Eternity Law International Новини Загальний регламент захисту даних (GDPR)

Загальний регламент захисту даних (GDPR)

Опубліковано
January 29, 2020

Ринок ЄС розвивається з кожним днем, в результаті він збільшує транскордонні потоки персональних даних, включаючи використання Інтернету. Вищесказане викликає великі проблеми із захистом особистих даних. Таким чином, основною метою GDPR є захист персональних даних і суб’єктів персональних даних. Загальні правила захисту даних вступають в силу з 25 травня 2018 року.

GDPR покликаний сприяти розвитку простору свободи, безпеки, справедливості і економічного союзу; економічний і соціальний прогрес; зміцнення верховенства закону і зближення економік на внутрішньому ринку, а також загальний добробут людей в країнах-членах ЄС.

GDPR необхідні всім державам-членам ЄС. Для компаній-нерезидентів ЄС, в тому числі країн СНД, вимоги застосовуються в наступних випадках:

  • Компанії, які постачають свої товари або послуги фізичним особам в ЄС. Наприклад, інтернет-магазини, туроператори, транспортні компанії, які знаходяться в Україні і обробляють дані резидентів ЄС.
  • Компанії, які проводять маркетингові дослідження споживачів з ЄС.
  • Компанії, які в процесі своєї діяльності отримують доступ до персональних даних суб’єктів в ЄС. Це можуть бути будь-які українські компанії, які, наприклад, мають доступ до даних співробітників з ЄС.

Основними важливими нововведеннями GDPR, які торкнуться країн cif, є:

Необхідність введення нової посади в компанії – Data Protection Office

Всі компанії, що працюють зі значним обсягом особистих даних або з «особливими» категоріями таких даних, зобов’язані в обов’язковому порядку призначати особу, яка відповідає за захист особистих даних співробітника. Він може виконувати свої обов’язки як за трудовим договором, так і по цивільному праву.

Співробітник повинен мати відповідний рівень знань в області захисту персональних даних. У групі компаній може бути один відповідальний, якщо він забезпечує необмежений доступ до діяльності кожного члена групи. Крім того, він може працювати в компанії як за основним місцем роботи, так і за сумісництвом.

Необхідність представника (представництва) в ЄС

Якщо ваша компанія підпадає під GDPR і не знаходиться в ЄС, необхідна присутність офіційного представника компанії в ЄС. Представник повинен бути призначений контактною особою з усіх питань захисту персональних даних громадян ЄС для уповноважених органів. Це може бути як фізична, так і юридична особа.

Серед обов’язкових вимог до представника – наявність (для юридичних осіб) або знаходження (для фізичних осіб) в одній з країн, громадянами яких є особи, чиї персональні дані обробляються або поведінка яких досліджується.

Виняток з цього правила: якщо обробка даних не є постійною; якщо оброблювані персональні дані не відносяться до «особливих» категорій (як уже згадувалося вище, включаючи, зокрема, генетичні, біометричні дані), що відносяться до кримінальних процесах або звинуваченнями;

Якщо характер даних свідчить про неможливість серйозно порушити права людини в разі їх витоку (неважко припустити, що учасники ринку, які з тих чи інших причин не мають наміру виконувати цю вимогу GDPR постараюся використовувати таке формулювання оцінки, щоб цього уникнути).

Підтвердження відповідності вимогам GDPR

GDPR встановлює обов’язок доводити відповідність компанії новим вимогам. Для підтвердження відповідності контролери повинні зберігати всю інформацію, що стосується дій з персональними даними (про контроллер, операціях з передачі даних і т. Д).

Підвищення рівня безпеки персональних даних

GDPR не встановлює чітких критеріїв оцінки рівня відповідності вимогам безпеки. Замість цього він оперує рейтинговими категоріями, що означає, що контролери і процесори повинні забезпечувати максимально можливий рівень інформаційної безпеки для них, включаючи реалізацію відповідних технічних і організаційних заходів для забезпечення високого рівня інформаційної безпеки.

