Лига Русскоязычных Адвокатов сообщает об «Общих положениях о защите персональных данных» (GDPR).

С 25 мая 2018 года вступил в силу новый закон «Общие положения о защите персональных данных» (GDPR) ЕЕ 2016/679, принятый Европейским парламентом 27 апреля 2016 года. Новый закон заменяет существующую Европейскую Директиву 1995г. о Защите Персональных Данных и включает в себя новые более строгие меры контроля конфиденциальной информации, гласности при использовании персональных данных и защиты граждан.
«Общие положения о защите персональных данных» применяются к любым физическим или юридическим лицам, государственным органам или учреждениям, расположенным в Европейском Союзе, независимо от того, осуществляется ли обработка данных в рамках Евросоюза, а также к физическим или юридическим лицам вне Евросоюза, которые предлагают услуги и товары с оплатой или без оплаты физическим лицам в пределах Европейского Союза или контролируют их действия в пределах Европейского Союза. «Общие положения» применяются при автоматической или не автоматической обработке персональных данных, если данные включены или будут включены в архивную систему. Закон не применяется к обработке персональных данных в контексте деятельности, выходящей за рамки законодательства Европейского Союза, либо осуществляемой физическим лицом в рамках личной или домашней деятельности, либо осуществляемой компетентными органами в целях предотвращения, расследования, выявления или преследования уголовных преступлений или применения уголовных санкций, включая защиту и предотвращение угроз общественной безопасности. Обработка персональных данных учреждениями, органами, службами и организациями Евросоюза регулируется Регламентом (ЕС) 45/2001, в соответствии с принципами и правилами «Общих положений». «Общие положения» не влияют на положения Директивы 2000/31 / ЕС об ответственности посредников предоставления услуг.
Согласно статье 4 закона, в качестве персональных данных определяется любая информация, которая касается идентифицированного или идентифицируемого физического лица («субъект данных»). Идентифицируемым физическим лицом является лицо, личность которого может быть установлена прямо или косвенно, в частности, путем упоминания данных, таких как имя, номер удостоверения личности, данные о местоположении, on line личные данные или один или несколько факторов, характерных для физической, физиологической, генетической, психологической, экономической, культурной или социальной идентичности данного физического лица. В качестве персональных данных особых категорий определяются данные, выявляющие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или участие в профсоюзах, а также обработка генетических данных, биометрических данных с целью неопровержимого установления личности человека, данные о здоровье или данные, касающиеся сексуальной жизни физического лица или его сексуальной ориентации. В качестве обработки данных определяется любое действие, выполняемое с использованием или без использования автоматических средств с персональными данными, такие как сбор, регистрация, организация, структурирование, хранение, корректировка или изменение, извлечение, поиск информации, использование, разглашение путем перенаправления, распространение или любая другая форма предоставления, корреляция или сочетание, ограничение, удаление или уничтожение. Нарушением конфиденциальности персональных данных считается любое нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению или доступу к персональным данным, которые были переданы, сохранены или обработаны иным образом.
Персональные данные должны подвергаться законной и дозволенной обработке с гласностью в отношении субъекта данных, для определенных, явных и законных целей и не обрабатываться в дальнейшем таким образом, который несовместим с данными целями. Дальнейшая обработка с целью архивирования в общественных интересах или для целей научных или исторических исследований или статистических целей не считается несовместимой с первоначальными целями. Данные должны быть подходящими, соответствующими и ограничиваться только необходимыми для целей, для которых они обрабатываются, они должны быть точными и обновленными, и должны хранится в форме, которая позволяет идентифицировать субъект данных только в течение времени, необходимого для цели обработки персональных данных, в то время как они могут храниться в течение более длительного периода при условии что будут обработаны исключительно для архивных целей в интересах общественности, с целью научных или исторических исследований или для статистических целей. Также должна гарантироваться надлежащая безопасность персональных данных, как например их защита от несанкционированной или незаконной обработки и случайной потери, уничтожения или искажения, с использованием соответствующих технических или организационных мер. Ответственный за обработку данных несет ответственность за соблюдение вышеуказанного и обязан иметь доказательства о данном соблюдении.
