Право.ru-300 Каталог юр. фирм Новости Комментарии Семинары Вакансии Резюме Форум Контакты
Lawfirm.ru - на главную страницу

  Комментарии


Юридические семинары М-Логос

Курсы повышения квалификации М-Логос

Курсы повышения квалификации Школы права Статут

Семинары школы права Статут


 


Hовый основополагающий регламент Европейского Союза о защите персональных данных: реализация в Германии

С 25.5.2018 вступает в силу основополагающий регламент Европейского Союза о защите персональных данных (нем. Europäische Datenschutz-Grundverordnung, далее DSGVO). Следом за ним, предположительно, в Германии будет принят новый Федеральный закон о Защите персональных данных (нем. Bundesdatenschutzgesetz, далее BDSG). До этого времени все предприниматели обязаны привести в соответствие с нормами принятого регламента как внутренние процессы их коммерческой деятельности, так и методы обращения с персональными данными их работников, клиентов и партнеров по бизнесу. В противном случае ожидается наложение высоких денежных штрафов. Избрав такую форму вторичного акта, как постановление, европейский законодатель стремился к обширной унификации права по защите персональных данных. Теперь правила, закрепленные в регламенте о Защите персональных данных обязательны для всех стран Европейского Союза и имеют единый характер. Какие же нововведения следует учитывать предпринимателям, осветит данная статья.

04.12.2017WINHELLER Rechtsanwaltsgesellschaft mbH, www.winheller.com/ru
Реклама:

"Аксином": Переводческие услуги для юридического сообщества» »»

Новое или хорошо забытое старое?

Как известно, с 1995 года в Европе существовала директива Европейского союза о защите персональных данных, которая подлежала полной гармонизации во всех странах Европейского Союза. На практике оказалось, что имплементация директивы в странах-членах Европейского союза привела к возникновению значительных различий, что в последствии негативно сказалось на бизнесе предпринимателей, ведущих межнациональную предпринимательскую деятельность. Однако и настоящее постановление – DSGVO – содержит 99 статей с 70 оговорками о делегировании странам компетенции принятия собственных правил по защите персональных данных, которые могут вновь привести к фрагментированию желаемого единого Европейского права по защите персональных данных.

Предметом правовой защиты все так же являются персональные данные, т.е. всякая информация об определенном или поддающемся определению физическом лице (сравн. Ст. 4 № 1 DSGVO). Учитываются также дополнительные сведения, если ими обладает не контролер файла, а третье лицо, и до тех пор, покаконтролер файла обладает возможностью благоразумно использовать данную информацию для идентификации затрагиваемого лица.

Условия правомерной обработки персональных данных

Основными принципами допустимости обработки персональных данных в соответствии со ст. 5 абз. 1 DSGVO являются правомерность сбора и обработки данных, целесообразность их использования, прозрачность и минимизация данных, т.е. избежание хранения чрезмерных, не относящихся к делу данных. Условия правомерности отдельно регулируются в ст. 6 DSGVO. При этом, как и прежде, персональные данные могут использоваться только с согласия затрагиваемого лица, или, если существуют правовые нормы, позволяющие пользование персональными данными, без прямого согласия. Условия, закрепленные в ст. 5 и 6 DSGVO, должны быть выполнены кумулятивно, т.е. наряду с наличием правовой основы для обработки персональных данных, должны быть выполнены и принципы допустимости обработки данных.

