С 25.5.2018 вступает в силу основополагающий регламент Европейского Союза о защите персональных данных (нем. Europäische Datenschutz-Grundverordnung, далее DSGVO). Следом за ним, предположительно, в Германии будет принят новый Федеральный закон о Защите персональных данных (нем. Bundesdatenschutzgesetz, далее BDSG). До этого времени все предприниматели обязаны привести в соответствие с нормами принятого регламента как внутренние процессы их коммерческой деятельности, так и методы обращения с персональными данными их работников, клиентов и партнеров по бизнесу.
В противном случае ожидается наложение высоких денежных штрафов. Избрав такую форму вторичного акта, как постановление, европейский законодатель стремился к обширной унификации права по защите персональных данных. Теперь правила, закрепленные в регламенте о Защите персональных данных обязательны для всех стран Европейского Союза и имеют единый характер. Какие же нововведения следует учитывать предпринимателям, осветит данная статья.
Новое или хорошо забытое старое?
Как известно, с 1995 года в Европе существовала директива Европейского союза о защите персональных данных, которая подлежала полной гармонизации во всех странах Европейского Союза. На практике же оказалось, что имплементация директивы в странах-членах Европейского союза привела к возникновению значительных различий, что в последствии негативно сказалось на бизнесе предпринимателей, ведущих межнациональную предпринимательскую деятельность. Однако и настоящее постановление – DSGVO – содержит 99 статей с 70 оговорками о делегировании странам компетенции принятия собственных правил по защите персональных данных, которые могут вновь привести к фрагментированию желаемого единого Европейского права по защите персональных данных.
Предметом правовой защиты все так же являются персональные данные, т.е. всякая информация об определенном или поддающемся определению физическом лице (сравн. Ст. 4 № 1 DSGVO). Учитываются также дополнительные сведения, если ими обладает не контролер файла, а третье лицо, и до тех пор, пока контролер файла обладает возможностью благоразумно использовать данную информацию для идентификации затрагиваемого лица.
Условия правомерной обработки персональных данных
Основными принципами допустимости обработки персональных данных в соответствии со ст. 5 абз. 1 DSGVO являются правомерность сбора и обработки данных, целесообразность их использования, прозрачность и минимизация данных, т.е. избежание хранения чрезмерных, не относящихся к делу данных. Условия правомерности отдельно регулируются в ст. 6 DSGVO. При этом, как и прежде, персональные данные могут использоваться только с согласия затрагиваемого лица, или, если существуют правовые нормы, позволяющие пользование персональными данными, без прямого согласия. Условия, закрепленные в ст. 5 и 6 DSGVO, должны быть выполнены кумулятивно, т.е. наряду с наличием правовой основы для обработки персональных данных, должны быть выполнены и принципы допустимости обработки данных.
Не нарушает принцип правомерности и предоставление персональных данных третьим странам, однако с соблюдением дополнительных условий, которые должны гарантировать, что не будет подорван уровень охраны персональных данных, закрепленный в DSGVO (сравн. ст. 44 DSGVO). В случае, если третьи страны не входят в созданный Европейской комиссией список стран, обеспечивающих соответствующий положениям ст. 45 абз. 2 DSGVO уровень защиты персональных данных, и невозможно применение исключений ст. 49 DSGVO, в том числе и без личного согласия затрагиваемого лица, то трансграничная передача данных может быть легализирована предоставлением иных надлежащих гарантий со стороны получателя данных (сравн. ст. 46 DSGVO).
Подобные гарантии могут предоставляться как из соответствующих оговорок в договоре по защите персональных данных, так и на основании административно одобренных внутригосударственных норм по защите персональных данных. В случае, если получатель за несоблюдение обязанностей может быть привлечен к ответственности, такие гарантии могут быть предоставлены, в том числе, и самим затрагиваемым лицом.
Основные обязанности предпринимателей и принцип ответственности
Новое постановление (DSGVO) требует от предпринимателей использовать подходящие технические и организационные меры, чтобы гарантировать защиту персональных данных и их безопасность.
Одним из значительных нововведений является данное законодателем определение «обязанности отчитываться», которое заключается в том, что контролер файла несет ответственность за соблюдение названых ранее принципов, причем он должен быть с состоянии доказать их соблюдение (сравн. ст. 5 абз. 2 DSGVО). Помимо этого, согласно ст. 24 абз. 1 предл. 1 DSGVО, предприниматели, занимающиеся обработкой данных, должны использовать соответствующие организационно-технические меры по защите персональных данных, чтобы гарантировать и, в случае необходимости, предоставить доказательство того, что обработка данных происходит в соответствии с нормами постановления.
Для того, чтобы быть в состоянии предоставить требуемые в ст. 5 абз. 2 и ст. 24 абз. 1 DSGVO доказательства, необходимо документировать все важные операции, касающиеся обработки персональных данных.
В конечном итоге, принцип ответственности, закрепленный в DSGVО ведет к тому, что, прежде всего, крупным предприятиям необходимо создать систему управления персональными данными по примеру системы комплаенс. К таковой относятся внутренние распоряжения/правила по охране и обеспечению безопасности персональных данных; оценка рисков и последствий всех операций, связанных с обработкой персональных данных, предоставление сотрудникам возможности регулярного прохождения курсов по повышению квалификации в области защиты персональных данных, ведение обширной документации, в которой будут отражены все операции по обработке данных, а также все возможные нарушения защиты персональных данных.