Обработка персональных данных является законной только в том случае, если соблюдается по крайней мере одна из нижеследующих предпосылок:
а) субъект обработки данных предоставил согласие на обработку персональных данных для определенной цели,
б) обработка необходима для выполнения контракта, субъектом данных которого является одна из сторон или для принятия мер по запросу субъекта данных перед заключением договора,
в) обработка необходима для выполнения законного обязательства ответственного за обработку,
г) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица,
д) обработка необходима для выполнения обязанностей в общественных интересах или при осуществлении государственных полномочий, возложенных на ответственного за обработку данных,
е) обработка необходима для соблюдения законных интересов ответственного за обработку данных или третьего лица, кроме если не преобладают интересы или основополагающие права и свободы субъекта данных, которые требуют защиты персональных данных, особенно если субъект данных является ребенок.
Обработка персональных данных особых категорий разрешается, если предоставляется четкое согласие, либо если она необходима для выполнения обязательств и определенных прав в области трудового права и права социального страхования, либо для защиты жизненно важных интересов субъекта данных или другого физического лица, которое не имеет физическую или юридическую дееспособность предоставить согласие, либо если обработка осуществляется в рамках законной деятельности не коммерческого фонда и при условии, что обработка касается исключительно членов или бывших членов фонда или лиц, поддерживающие с ним постоянный контакт и что эти данные не разглашаются без их согласия, либо если данные были явно опубликованы самим субъектом данных, либо если обработка необходима для осуществления правовых требований или основных общественных интересов, либо с целью профилактической или профессиональной медицинской оценки трудовой способности рабочего, медицинского диагноза, предоставления здравоохранительного лечения или социальной помощи или управления здравоохранительными или социальными системами и услугами или необходимо в соображениях общественного интереса в области общественного в области общественного здравоохранения или архивирования в интересах общества, как для научных и исторических исследований, так и для статистических целей.
Субъект данных имеет право отозвать его согласие в любой момент и данный отзыв не влияет на законность обработки данных, основанной на согласии до отзыва. При оценке того, предоставляется ли согласие свободно, особо учитывается в какой степени для осуществления контракта , в том числе предоставления какой-либо услуги, ставится как условие получение согласия на обработку данных персонального характера, которые не являются необходимыми для выполнения данного контракта.
Касательно согласия ребенка, обработка персональных данных ребенка является законной, если ребенок достиг 16-летнего возраста по крайней мере. Если ребенку менее 16 лет, обработка является законной, только если и в степени в которой согласие предоставляется или одобряется опекуном. Страны- члены Евросоюза могут предусматривать в законном порядке, меньший возраст с данными целями, под условием, что данный возраст не будет менее 13 лет. Ответственный за обработку должен приложить разумные усилия для проверки предоставления согласия лицом, имеющим опеку над ребенком, принимая во внимание имеющуюся технологию.
Субъект данных имеет ряд прав, как например информирования касательно целей обработки, промежуток времени хранения данных, или если это невозможно, критерии по которым определяется данный промежуток времени, категории персональных данных и их получателей, право исправления данных с предпосылками, право передачи данных другому ответственному за обработку лицу, право жалобы надзорному органу. Субъект данных имеет право запросить удаление персональных данных, касающихся его, без неоправданной задержки, и ответственный за обработку обязан их удалить без неоправданной задержки, по одной из следующих причин:
а) персональные данные больше не нужны в отношении целей, для которых они были собраны или обработаны иным образом,
б) субъект данных отзывает согласие, на основании которого осуществляется обработка, и нет другой правовой основы для обработки,
в) субъект данных выступает против обработки и нет убедительных и законных причин для обработки,
г) персональные данные были обработаны незаконно,
д) персональные данные должны быть удалены, чтобы соответствовать юридическому обязательству в соответствии с законодательством Евросоюза или закону государства-члена Евросоюза, которому подчинен субъект,
е) персональные данные были собраны в связи с предоставлением услуг информационной сети.