Не нарушает принцип правомерности и предоставление персональных данных третьим странам, однако с соблюдением дополнительных условий, которые должны гарантировать, что не будет подорван уровень охраны персональных данных, закрепленный в DSGVO (сравн. ст. 44 DSGVO). В случае, если третьи страны не входят в созданный Европейской комиссией список стран, обеспечивающих соответствующий положениям ст. 45 абз. 2 DSGVO уровень защиты персональных данных, и невозможно применение исключений ст. 49 DSGVO, в том числе и без личного согласия затрагиваемого лица, то трансграничная передача данных может быть легализирована предоставлением иных надлежащих гарантий со стороны получателя данных (сравн. ст. 46 DSGVO). Подобные гарантии могут предоставляться как из соответствующих оговорок в договоре по защите персональных данных, так и на основании административно одобренных внутригосудартвенных норм по защите персональных данных. В случае, если получатель за несоблюдение обязанностей может быть привлечен к ответственности, такие гарантии могут быть предоставлены, в том числе, и самим затрагиваемым лицом.

Основные обязанности предпринимателей и принцип ответственности

Новое постановление (DSGVO) требует от предпринимателей принимать подходящие технические и организационные меры, чтобы гарантировать защиту персональных данных и их безопасность.

Одним из значительных нововведений является данное законодателем определение «обязанности отчитываться», которое заключается в том, чтоконтролер файла несет ответственность за соблюдение названых ранее принципов. При этом он должен быть с состоянии доказать их соблюдение (сравн. ст. 5 абз. 2 DSGVО). Помимо этого, согласно ст. 24 абз. 1 предл. 1 DSGVО, предприниматели, занимающиеся обработкой данных, должны использовать соответствующие организационно-технические меры по защите персональных данных, чтобы гарантировать и, в случае необходимости, предоставить доказательство того, что обработка данных происходит в соответствии с нормами постановления.

Для того чтобы быть в состоянии предоставить требуемые в ст. 5 абз. 2 и ст. 24 абз. 1 DSGVOдоказательства, необходимо документировать все важные операции, касающиеся обработки персональных данных.

В итоге, принцип ответственности, закрепленный в DSGVО ведет к тому, что, прежде всего, крупным предприятиям необходимо создать систему управления персональными данными по примеру системы комплаенс. К таковой относятся внутренние распоряжения/правила по охране и обеспечению безопасности персональных данных, оценка рисков и последствий всех операций, связанных с обработкой персональных данных, предоставление сотрудникам возможности регулярного прохождения курсов по повышению квалификации в области защиты персональных данных, ведение обширной документации, в которой будут отражены все операции по обработке данных, а также все возможные нарушения защиты персональных данных.

Еще одним важным принципом является принцип прозрачности, заключающийся в обязанности предпринимателя предоставлять полную информацию лицам, чьи права затрагиваются в ходе обработки персональных данных.

Составление списка всех релевантных операций по обработке персональных данных

Ранее в законе о Защите персональных данныхзаключались правила по ведению перечня операций с персональными данными. Статья 30 абз. 1 DSGVO также обязывает ответственные лица составить ведомость операций по обработке персональных данных, однако, в отличие от правила, закрепленного в BDSG, данную ведомость обязаны вести управляющие органы предприятия, а не уполномоченные лица по защите персональных данных на предприятии. Управляющие органы обязаны документировать:

·         свои имя и контактные данные, а также данные ответственного лица по защите персональных данных;

·         цель обработки данных;

·         категорию лиц, чьи данные подвергаются обработке, будь то работники, клиенты и т.п.;

·         категорию используемых данных (имя, адрес, данные о состоянии здоровья);

·         сведения о получателях, т.е. лицах, которым персональные данные могут быть переданы для ознакомления, в том числе, и о предоставлении данных третьим странам, причем в ведомости должна указываться норма DSGVO, на основании которой данные предоставляются третьим странам (см. выше).

По возможности, должны указываться сроки удаления данных, а также технические и организационные меры, которые предпринимает ответственное лицо, для того чтобы обеспечить достаточный уровень защиты персональных данных (сравн. ст. 32 абз. 1 DSGVO). Данный документ является первым, который потребуют контролирующие органы в случае проверки. Именно поэтому следует очень серьезно отнестись к правилам ведения ведомости и постоянно проверять ее актуальность.

