В Евросоюзе с 25 мая 2018 г. применяется Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (GDPR). Регламент касается защиты персональных данных жителей Евросоюза. В памятке представлены ответы на некоторые основные вопросы, которые могут возникнуть у организаций, имеющих дело с персональными данными таких физлиц.
Вопрос о персональных данных по GDPR | Порядок действий, возможности |
Кому важно применять GDPR при работе с персональными данными? | — белорусским организациям, их представительствам в ЕС, которые сотрудничают на территории ЕС с физическими лицами или нацеливают на них свои продажи товаров, услуг, в том числе проводя мониторинг спроса и т.д.;
— учрежденным в ЕС субъектам, которые обрабатывают персональные данные. — белорусским компаниям, которые оказывают физическим лицам и организациям-резидентам ЕС финансовые и иные услуги, продают товары, используя системы международных расчетов, платежную инфраструктуру, расположенную в государствах — членах ЕС. Это важно для поддержания конкурентоспособности компаний на европейском рынке. |
Где можно почитать GDPR и руководства по его применению? | — Оригинальный текст GDPR можно найти по ссылке.
— Регулирующий орган по защите данных в ЕС — это Европейский совет по защите данных (EDPB). На сайте EDPB можно найти руководства по применению GDPR и иную информацию о защите персональных данных. — По запросу в google можно найти тексты неофициальных переводов GDPR на русский язык. |
Что понимается под персональными данными и их обработкой в GDPR? | — Четкого перечня персональных данных GDPR не устанавливает. К ним относится любая информация, которая позволяет идентифицировать физическое лицо, в том числе об имени, местоположении, идентификатор в режиме онлайн и др. В отношении анонимных персональных данных GDRP не применяется, когда невозможно установить кто их предоставил.
— Под обработкой персональных данных в GDPR понимается любая операция (операции), которая осуществляется с персональными данными. Например, сбор, запись, организация, структурирование, хранение. |
Какие персональные данные обрабатывать запрещено? | — GDPR запрещает обработку особых персональных данных: расовое или этническое происхождение, политические взгляды, религиозные убеждения или философские воззрения, членство в профессиональном союзе, а также обработку генетических данных, биометрических данных для однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.
Справочно |
Когда нужно получать согласие физлица на обработку персональных данных, а когда – нет? | — На каждое действие по обработке нужно получить согласие физлица.
Согласие должно быть добровольным и однозначным. Согласие может быть: письменным или выраженным простановкой галочки/крестика при посещении интернет-сайта; выбором технических настроек для услуг на сайте; другой способ поведения, который четко указывает на то, что физлицо в указанном контексте согласно на запланированную обработку своих персональных данных. У физлица есть право отозвать свое согласие. Рекомендуют получать отдельное согласие на каждый этап обработки персональных данных: на сбор, хранение, распространение, передачу. Не является выражением согласия: молчание, уже проставленная галочка/крестик или бездействие Справочно |
Какую информацию нужно предоставить физлицу? | — нужно ознакомить физлицо как минимум с идентификационными данными организации, которая получает данные, и целью (целями) их обработки. Например, в трудовых отношениях по GDPR персональные данные работников могут обрабатываться на основе их согласия в целях выполнения трудового договора.
— при первом общении с физлицом необходимо сообщить ему о его праве возражать против обработки относящихся к нему персональных данных, а также против обработки относящихся к нему персональных данных для целей прямого маркетинга, включая формирование профиля. Справочно |
Кто такой представитель организации в государстве, входящем в Евросоюз? | Когда продажи товаров и услуг нацелены на физлиц — граждан государств ЕС, нужно в письменной форме назначить своего представителя в Евросоюзе.
Представитель назначается в одном из государств — членов ЕС, в котором находятся физлица, персональные данные которых обрабатываются. Представителя нужно уполномочить решать совместно с представляемой организацией или вместо нее все вопросы, связанные с обработкой персональных данных, особенно вопросы с надзорными органами и субъектами данных — физлицами. |
Как вести учет обработки персональных данных и кто может помочь в организации работы с персональными данными? | Согласно GDPR нужно вести учет обработки персональных данных и учет деятельности, связанной с обработкой.
Учетные сведения должны сохраняться в письменном виде, в том числе в электронной форме. Такие сведения представляются надзорным органам по их требованию. В частности, в учетные сведения нужно включить фамилию и контактные сведения обрабатывающего данные лица или лиц и данные об организации, от имени которой действует указанное лицо, ее представителя (при наличии) и инспектора по защите персональных данных. Справочно Инспектор по защите персональных данных — это эксперт, который дает консультации по построению работы согласно GDPR, проводит аудит обработки персональных данных. Это не обязательно сотрудник компании, инспектором может быть сторонний эксперт по договору оказания услуг. Сотрудничество с инспектором обязательно только для некоторых компаний. Например, тех, которые ведут масштабный мониторинг (сбор) персональных данных, в том числе особых. Однако получать консультации инспектора возможно и полезно всем компаниям, которые обрабатывают персональные данные. |
Как нужно действовать в случае утечки персональных данных? | Об утечке нужно в течение 72 часов уведомить надзорный орган, действующий на территории соответствующего государства ЕС. Уведомлять физлицо об утечке его персональных данных нужно, когда утечка может привести к высокой степени риска для прав и свобод физических лиц. Когда уведомление каждого физлица требует несоразмерных усилий, делается информирование общественности, например, в СМИ, или рассылка. |
Справочно
В белорусском законодательстве к персональным данным относятся основные и дополнительные персональные данные, которые вносятся в регистр населения, а также иные данные, позволяющие идентифицировать лицо <*>. Основные персональные данные <*> — это, в частности, фамилия, собственное имя, отчество, пол, число, месяц, год и место рождения, цифровой фотопортрет. Дополнительные персональные данные <*> — это сведения о высшем образовании, налоговых обязательствах, об исполнении воинской обязанности и др. Если иного не требует законодательство, то на сбор, обработку, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими нужно получить письменное согласие физлица <*>. Однако ответственность за отсутствие такого согласия не установлена.