Еще одним важным принципом является принцип прозрачности, заключающийся в обязанности предпринимателя предоставлять полную информацию лицам, чьи права затрагиваются в ходе обработки персональных данных.
Составление списка всех релевантных операций по обработке персональных данных
Ранее в законе о Защите персональных данных заключались правила по ведению перечня операций с персональными данными. Статья 30 абз. 1 DSGVO также обязывает ответственные лица составить ведомость операций по обработке персональных данных, однако в отличие от правила, закрепленного в BDSG, данную ведомость обязаны вести управляющие органы предприятия/компании, а не уполномоченные лица по защите персональных данных на предприятии. Управляющие органы обязаны документировать:
- свои имя и контактные данные, а также данные ответственного лица по защите персональных данных;
- цель обработки данных;
- категорию лиц, чьи данные подвергаются обработке, будь то работники, клиенты и т.п.;
- категорию используемых данных (имя, адрес, данные о состоянии здоровья);
- сведения о получателях, т.е. лицах, которым персональные данные могут быть переданы для ознакомления, в том числе и о предоставлении данных третьим странам, причем в ведомости должна указываться норма DSGVO, на основании которой данные предоставляются третьим странам (см. выше).
По возможности, должны указываться сроки удаления данных, а также технические и организационные меры, которые предпринимает ответственное лицо, для того чтобы обеспечить достаточный уровень защиты персональных данных (сравн. ст. 32 абз. 1 DSGVO). Данный документ является первым, который потребуют контролирующие органы в случае проверки. Поэтому следует очень серьезно отнестись к правилам ведения ведомости и постоянно проверять ее актуальность.
Согласно ст. 30 абз. 5 DSGVO существует исключение из общего правила ведения ведомости, а именно: для предпринимателей среднего и малого бизнеса, численность работников которых не превышает 250. Данное исключение содержит в себе, однако, еще одно исключение. Предприниматели среднего и малого бизнеса обязаны так же заполнять ведомость об обработке персональных данных, если из-за предпринятой обработки данных возникают риски для затрагиваемых лиц или если обработка данных происходит не только от случая к случаю, а также, если предприятие занимается обработкой персональных данных, касающихся расовой принадлежности, политических взглядов или религиозных или других убеждений, а также персональных данных, касающихся здоровья или половой жизни и т.п. (сравн. ст. 9 абз. 1 DSGVO). Это положение действует также в отношении персональных данных, касающихся судимости.
Обязанность заявления о нарушении защиты персональных данных
Ответственное лицо обязано в соответствии со ст. 33 и ст. 34 DSGVO сообщить надлежащему контролирующему органу, а также затрагиваемому лицу о нарушении защиты персональных данных. Данное заявление должно последовать незамедлительно, в течение 72 часов с момента ознакомления с нарушением. Подобное заявление не является обязательным в случае, если нарушение не нарушает прав затрагиваемого лица и не представляет риска для его прав и свобод. Ответственный предприниматель, в связи с этим, должен провести оценку рисков и, в зависимости от обстоятельств, осведомить контролирующие органы. Нарушение данной обязанности грозит штрафом в размере до 10 млн. евро либо до 2 % от общего годового оборота предприятия, в зависимости от того, какой из штрафов был бы выше.
Помимо этого, лица, чьи права были нарушены, могут подать исковое заявление в суд на возмещение понесенного ими ущерба ввиду несвоевременного осведомления их о нарушении.
Назначение уполномоченного лица по защите персональных данных
Известно, что в Германии обязанность назначения уполномоченного лица по защите персональных данных на производстве существует уже очень долгое время. Теперь это правило распространяется на всех членов Европейского Союза. Особенно это относится к предприятиям, в которых происходит процесс обработки данных, полученных путем постоянного и систематического видеонаблюдения над затрагиваемыми лицами, а также к предприятиям, занимающимся обработкой особо конфиденциальных данных.
В Германии остается действовать прежнее правило, согласно которому предприятие обязано назначить уполномоченное лицо по защите персональных данных, в случае, если количество лиц, чьи персональные данные подвергаются постоянной автоматизированной обработке, составляет, как минимум, десять человек. Подобное лицо обязывается к тесному сотрудничеству с контролирующими органами, даже несмотря на то, что это потенциально может привести к нарушению трудовых отношений, основанных на доверии. Предприниматель обязуется предоставить уполномоченному лицу все необходимые данные для осуществления контроля.
Ответственность
В случае несоблюдения требований по организации защиты персональных данных предпринимателю грозит штраф в размере 10 млн. евро или 2 % от общего годового оборота предприятия. Помимо этого, в случае нарушения материальных норм о допуске к обработке персональных данных, грозит штраф в размере до 20 млн. евро, либо до 4 % от общего годового оборота предприятия, в зависимости от того, какой из штрафов является более строгим. Помимо этого, и сами лица, права на защиту персональных данных которых были нарушены, могут потребовать от предприятия возмещения понесенного вследствие нарушения их прав ущерба. Предприятиям, связанным с обработкой персональных данных, можно только посоветовать тщательно вести ведомость о возможных обработках персональных данных, а также об их нарушениях. Во избежание таких нарушений следует обратиться за помощью к профессионалам.
Читать дальше:
Самостоятельно зарегистрированное доменное имя не защитит от предъявления иска
Правовая защита персональных данных в Германии
