Материал публикуется при финансовой помощи Фонда поддержки
и защиты прав соотечественников, проживающих за рубежом.

 


Ilka Vuorenmaa
Илкка Вуоренмаа,
эксперт по правовым вопросам бизнеса, KPMG Oy Ab.

Новый регламент ЕС о защите персональных данных на практике

Что представляет собой новый Регламент о защите персональных данных (GPDR)?


На практике все компании используют персональные данные, в частности, в реестре своих клиентов или работников. К персональным данным относится любая информация, которая касается индивида, и по которой его самого или его семью можно идентифицировать. Это, например, имя, социальный код, адрес, электронный адрес, информация, касающаяся клиента или трудовых отношений, данные о местонахождении и интернет-адреса. Некоторые данные, такие, как информация о состоянии здоровья человека и политической приверженности являются так называемой конфиденциальной персональной информацией, при работе с которой надо быть особенно аккуратным.

Изменение Регламента ЕС о защите персональных данных является широкомасштабной реформой, которая выдвигает новые требования к обработке персональных данных во всех компаниях, общинах и других организациях. Регламент касается обработки всех персональных данных на территории ЕС и расширяет сферу персональных данных по сравнению с имеющейся. В настоящее время защита данных в основном регулируется национальным законодательством каждой страны ЕС и национальными властями каждой страны. Финляндия также должна будет реформировать национальное законодательство на основе нового Регламента. Тем не менее, Регламент ЕС – это напрямую применимое регулирование на национальном уровне.

Регламент был официально утверждён в апреле 2016 года, и он вступает в силу весной 2018 года после двухлетнего переходного периода. Компании должны ознакомиться с реформой и своевременно привести в порядок свой образ действий и документацию, ещё до вступления Регламента в силу. Данный Регламент создаст новые права и обязанности для компаний как регистраторов персональных данных и операторов информационных процессов в отношении зарегистрированных лиц, а также других компаний, таких как субподрядчики, занимающихся персональными данными, в частности, бухгалтерские фирмы и службы облачного хранения.


Подчёркивается ответственность и активная роль компаний

Компании в качестве регистратора несут ответственность за обработку персональных данных. Это означает, что компания имеет предопределённый, ориентированный на риск, проект своей деятельности по защите данных и может, при необходимости, доказать исполнение своих обязательств официальным властям. Это обязательство распространяется также на потенциальных операторов персональных данных, таких как субподрядчики. Таким образом, договоры и инструкции компаний, касающиеся обработки персональных данных, должны быть пересмотрены до вступления в силу Регламента.

Если основной деятельностью компании является систематический мониторинг персональных данных или обработка конфиденциальной информации, например, данных о здоровье, в компании должен быть назначен ответственный руководитель по защите данных. Его задача заключается в разработке, развитии и контроле защиты данных. Таким сотрудником может быть собственный работник компании или постороннее лицо. Даже если компания не обязана назначать руководителя по защите данных, рекомендуется назначить какое-то ответственное лицо для обеспечения защиты данных, и, если это необходимо, обеспечить поддержку со стороны внешнего эксперта. Ответственное лицо по защите данных не несёт личной ответственности за возможные нарушения конфиденциальности. Исполнительное руководство компании отвечает за защиту данных, как и за корпоративные налоговые и экологические вопросы.

В новостях, касающихся Регламенте, больше всего говорилось о том, что за нарушение правил Регламента власти могут наложить штраф в размере до четырёх процентов от общего оборота компании, вплоть до 20 миллионов евро. Кроме того, власти могут, например, давать замечания, предложения по исправлению ситуации и другие указания. Вполне вероятно, что власти Финляндии в первую очередь используют другие средства воздействия, чем максимальные штрафы. Зарегистрированные лица — субъекты данных могут требовать возмещения убытков, принятия правовых мер со стороны властей или даже уголовного расследования за неправильное использование их личных данных.


У субъектов данных станет больше прав

Политика конфиденциальности направлена на улучшение прав субъектов данных. Зарегистрированные лица могут подавать заявки касательно своих данных, их обработки и передачи, а также отзывать своё согласие на обработку своих данных.

