Несмотря на то, что прошло чуть более месяца со дня вступления в силу закона о защите персональных данных в ЕС (далее как GDPR), тем не менее, получаю много вопросов касательно применения его в практике. Дело еще более усугубляется различными трактовками, большим количеством статей, а также везде прописываемых огромных штрафов – примелькавшиеся 20 млн евро или от 2% до 4% от общего годового оборота при нарушении обязательств компаний при применении положений GDPR.
На кого закон применяется? Нужно ли прописывать в трудовом договоре или трудовом соглашении? Необходимо прописывать в Торговых условиях? Как?
Юрисдикция и применение.
Закон применяется на компании на территории ЕС, а также на граждан ЕС, если происходит сбор их персональных данных (экстра-территориальность закона), а также на тех администраторов и процессоров, не находящихся в ЕС, но вовлеченных в процесс мониторинга в рамках ЕС (п. 24 GDPR).
Правовые акты:
– Постановление Европейского парламента и совета ЕС № 2016/679 (https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=31062)
– Закон о защите персональных данных №101/2000 Сб. (https://www.zakonyprolidi.cz/cs/2000-101 ) на территории Чехии
Соответствующий надзорный орган в Чехии – Управление по защите персональных данных (Úřad pro ochranu osobních údajů далее UOOU).
О чем речь?
Защита персональных данных – не столь новая вещь, новостью однако для большинства стало то, что теперь речь идет не только об автоматизированной обработке персональных данных, но и не автоматизированных.
Что такое персональные данные? Это личные, конфиденциальные и чувствительные данные, по которым возможно идентифицировать конкретного человека, включая и биометрические данные, генетические данные, а также и IP адрес. А также данные, хранящиеся в устройстве записи, изображения или звуки, если на основании этих записей можно прямо или косвенно идентифицировать конкретного человека.
Для большинства предпринимателей это теперь обязанность проинформировать своего клиента, а также и работника/сотрудника, о том,
– что происходит сбор персональных данных,
– каким образом –т.е. правила сбора и обработки данных, а также
– что с данными происходит, т.е. цели сбора данных.
При этом клиент должен на сбор и обработку его персональных данных уделить согласие. Конкретно пункт 32, или статья 4 п. 11 GDPR под согласием понимает свободное, конкретное, информированное и однозначное волеизъявление, посредством которого субъект, предоставляющий свои данные, предоставляет – заявлением или другим явным подтверждением своего согласия. В то же время, под свободным согласием имеется в виду и возможность отказаться от его предоставления к сбору и обработке данных, либо дать согласие на конкретные области сбора и обработки персональных данных, при этом не теряя возможность заключить договор. Также, в соответствии с положениями закона существует возможность, а скорее право «быть забытым» (пункт 65 GDPR).Т.е. возможность предоставляющего персональные данные требовать от администратора (správce) удалить свои данные.
Каким образом осуществляется?
Многие компании поступают следующим образом, на своих веб-страницах, они добавляют положения тнз. «Privacy Policy», где описываются некоторые аспекты на поставленные выше требования закона.
Значительно высокие санкции можно избежать, тщательно обновив существующую контрактную документацию (контракты клиентов, контракты на обработку персональных данных, внутренние правила и т. Д.), А также надлежащую запись информации обо всех обработанных данных.
Однако существуют ситуации, где требование предоставления согласия может быть необоснованным, иногда абсурдным, и даже незаконным. К примеру, когда требуется согласие для исполнения правового обязательства, как законное требование к работодателю предоставить данные сотрудника в службу социального обеспечения.
Нужно ли это прописывать в трудовом соглашении? А насколько это необходимо, если данные требуются для ведения отчетности перед государством. Другое дело – о каких данных идет речь, и для чего они собираются? И будет ли соблюдаться баланс между сторонами в трудовых отношениях, при предоставлении свободного согласия? В соответствии со статьей 6 п. 1 (b) и (c), а также статьей 5 п. 1 (b), (c), (d), работодатель собирает и обрабатывает персональные данные сотрудников для выполнения законных обязательств, и только в том объеме, в каком это отвечает данной цели.
Далее, в общих чертах, обязательства по обработке персональных данных перечислены в параграфе 13 п. 1 закона о защите персональных данных. И опять уточняется главная мысль – о том, чтобы администраторы и процессоры не допустили несанкционированного или случайного доступа к персональным данным, к изменениям, потере или уничтожению, несанкционированной передаче, обработке и другому незаконному использованию персональных данных. В случае нарушения защиты данных, администраторы (správce) должны сообщить об этом управлению по защите данных (UOOU) в течение 72 часов (статья 33 GDPR).
Передача персональных данных по и вне территории ЕС.
GDPR гармонизировал правовое поле на территории ЕС, теперь компания, осуществляющая деятельность на территории, к примеру, Чехии, подпадает под те же условия защиты персональных данных, если захочет расширить свою деятельность, к примеру, в Германии или другой стране ЕС.
Закон о защите персональных данных и внесении изменений в некоторые законы (далее «Закон») регулирует в § 27 условия, при которых личные данные могут быть переданы в другие страны. Прежде всего не разрешено ограничивать свободное движение личных данных, в рамках Европейского Союза. Передача персональных данных в другие страны вне ЕС свободно осуществляется, если нет ограничений на свободное передвижение личных данных исходя из международного договора, ратифицированного парламентом Чешской Республики обязана (например Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера) или в соответствии с правилами Европейского союза.
За пределами Европейского союза данные могут передаваться только в том случае, если Европейская комиссия определила, что указанная страна соответствует определенному уровню защиты персональных данных
Одним из наиболее часто используемых инструментов для передачи персональных данных в третьи страны – стандартные договорные условия. Преимущество передачи на основе применения стандартных договорных условий в том, что если они станут частью положений договора услуг, не нужно просить UOOU о разрешении на передачу данных в третьи страны, в то же время это будет отвечать требованиям закона о защите персональных данных.
Подробная информация
На сайте Управления защиты персональных данных (UOOU), в т.ч. на английском языке – https://www.uoou.cz/
Министерство промышленности и торговли для удобство издало Руководство для подготовки малого и среднего бизнеса к GDPR (https://www.mpo.cz/cz/podnikani/ochrana-osobnich-udaju-gdpr/podpurna-opatreni-mpo/prirucka-pro-pripravu-malych-a-strednich-firem-na-gdpr–236691/)
На сайте Европейской Комиссии ЕС http://www.europa.eu/dataprotection
Найти соответствующее управление по защите персональных данных в странах ЕС: http://www.ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm
(с) Elmira Lyapina, LL.M., Ph.D.
Оговорка о характере информации, содержащейся в настоящей статье
Информация, предоставленная в настоящей статье, является лишь общей информацией, и не является юридической консультацией, и может оказаться неприменимой в конкретной ситуации. Для получения квалифицированной юридической помощи Вам следует обратиться к юристу с предоставлением необходимых документов по делу – juristpraha@gmail.com .
Статья подготовлена на основе анализа нормативных правовых актов по состоянию на 03 июля 2018 года, поэтому при использовании указанной информации необходимо учитывать те изменения, которые будут внесены в законодательство после этого. Впервые статья была опубликована 03.07.2018 на сайте www.juristpraha.cz/gdpr-business-ru