка влияния рисков, связанных с защитой PD и стратегия по снижению таких рисков;
— ведется регистр обрабатываемых PD, в котором регистрируются все действия, связанные с обработкой PD;
— проведен анализ с целью установить, обязана ли компания назначить должностное лицо по защите PD;
. для обработки и защиты PD выбраны соответствующие технические и организационные методы;
— выработаны процедуры по уведомлению Инспекции по защите PD о нарушениях;
— предусмотрены все организационные, инфо-технологические и трудовые меры защиты PD;
— условия защиты PD (privacy policy) и порядок ознакомления с ними клиентов или деловых партнеров корректно задокументирован и доступен для ознакомления (privacy policy).
Оценка рисков
Параграф 35 (7) вступающего в мае 2018 года постановления ЕС обязывает лиц обрабатывающих PD сделать оценку влияния рисков на защиту PD, причем, оценка должна быть сделана до того момента, как начнется обработка данных.
Оценку рисков должны сделать лица, обрабатывающие PD, у которых, учитывая способ, размер, контекст и цели обработки, возникает большая опасность нарушения прав и свобод физических лиц при обработке PD.
Оценка рисков должна быть сделана в письменной форме и должна содержать следующие данные:
- предполагаемые действия по обработке PD и цели переработки (в случае необходимости, описание оправданного интереса лица, ответственного за переработку данных),
- оценка необходимости и пропорциональности обработки данных по отношению к целям обработки,
- оценка наличия опасности нарушить права и свободы объекта PD,
- планируемые методы и механизмы защиты PD.
Оценка рисков должна быть сделана в отношении всех действий с PD, которые будут начаты после вступления постановления ЕС в силу, т.е после 25.05.2018 и при условии, что возникли указанные выше предпосылки для составления оценки рисков. Даже, если после вступления в силу постановления ваша компания не предприняла новые действия для обработки PD, но в компании существенным образом изменились текущие действия или процессы обработки данных, например технологические процессы или цели сбора данных изменились, то компания обязана сделать оценку рисков.
Регистр обрабатываемых персональных данных
Обязанность ведения регистра обрабатываемых PD ложится практически на всех лиц, обрабатывающие PD. Вступающее в мае 2018 постановление ЕС параграф 30(5) устанавливает очень широкий круг лиц, которые обязаны вести регистр и регистрировать действия по обработке PD. Регистр должны вести лица, которые обрабатываю следующие персональные данные:
- данные, которые обрабатываются не случайной порядке;
- данные, обработка которых вероятно представляет собой угрозу правам и свободам физических лиц.
Как видно, под это описание подходят большинство лиц, обрабатывающих PD. Тем не менее, даже если ваша компания не подпадает под эти критерии, но количество работников превышает 250 человек, компания обязана вести регистр и регистрировать все действия с PD.
Назначение должностного лица по защите персональных данных
Вступающее в силу в мае 2018 постановление ЕС о защите PD устанавливает новое понятие — должностное лицо по защите персональных данных (DPO ingl. k. Data Protection Officer).
Компании, работающие в частном секторе должны назначить DPO в следующих случаях:
- компания, основной деятельностью которой является регулярное, систематическое и масштабное отслеживание объектов PD или
- компания, основной деятельностью которой является масштабная обработка специальных видов данных
Как определить занимается ли компания регулярным, систематическим и масштабным отслеживанием объектов PD?
Понятие «масштабное» определятся прежде всего количеством отслеживаемых объектов PD и периодом отслеживания. Несомненно, областями деятельности, в которых производится масштабная обработка данных являются кредитные и страховые услуги, услуги связи и интернета, а также услуги, предполагающие анализ клиентских данных, на основании которых потребителю делаются рекламные предложения.
Обработка данных является систематической, если данные обрабатываются не одноразовым действием, а имеют постоянную или повторяющуюся основу.
Переработка данных является систематической в том случае, когда обработка данных является для компании основным или частичный видом деятельности (т.е. деятельность специально спланирована и организована).
Специальными видами обработки PD являются деликатные данные лиц, например данные о здоровье, биометрические данные, политические взгляды.
Обязанности DPO может выполнять как и штатный работник компании, так и иное лицо на основании договора поручения. У DPO должны быть соответствующие знания и умения, в том числе юридические знания для выполнения своих обязанностей.
При выборе DPO следует учесть, что если вы хотите использовать в качестве DPO своего работника, то он доложен быть независим в выполнении обязанностей в качестве DPO и выполнять свою работу беспристрастно. Например, не может выполнять обязанности DPO работник из отдела кадров (руководитель по персоналу), так как данный работник сам работает с персональными данными и поэтому не может одновременно объективно контролировать обязанности по защите и контролю PD.
Технические и организационные методы соответствуют требования
Со вступлением нового постановления ЕС в мае 2018 у всех лиц, обрабатывающих PD появляется обязательство по которому, они должны предоставить объекту персональных данных все собранные и хранящиеся о нем данные (перемещение данных). Для этого компания должна наладить свой рабочий процесс, технологические процессы и инфо-системы таким образом, чтобы без особых промедлений можно было передать клиентам (объектам PD) всю хранящуюся информацию в структурированном виде и машиночитаемой форме.
Уведомление Инспекции по защите персональных данных о нарушениях
В случае, если в компании будет установлено нарушение, связанное с обработкой личных данных, которое с большой вероятностью представляет собой угрозу правам и свободам лиц, об этом немедленное нужно уведомить Инспекцию по защите персональных данных. Оповещение должно быть сделано без задержек и по возможности не позднее 72 часов после того, как стало известно о нарушении.
Также следует заметить, что о нарушении следует уведомить и субъекта персональных данных.
О нарушении не нужно уведомлять, если персональные данные были криптированы, для сохранности персональных данных.
Внутренние меры защиты
Убедитесь, что все работники компании, имеющие доступ к персональным данным ознакомлены с процедурой их обработки и защиты. В трудовые и иные договора должны содержать соглашение о соблюдении тайны и неразглашении информации. Работники компании, а также деловые партнеры, имеющие доступ к персональным данным должны быть ознакомлены с внутренней документацией компании, связанной с обработкой и хранением PD.
Юлия Грамма
Адвокат
Данная статья предоставляет общую информацию в юридических вопросах и не является оказанием юридических услуг. В каждом конкретном случае следует учитывать его особенности и специфические обстоятельства. Для получения конкретной оценки исходя из особенностей и специфики Вашего предприятия, просим связаться с адвокатами Адвокатского бюро REMO’s.