Заходи безпеки можуть бути самими різними. Це залежить від того, які дані обробляються, від їх кількості, від можливості витоку і т. Д. Як приклад кроків, які можна зробити, GDPR надає псевдонімізацію і шифрування.

Обмеження використання хмарного сховища для розміщення персональних даних

Згідно GDPR, розміщення особистих даних в хмарному сховище вважається переданим третім особам. Необхідно остерігатися сховищ з низьким рівнем захисту, а також обмежувати розміщення на них персональних даних. В цьому випадку, якщо передача даних через хмарне сховище відбувається за межами ЄС без належної безпеки, такі дії є порушенням законодавства ЄС.

Введення контролю за передачею персональних даних за межі Європейської економічної зони

Згідно із загальним правилом, персональні дані можуть бути передані в третю країну тільки при наявності позитивного висновку Європейської комісії про дотримання країною високих стандартів захисту персональних даних. Найбільш прийнятним для України буде використання стандартних умов контракту, які схвалені Єврокомісією.

Загальне підвищення конфіденційності

Регламент передбачає необхідність підвищення конфіденційності. На додаток до стандарту найвищого рівня конфіденційності за замовчуванням (наприклад, в соціальних мережах), може знадобитися отримання згоди суб’єкта на обробку кожного окремого елемента інформації, який він вводить.

Основні права суб’єктів персональних даних (наприклад, право доступу до даних про себе або право вимагати припинення обробки персональних даних) передбачені Директивою. Регламент ввів, наприклад, такі права, як право на переносимість даних.

Суб’єкт персональних даних може попросити передати свої персональні дані з однієї організації в іншу, наприклад, при зміні медичної установи, в якому він обслуговується.

Регламент також вводить нове право – право на забуття, яке дозволяє суб’єкту вимагати видалення даних про себе з усіх баз даних компанії. Важливо відзначити, що таке право не є абсолютним і застосовується тільки в прямо встановлених випадках. Наприклад, якщо обробка здійснюється на вимогу закону, суб’єкт не може реалізувати своє право на забуття.

Зокрема, людина повинна знати мету обробки персональних даних ще на етапі їх збору. Якщо збір даних є результатом бажання людини, контролер повинен продемонструвати, що він представляє свої особисті дані тут і там.

Хоча в даний час в Україні діють аналогічні правила, юристи з ЄС вказують, що нинішнього рівня обізнаності користувачів недостатньо, і соціальні мережі разом з прийняттям GDPR перейдуть на незнання.

В цьому відношенні є цікаві положення Регламенту, в яких йдеться про те, що держави-члени ЄС повинні забезпечувати конфіденційність на робочому місці. Зокрема, якщо роботодавець спостерігає за працівниками, встановлюючи камери, працівник повинен знати і давати згоду на обробку персональних даних. Таке правило буде діяти і в Україні, якщо співробітник є громадянином ЄС.

Для особистої консультації звертайтеся до нашого фахівця. Якщо у вас є які-небудь питання або вам потрібна порада щодо захисту особистих даних або GDPR, зателефонуйте нам за номерами, вказаними на сайті, або заповніть та надішліть нам форму внизу сторінки.

Вас може зацікавити

Люксембурзький інвестиційний фонд: основні особливості

Будучи державою-членом ЄС, Люксембург є важливим центром з високорозвиненим інвестиційним режимом. З більш ніж 5,5 мільярдами євро чистих активів під управлінням, ця юрисдикція є найбільшим фінансовим центром в ЄС і займає 2 місце в світі після США. Це найбільший в світі розподільний центр для схем колективних інвестицій, його фонди пропонуються більш ніж в 65 країнах...

Стартапи і технології в Гонконзі

Стартапи і технології в Гонконзі – розвиток під час карантину. Широке і швидке поширення COVID-19, а також заходи, прийняті для повної ізоляції, послужили причиною того, що більшість фірм ввели для своїх співробітників віддалений режим роботи. Всупереч поширеній думці, що продуктивність віддаленої діяльності набагато нижче, ніж роботи за звичайним графіком, практичний досвід показує, що деякі галузі...