Если ответственный за обработку сделал персональные данные общедоступными и обязан удалить их в соответствии с вышеизложенным, он должен предпринять разумные шаги для информирования других ответственных за обработку о том, что субъект данных запросил удаление этих персональных данных. Удаление не может быть осуществлено в той степени, в которой обработка необходима для осуществления права на свободу выражения мнений и права на информацию, для соблюдения юридического обязательства обработки в соответствии с законодательством Европейского союза или национального законодательства, или для выполнения обязанности в общественных интересах или при осуществлении государственной власти, или по соображениям общественного интереса в области общественного здравоохранения или для целей архивирования в общественных интересах, для научных или исторических исследований или для статистических целей или для обоснования, подачи или защиты судебных исков. Ответственный за обработку должен выполнять соответствующие технические и организационные меры для обеспечения и доказательства, что обработка осуществляется в соответствии с Общими положениями о защите персональных данных. Эти меры должны пересматриваться и обновляться по мере необходимости. Каждый ответственный за обработку должен хранить в письменной форме, в том числе и в электронной форме, информацию о деятельности по обработке данных со следующей информацией: имя и контактные данные ответственного за обработку, представителя ответственного за обработку и ответственного за защиту данных, цели обработки, описание категорий субъектов данных и категорий персональных данных, получателей, где это применимо, передачу персональных данных третьим лицам или международной организации, предусмотренные сроки для удаления данных, где это применимо, общее описание технических и организационных мер безопасности. Данное обязательство не распространяется на компанию или организацию, с персоналом менее 250 человек, кроме если рассматриваемая обработка может угрожать правам и свободам субъекта данных, обработка не случайна или обработка связана с определенными категориями данных или данных касающихся уголовных приговоров и правонарушений.
В случае нарушения персональных данных ответственный за обработку должен незамедлительно и, если возможно, в течение 72 часов с того момента, как он узнал о нарушении данных, проинформировать надзорный орган, кроме если нарушение персональных данных не может вызвать риск для прав и свобод физических лиц. Если уведомление в надзорный орган не осуществляется в течение 72 часов, оно должно сопровождаться обоснованием задержки.
Ответственный за обработку данных назначает ответственного за защиту данных в любом случае, когда обработка осуществляются государственным органом или основной деятельностью ответственного за обработку или осуществляющего обработку является операции, которые требуют регулярный и систематический мониторинг субъектов данных в большом масштабе или обработку особых категорий персональных данных и данных, связанных с уголовными обвинительными приговорами и правонарушениями. Ответственный за защиту данных назначается на основе профессиональной квалификации, и в частности, на основе опыта, имеющегося в области права и практики в области защиты данных, а также на основе способности выполнять его обязанности. Ответственный по защите данных может быть членом персонала ответственного за обработку или осуществляющего обработку или выполнять свои обязанности по контракту на обслуживание. Ответственный по защите данных или осуществляющий обработку должны публиковать контактные данные ответственного по защите данных и сообщать их в надзорный орган. Ответственный по защите данных не получает указания по выполнению его обязанностей, не увольняется и не наказывается ответственным за обработку или осуществляющим обработку за выполнение его обязанностей и подотчетен непосредственно на высшему административному органу ответственного за обработку или осуществляющего обработку. Субъекты данных могут обращаться к ответственному по защите данных по любому вопросу, касающемуся обработки их данных и реализации их прав. Ответственный за защиту данных обязан соблюдать конфиденциальность при исполнении своих обязанностей в соответствии с законодательством Евросоюза или государства – его члена. Ответственный за защиту данных следит за соблюдением «Общих положений по защите данных» и выступает в качестве контактного лица надзорного органа. Ответственный за защиту данных может также выполнять другие обязанности, которые не должны противоречить его обязанностям. Ответственный за защиту данных) облегчает для ответственного за обработку и осуществляющего обработку применение «Общих положений по защите данных» и посредничает между различными заинтересованными сторонами (например, надзорными органами, субъектами данных). Его роль является консультативной (не решающей), и он не несет личной ответственности за несоблюдение «Общих положений». Лицом, ответственным за обеспечение и доказательство, что обработка осуществляется в рамках «Общих положений», является ответственный за обработку или осуществляющий обработку данных.

Аналогичные статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.