На компании налагается обязательство сообщать о нарушениях безопасности персональных данных. Компания должна уведомить официальные органы о предполагаемых нарушениях защиты персональных данных в течение 72 часов с момента обнаружения. Если очевидно, что нарушение может оказать неблагоприятное воздействие на субъект данных, предприятие должно сообщить субъекту данных о происшествии. Таким образом, кража компьютера, который содержит личную информацию корпоративного сотрудника, или потеря USB-накопителя могут потребовать исполнения этого обязательства по уведомлению. Таким образом, при вступлении в силу Регламента в компании должны быть разработаны процессы, связанные с этими рисками.

У субъекта данных появится новое право, право на забвение (на удаление персональных данных). Если обработка персональных данных больше не требуется для целей, для которых они изначально были получены, или уже не существует иных законных оснований для их обработки, субъект данных имеет право запросить удаление своих данных. Это право не является абсолютным, то есть у компании может быть правовая основа всё-таки сохранить информацию, несмотря на просьбу об её удалении. Причиной этого может быть какой-то особый закон, такой, как Закон о бухгалтерском учёте, который требует сохранения бухгалтерских документов в течение определённого времени, либо, например, тот факт, что клиент предприятия не оплатил счета компании при отправке запроса на удаление своих данных.


Как компания должна готовиться к переменам?

Компания, таким образом, должна своевременно подготовиться к будущему регулированию, которое значительно изменит текущую ситуацию. В будущем компания должна быть в состоянии продемонстрировать, что она в принципе обращает внимание на обработку персональных данных, и что процесс обработки персональных данных находится в порядке (Privacy by default ja Privacy by design).

Процесс подготовки можно разделить на три части: анализ текущего состояния, анализ рисков между текущим состоянием и требованиями Регламента, а также меры по развитию.

Компания выясняет, с какой личной информацией она имеет дело, на каких основаниях и каким образом. В дальнейшем количество собираемых данных должно быть минимизировано. Также собираемая информация должна быть точной. Данные должны быть такими, которые необходимы с точки зрения обслуживания и использования в бизнесе. Ошибочные данные должны быть удалены без промедления, и правильность данных должна поддерживаться. На требования субъектов данных, в частности, по поводу внесения исправлений в персональные данные, следует реагировать быстро.

При подготовке компании к грядущим изменениям важно проанализировать и пересмотреть процессы и договоры, а также условия использования данных другими компаниями. На практике при рассмотрении вопросов часто бывает установлено, что в договорах не было должным образом обращено внимание на защиту данных даже с учётом требований текущего регламента. При анализе рисков можно определить риски и минимизировать их путём изменения договора. Не позднее, чем сейчас, в регистрах должны содержаться соответствующие описания реестров и описания процесса защиты данных, требуемые Регламентом.

Компания должна обеспечить конфиденциальность также в техническом плане. Она должна увеличить внутренний контроль и ввести такую процедуру, посредством которой предприятие регулярно проверяет и оценивает эффективность своих технических и организационных мер для обеспечения безопасности персональных данных. Доступ к личным данным должен быть технически ограниченным, и при обработке персональных данных рекомендуется вести учётную запись посещений информационных систем, содержащих персональные данные.

Важно обеспечить руководство и обучение персонала компании, и эта подготовка должна быть достаточно документирована. В конечном итоге конфиденциальность строится действиями людей. Обучение должно содействовать обновлению навыков персонала.

Для того чтобы компания могла продемонстрировать свою готовность к вступлению в силу Регламента и правильность своих действий, важно задокументировать сделанные в компании оценки рисков и принятые решения относительно использования персональных данных, внутренние инструкции, положения сторонних соглашений и руководств, требования, связанные с данными зарегистрированных лиц, и их исполнение, а также другие, важные с точки зрения персональных данных, процедуры.

Таким образом, процесс подготовки представляет собой процесс, включающий множество различных задач, и требующий специальных навыков и документации. Если компания считает, что имеющиеся у неё ресурсы не позволяют осуществить подготовку самостоятельно, целесообразно использовать экспертов. Это обеспечит правильный и эффективный результат.

Руководство компании должно уже сейчас начать подготовку к тому, чтобы вопросы, касающиеся находящихся в сфере её ответственности персональных данных, соответствовали актуальным требованиям. В скором времени Регламент начнёт действовать, и у компании должны быть в порядке процессы и документация, а персонал должен быть обучен работать правильно.


Текст: Илкка Вуоренмаа, эксперт по правовым вопросам бизнеса, KPMG Oy Ab
Перевод на русский язык: Лидия Попова


---------------------------------------------------------------------
Материал опубликован в следующих журналах «Мозаика»:
«Мозаика» № 9—10 (131—132) 2017

Наверх