В Евросоюзе с 25 мая 2018 г. применяется Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (GDPR). Регламент касается защиты персональных данных жителей Евросоюза. В памятке представлены ответы на некоторые основные вопросы, которые могут возникнуть у организаций, имеющих дело с персональными данными таких физлиц.

Вопрос о персональных данных по GDPR Порядок действий, возможности
Кому важно применять GDPR при работе с персональными данными? — белорусским организациям, их представительствам в ЕС, которые сотрудничают на территории ЕС с физическими лицами или нацеливают на них свои продажи товаров, услуг, в том числе проводя мониторинг спроса и т.д.;

— учрежденным в ЕС субъектам, которые обрабатывают персональные данные.

— белорусским компаниям, которые оказывают физическим лицам и организациям-резидентам ЕС финансовые и иные услуги, продают товары, используя системы международных расчетов, платежную инфраструктуру, расположенную в государствах — членах ЕС. Это важно для поддержания конкурентоспособности компаний на европейском рынке.

Где можно почитать GDPR и руководства по его применению? — Оригинальный текст GDPR можно найти по ссылке.

— Регулирующий орган по защите данных в ЕС — это Европейский совет по защите данных (EDPB). На сайте EDPB можно найти руководства по применению GDPR и иную информацию о защите персональных данных.

— По запросу в google можно найти тексты неофициальных переводов GDPR на русский язык.

Что понимается под персональными данными и их обработкой в GDPR? — Четкого перечня персональных данных GDPR не устанавливает. К ним относится любая информация, которая позволяет идентифицировать физическое лицо, в том числе об имени, местоположении, идентификатор в режиме онлайн и др. В отношении анонимных персональных данных GDRP не применяется, когда невозможно установить кто их предоставил.

— Под обработкой персональных данных в GDPR понимается любая операция (операции), которая осуществляется с персональными данными. Например, сбор, запись, организация, структурирование, хранение.

Какие персональные данные обрабатывать запрещено? — GDPR запрещает обработку особых персональных данных: расовое или этническое происхождение, политические взгляды, религиозные убеждения или философские воззрения, членство в профессиональном союзе, а также обработку генетических данных, биометрических данных для однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

Справочно
Обрабатывать особые персональные данные можно в частности, когда само физлицо сделало эти данные общедоступными.

Когда нужно получать согласие физлица на обработку персональных данных, а когда – нет? — На каждое действие по обработке нужно получить согласие физлица.

Согласие должно быть добровольным и однозначным.

Согласие может быть:

письменным или выраженным простановкой галочки/крестика при посещении интернет-сайта;

выбором технических настроек для услуг на сайте;

другой способ поведения, который четко указывает на то, что физлицо в указанном контексте согласно на запланированную обработку своих персональных данных.

У физлица есть право отозвать свое согласие.

Рекомендуют получать отдельное согласие на каждый этап обработки персональных данных: на сбор, хранение, распространение, передачу.

Не является выражением согласия: молчание, уже проставленная галочка/крестик или бездействие

Справочно
Когда персональные данные нужны только для заключения договора с физлицом, его согласие на обработку персональных данных получать не нужно.

Какую информацию нужно предоставить физлицу? — нужно ознакомить физлицо как минимум с идентификационными данными организации, которая получает данные, и целью (целями) их обработки. Например, в трудовых отношениях по GDPR персональные данные работников могут обрабатываться на основе их согласия в целях выполнения трудового договора.

— при первом общении с физлицом необходимо сообщить ему о его праве возражать против обработки относящихся к нему персональных данных, а также против обработки относящихся к нему персональных данных для целей прямого маркетинга, включая формирование профиля.

Справочно
Физлицо имеет право получить любую информацию об обработке своих персональных данных; потребовать внесения изменений в свои данные, потребовать их удаления («право на забвение»); передать свои данные другой организации; возражать против обработки своих персональных данных.

Кто такой представитель организации в государстве, входящем в Евросоюз? Когда продажи товаров и услуг нацелены на физлиц — граждан государств ЕС, нужно в письменной форме назначить своего представителя в Евросоюзе.

Представитель назначается в одном из государств — членов ЕС, в котором находятся физлица, персональные данные которых обрабатываются.

Представителя нужно уполномочить решать совместно с представляемой организацией или вместо нее все вопросы, связанные с обработкой персональных данных, особенно вопросы с надзорными органами и субъектами данных — физлицами.

Как вести учет обработки персональных данных и кто может помочь в организации работы с персональными данными? Согласно GDPR нужно вести учет обработки персональных данных и учет деятельности, связанной с обработкой.

Учетные сведения должны сохраняться в письменном виде, в том числе в электронной форме. Такие сведения представляются надзорным органам по их требованию.

В частности, в учетные сведения нужно включить фамилию и контактные сведения обрабатывающего данные лица или лиц и данные об организации, от имени которой действует указанное лицо, ее представителя (при наличии) и инспектора по защите персональных данных.

Справочно
Вести учетные сведения не нужно, когда в организации работает менее 250 человек, кроме случаев, когда обработка связана с риском для прав и свобод физлиц, обработка не носит случайный характер или включает в себя специальные категории данных (особые данные), или персональные данные, связанные с судимостями и преступлениями.

Инспектор по защите персональных данных — это эксперт, который дает консультации по построению работы согласно GDPR, проводит аудит обработки персональных данных. Это не обязательно сотрудник компании, инспектором может быть сторонний эксперт по договору оказания услуг. Сотрудничество с инспектором обязательно только для некоторых компаний. Например, тех, которые ведут масштабный мониторинг (сбор) персональных данных, в том числе особых. Однако получать консультации инспектора возможно и полезно всем компаниям, которые обрабатывают персональные данные.

Как нужно действовать в случае утечки персональных данных? Об утечке нужно в течение 72 часов уведомить надзорный орган, действующий на территории соответствующего государства ЕС. Уведомлять физлицо об утечке его персональных данных нужно, когда утечка может привести к высокой степени риска для прав и свобод физических лиц. Когда уведомление каждого физлица требует несоразмерных усилий, делается информирование общественности, например, в СМИ, или рассылка.

Справочно
В белорусском законодательстве к персональным данным относятся основные и дополнительные персональные данные, которые вносятся в регистр населения, а также иные данные, позволяющие идентифицировать лицо <*>. Основные персональные данные <*> — это, в частности, фамилия, собственное имя, отчество, пол, число, месяц, год и место рождения, цифровой фотопортрет. Дополнительные персональные данные <*> — это сведения о высшем образовании, налоговых обязательствах, об исполнении воинской обязанности и др. Если иного не требует законодательство, то на сбор, обработку, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими нужно получить письменное согласие физлица <*>. Однако ответственность за отсутствие такого согласия не установлена.