Какое влияние окажет новый Европейский регламент по защите личных данных на организации?
В мае 2018 года вступает в силу новый Европейский общий регламент по защите личных данных (General Data Protection Regulation), который возлагает на все организации, осуществляющие обработку данных, более подробные и строгие обязательства.
В первую очередь, следует обратить внимание на то, что Регламент касается абсолютно каждой организации, которая в той или иной мере занимается сбором и обработкой личных данных – будь то данные клиентов или своих же работников. При этом следует помнить, что к числу личных данных относятся любые данные о человеке, с помощью которых возможно установить его личность – например, имя, дата рождения, личный код, адрес и т.д.
Также важно то, что Регламент будет применяться не только к организациям, учреждённым и ведущим свою основную деятельность на территории ЕС, но и к таким организациям, которые в ходе своей деятельности предлагают свои товары или услуги на европейском рынке - например, в Эстонии. Такие организации обязаны будут, помимо прочего, назначить себе представителя в ЕС.
Новый Регламент несёт за собой ряд важнейших прав и обязанностей, среди которых стоит упомянуть прежде всего следующие:
Более строгие требования касательно получения от человека согласия на обработку его личных данных – согласно Регламенту, такое согласие должно быть получено организацией в прямой и конкретной форме, и в отношении каждой отдельной цели обработки данных. Также, у субъекта данных будет право в любой момент отозвать своё согласие.Особые правила получения согласия детей -согласие детей до 16 лет на обработку их данных должно быть сопровождено согласием их родителей.В Эстонии этот потолок скорее всего будет снижен до 13 лет.Право быть забытым – т.е. право субъекта при определённых условиях требовать от организации удаления своих личных данных, в том числе, из общего доступа через поисковые системы.Право на передачу данных от одной организации к другой – у субъектов данных появится право требовать от организации выдачи копии их данныхв структурированной машиночитаемой форме, с целью передачи этих данных, например, к организации-конкуренту.Обязанность вести документацию обработки данных – организации должны будут письменно фиксировать все процессы обработки личных данных и сохранять эту документацию.Обязанность осуществлять оценку воздействия обработки данных – в определённых случаях, где обработка данных может повлечь за собой большой риск для прав и свобод их субъекта, организация обязана будет произвести анализ этого риска.Обязанность незамедлительно сообщить о риске – в случае, если обработка личных данных представляет риск для прав и свобод субъекта (в том числе, например, при взломе данных), то организация обязана незамедлительно, но не позднее чем в течении 72 часов уведомить об этом инспекцию по защите данных, а также самого субъекта данных.Обязанность в определённых случаях назначить лицо, ответственное за защиту данных (Data Protection Officer) – в первую очередь это касается государственных организаций; организаций, которые обрабатывают данные в крупных объёмах; обрабатывают деликатные личные данные; иорганизаций, число работников которых превышает 250 человек.
Регламент предусматривает высокие штрафы за нарушение перечисленных прав и обязанностей, которые могут достигать 20 миллионов евро или 4% от глобального оборота организации – в зависимости от того, какая из названных сумм окажется крупнее.
Так как на данный момент до вступления Регламента в силу остаётся меньше года, то организациям стоит как можно скорее начать процесс оценки применения положений Регламента к их деятельности и внести необходимые изменения в свои внутренние процессы.
Адвокатское бюро Deloitte Legal имеет широкий международный опыт в области защиты личных данных и предлагает юридические консультации как на эстонском, так и на русском и английском языках.
Autor: Наталия Алексеева Адвокат Адвокатское бюро Deloitte Legal