Области практики

РЕГЛАМЕНТ ЕС ПО ЗАЩИТЕ  ДАНЫХ КЛИЕНТОВ. ВЛИЯНИЕ НА РОССИЙСКИХ КОМПАНИЙ

Фраза «данные – это нефть 21 века» сегодня как никогда правдива. Почти каждая компания регулярно обрабатывает некоторое количество персональных данных. Персональные данные означают любую информацию, связанную с идентифицированным или не идентифицированным физическим лицом, такую как имя, адрес, дату рождения, адрес электронной почты, данные о местонахождении, онлайн идентификация, IP адрес или случайным образом сгенерированный телефонный номер.

Штраф в размере 10 000 000 евро за нарушение правил Европейского Союза по защите данных клиентов

Общий регламент по защите данных Европейского Союза (GDPR) вступил в силу 25 мая 2018 года с целью усилить кибернетическую безопасность, увеличить конфиденциальность для граждан ЕС и унифицировать законодательство о данных во всём ЕС. Цель GDPR – охранять право граждан ЕС на конфиденциальность, предоставляя им контроль над тем, кто хранит их данные, как они используются и насколько хорошо защищены. GDPR налагает значительные суммы административных штрафов за несоответствие GDPR. За нарушения некоторых положений налагаются штрафы до 10 000 000 евро или до 2 % общего годового оборота за предыдущий финансовый год, в зависимости от того, что больше. За некоторые нарушения закона, сумма подпрыгивает до 20 000 000 евро или до 4 % оборота за предыдущий год.

Правила по защите данных клиентов из ЕС также применяются и к компаниям из России и стран СНГ

GDPR применяется ко всем компаниям, хранящим и обрабатывающим персональные данные резидентов ЕС, не зависимо от географического положения. Многие организации и компании не осознают, что правила ЕС – GDPR – применяются и к ним тоже. Если организация предлагает товары или услуги, или следит за поведением резидентов ЕС, она обязана соответствовать требованиям GDPR. Это означает, что не важно, где компания зарегистрирована, самый важный факт – это факт обработки персональных данных резидентов ЕС.

Насколько просто определить необходимость соответствовать требованиям GDPR? Это очень просто – надо установить, что компании из России, Беларуси, Украины и стран СНГ:

– предлагают услуги и/или товары гражданам в ЕС (даже если бесплатно) и тем самым вступают во владение персональными данными субъектов данных из ЕС, или;

– следят за поведением субъектов данных из ЕС, например, используя куки-файлы или похожие техники профилирования, тем самым вступая во владение персональными данными таких граждан.

И, наконец, соответствие GDPR – это просто хорошая бизнес-практика, которая хороша для репутационного имиджа. Если организация демонстрирует своим покупателям и партнёрам ответственность и заботу о конфиденциальности и защите данных, они с большей вероятностью продолжат связи и даже порекомендуют её новым потенциальным клиентам. Напротив, если организация не соответствует, это может отпугнуть клиентов и партнёров или, даже, подействовать на них отрицательно.

Обязанности компаний из России, Беларуси, Украины стран СНГ при ведении бизнеса в Европе

В случае, если компания из России, Беларуси, Украины стран СНГ является субъектом правил GDPR, ей появляются обязанности:

– Назначить представителя для ЕС
– Обеспечить применение прав субъектов данных, таких как:

* право доступа к персональным данным каждого лица, включая детальную информацию о том, как обрабатываются такие данные и кому они были раскрыты;
* право на исправление, по которому субъекты данных могут попросить исправить любые, касающиеся его или её, неточные данные;
* право на перемещение данных, по которому субъект данных может запросить получение, касающихся его или её, данных, которые он или она предоставил управляющему данными, в обще используемом или машиночитаемом формате, или запросить передачу таких данных другому управляющему данными;
* право быть забытым, по которому субъект данных может потребовать стереть свои персональные данные без неоправданной задержки в определенных, далее упомянутых ситуациях;
* право объекта на обработку, в том числе, если персональные данные обрабатывались с целью прямого маркетинга; и
* право не быть субъектом автоматического индивидуального принятия решений, в том числе профилирования.

– обязанность обеспечить законную цель обработки персональных данных гражданина ЕС;
– обязанность обеспечить юридическое обоснование передачи персональных данных любой компании;
– обязанность обеспечить соответствующие технические и организационные меры безопасности, в особенности от случайного или незаконного уничтожения, потери, изменения, неразрешённого раскрытия данных или доступа к данным.

ECOVIS помогает компаниям стремящемся соответствовать правилам ЕС по защите данных

ECOVIS ProventusLaw оказывает помощь компаниям из России, Беларуси, Украины и стран СНГ в:

– изучении и адаптации бизнес-процессов для соответствия требованиям GDPR;

– осуществлении оценки воздействия на защиту данных;

– организации внутренней документации, связанной с персональными данными;

– подготовке выполнения прав субъектов данных;

– подготовке политики конфиденциальности или уведомления о конфиденциальности;

– назначении сотрудника по защите персональных данных – представителя ЕС, если в этом есть необходимость;

– обеспечении безопасности персональных данных (адаптации, изучении соответствующих технических и организационных мер);

– подготовке к записи действий по обработке данных.

Loreta Andziulytė

Партнер, адвокат.

КОНТАКТНОЕ ЛИЦО