Регулювання Діяльності Крипто Бірж в Сінгапурі

У даній статті буде розглядається регулювання діяльності провайдерів послуг в сфері Цифрових Платіжних токенів (Digital Payment Token Service Providers) в Сінгапурі. Базова інформація Нормативно-правова основа для видачі ліцензії: Закон про Платіжних послугах (Payment Services Act; PSA) від 2019, Постанова MAS PSN02, Консультаційний Акт про Новому Комплексний Законі для Фінансового Сектору (Consultation Paper on a New...

Ліцензія на гральну діяльність на острові Мен

Острів Мен, самоврядна територія Британської корони, розташована в Ірландському морі, уже давно є світовим центром гральної індустрії. Відома своєю суворістю регулювання, острівна держава пропонує сприятливі умови для роботи гральних і букмекерських компаній. У цій статті ми детально розглянемо питання отримання ліцензії на гральну діяльність на острові Мен. Ми розглянемо необхідні вимоги, різні типи ліцензій, переваги...

Реєстрація міжнародних бізнес компаній

Створення міжнародних компаній в офшорі лише на перший погляд може здатися простим і легким процесом. Насправді перед реєстрацією потрібно визначитися, в якій країні ви хочете створити юридичну особу та вивчити всі можливості й переваги, які надаються на місцевому рівні. Навіть сьогодні не всі розуміють, чому варто реєструвати компанії в офшорних зонах. Спробуємо розібратися в цьому...

Регулювання інвестиційних фондів в Люксембурзі

Спеціалізований інвестиційний фонд (СФІ) – це структура, яка може інвестувати в широкий спектр активів. Зазвичай він кваліфікується як Альтернативний інвестиційний фонд (АІФ) і може бути запропонований кваліфікованим фінансовим інвесторам. Легітимна система SIF регулюються законом Люксембургу від 13 лютого 2007 року (Закон SIF). До системи SIF було внесено зміни згідно із Законом від 12 липня 2013...

Відкрийте для себе наші послуги

Міжнародна компанія Eternity Law International надає професійні послуги у галузі міжнародного консалтингу, аудиторських послуг, юридичних та податкових послуг.

Продаж готових компаній

Компанії з банковським рахунком по всьому світу

Продаж готових ліцензій на криптовалюту

Форекс, кріптовалюти, азартні ігры, EMI, PSP, SVF, MSO, DLT

Банки на продаж

Придбання готових банківських структур для запуску або розширення свого бізнесу.

Реєстрація офшорної компанії

Експертні консультації щодо придбання офшорної компанії

Ліцензування

Ліцензії форекс, кріптовалюти, азартні ігры, EMI, PSP, SVF, MSO, DLT

Відкриття банківського рахунку

Відкривайте банківські рахунки в більш ніж 120 банках по всьому світу
Заповніть форму:

Цюрих

Центр Штокерхоф, Дракенигштрассе 31а
+41 435 50 73 23

Київ

вул. Басейна, 7в
+38 094 712 03 54

Лондон

52 Гросвенор Гарденс
+44 203 868 34 37

Таллінн

Харью мааконди, Кесклинн Ліннаоса, Туукрі, 19
+372 880 41 85

Вільнюс

просп. Гедімінаса, 44А
+370 52 11 14 32

Вашингтон

1629 K St. Suite 300 N.W.
+1 (888) 647 05 40

Единбург

площа Лохрін 1
+44 203 868 34 37

Нікосія

Вежа Нікосії Яковідес, 5 поверх
+371 665 550 51

Рига

Еспланада, 7 поверх
+371 665 550 51

Сідней

20 Мартін Плейс
+61 2 888 00 365

Сінгапур

поверх 42, Сантек Вежа 3, бульвар Темасек 8
+6531594300

Гонконг

вул. Харбор 18, 35 / Ф, Сентрал Плаза, Ваньчай
800938622

Порту

2609 Avenida da Boavista
+351 300 528 106

Тбілісі

вул. Реваза Табукашвілі, N 45, площа N 7
+995706070360