Согласно ст. 30 абз. 5 DSGVO, существует исключение из общего правила ведения ведомости, а именно: для предпринимателей среднего и малого бизнеса, численность работников которых не превышает 250. Данное исключение содержит в себе, однако, еще одно исключение. Предприниматели среднего и малого бизнеса обязаны так же заполнять ведомость об обработке персональных данных, если из-за предпринятой обработки данных возникают риски для затрагиваемых лиц или если обработка данных происходит не только от случая к случаю, а также, если предприятие занимается обработкой персональных данных, касающихся расовой принадлежности, политических взглядов или религиозных или других убеждений, а также персональных данных, касающихся здоровья или половой жизни и т.п. (сравн. ст. 9 абз. 1 DSGVO). Это положение действует также в отношении персональных данных, касающихся судимости.

Обязанность заявления о нарушении защиты персональных данных

Ответственное лицо обязано, в соответствии со ст. 33 и ст. 34 DSGVO, сообщить надлежащему контролирующему органу, а также затрагиваемому лицу о нарушении защиты персональных данных. Данное заявление должно последовать незамедлительно: в течение 72 часов с момента ознакомления с нарушением. Подобное заявление не является обязательным в случае, если нарушение не нарушает прав затрагиваемого лица и не представляет риска для его прав и свобод. Ответственный предприниматель, в связи с этим, должен провести оценку рисков и, в зависимости от обстоятельств, осведомить контролирующие органы. Нарушение данной обязанности грозит штрафом в размере до 10 млн. евро либо до 2 % от общего годового оборота предприятия, в зависимости от того, какой из штрафов был бы выше.

Помимо этого, лица, чьи права были нарушены, могут подать исковое заявление в суд на возмещение понесенного ими ущерба ввиду несвоевременного осведомления их о нарушении.

Назначение уполномоченного лица по защите персональных данных

Известно, что в Германии обязанность назначения уполномоченного лица по защите персональных данных на производстве существует уже очень долгое время. Теперь это правило распространяется на все государства, являющиеся членами Европейского Союза. Особенно это относится к предприятиям, в которых происходит процесс обработки данных, полученных путем постоянного и систематического видеонаблюдения за затрагиваемыми лицами, а также к предприятиям, занимающимся обработкой особо конфиденциальных данных. В Германии остается действовать прежнее правило, согласно которому предприятие обязано назначить уполномоченное лицо по защите персональных данных, в случае, если количество лиц, чьи персональные данные подвергаются постоянной автоматизированной обработке, составляет, как минимум, десять человек. Подобное лицо обязывается к тесному сотрудничеству с контролирующими органами, даже в ситуациях, когда это потенциально может привести к нарушению трудовых отношений, основанных на доверии. Предприниматель обязуется предоставить уполномоченному лицу все необходимые данные для осуществления контроля.

Ответственность

В случае несоблюдения требований по организации защиты персональных данных предпринимателю грозит штраф в размере 10 млн. евро или 2 % от общего годового оборота предприятия. Помимо этого, в случае нарушения материальных норм о допуске к обработке персональных данных, грозит штраф в размере до 20 млн. евро или до 4 % от общего годового оборота предприятия, в зависимости от того, какой из штрафов является более строгим. Помимо этого, и сами лица, права на защиту персональных данных которых были нарушены, могут потребовать от предприятия возмещения понесенного вследствие нарушения их прав ущерба. Предприятиям, связанным с обработкой персональных данных, можно только посоветовать тщательно вести ведомость о возможных обработках персональных данных, а также об их нарушениях. Во избежание таких нарушений следует обратиться за помощью к профессионалам.

 


Прочитавших: 241 Версия для печати

Топ-5 самых читаемых Новостей за последние 30 дней:

 

Пресс-релизы

Суды и сделки

Анонсы

События







Translex - Юридически грамотный перевод

Аксином. Переводческие услуги для юридического сообщества

Staffwell




Каталог юр. фирм Новости Комментарии Семинары Вакансии Резюме Форум Контакты