Правовое регулирование

25 мая 2018 г. вступит в силу новый Регламент Европейского парламента и Совета (EU) 2016/679 о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных, отменяющий Директиву 95/46/ЕС (далее – Регламент). Регламент устанавливает, что персональными данными считается любая информацию о физическом лице, чья личность установлена или может быть установлена («субъект данных»), например, имя, фамилия, адрес, адрес эл. почты, номер телефона, место пребывания, IP адрес, фотографии, информация кредитных карт и проч. 

Регламент о защите данных реформирует правила защиты персональных данных, а также ужесточает обязанности обработчика и контролера данных.

 Основные нововведения Регламента:

 - Новые права субъекта данных (например, право на забвение, право на портативность данных);

- Более строгие требования к согласиям субъектов данных на обработку данных (согласие не должно быть двусмысленным, предусмотрена обязанность доказать, что субъект понял и согласился с обработкой данных и др.);

- Новые требования к обработке данных о детях;

- Предусмотрена обязанность известить субъекта данных о нарушениях в защите данных (утечке данных);

- Установлена обязанность в некоторых случаях на назначить инспектора по защите данных;

- Новое требование четко информировать субъекта данных о том, в каких целях данные будут использоваться;

- Регламент предусматривает, что ответственность за обработку персональных данных будут поделена между обработчиком и контролером персональных данных;

- Установлен механизм «единого окна» (органы по защите данных имеют право действовать как ведущий орган, когда контролер или обработчик данных осуществляет трансграничную обработку данных);

- Предусмотрено более тесное сотрудничество национальных органов по защите данных;

- Новые требования обработчику данных (до начала обработки данных необходимо провести оценку влияния операций по обработке данных на защиту персональных данных);

- Предусмотрено представление интересов субъектов данных (субъект данных вправе уполномочить некоммерческое учреждение, организацию, ассоциацию действовать от его имени в вопросах защиты персональных данных);

- Расширена территория применения Регламента (Регламент применяется даже в тех случаях, когда компания имеет лишь представительство в ЕС, а головной офис учрежден за пределами ЕС).

Новые правила Регламента будут применяться напрямую во всех странах ЕС, а за нарушение требований Регламента будут грозить штрафы до 20 миллионов евро или 4 процентов годового мирового оборота компании (в зависимости от того, какая сумма больше). Поэтому компаниям, использующим в своей деятельности данные, с помощью которых можно идентифицировать человека, до весны 2018 г. следует должным образом подготовиться к вступлению Регламента в силу. 

Регламент на английском языке можно найти здесь. 

Вернуться к списку новостей