GDPR. Персональные данные

 Уважаемые коллеги!

Прошу обратить Ваше внимание на Регламент (ЕС) 2016/679 Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46 / EC (Общие правила защиты данных)»

Он был принят 27 апреля 2016 года и вступил в силу 25 мая 2018 года.

Данный Регламент предусматривает правила по защите физических лиц в отношении обработки персональных данных и правила свободного обращения персональных данных; защищает основные права и свободы физических лиц и, в особенности, право на защиту персональных данных.

Так же он применяется к обработке персональных данных полностью или частично автоматизированными средствами и к обработке неавтоматизированными средствами, которые являются или предполагаются частью системы регистрации документов.

Согласно регламенту «персональные данные» – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Лицами, права и обязанности которых закреплены данным Регламентом являются:

«идентифицируемое физическое лицо» – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности

«контроллер» – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и способы такой обработки определены правовыми актами Союза или Государства-члена ЕС, то контроллер или частные критерии для его назначения критерии могут быть предусмотрены правовыми актами Союза или Государства-члена ЕС;

«процессор» — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени контроллера;

«получатель» – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которой раскрываются персональные данные, вне зависимости от того, является ли она третьим лицом или нет. Однако публичные учреждения, которые могут получать персональные данные в связи с конкретным расследованием, в соответствии с правовыми актами Союза или государства-члена ЕС, не считаются получателями; указанная обработка данных, проводимая публичными учреждениями соответствует применимым правилам защиты данных, согласно целям обработки;

«третья сторона» – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, не являющаяся субъектом данных, контроллером и лицами, которые при непосредственном подчинении контроллеру или процессору, уполномочены проводить обработку персональных данных;

Для осуществления норм данного акта каждое государство-член ЕС предусматривает то, что одно или несколько независимых публичных учреждений несут ответственность за мониторинг применения настоящего регламента для защиты основных прав и свобод физических лиц при обработке данных и для содействия свободному обороту персональных данных в Союзе («надзорное учреждение»).

Также данным регламентом учреждается Европейская Коллегия по защите данных («коллегия») в качестве структуры Союза и она является правовым субъектом.

Каждое надзорное учреждение обеспечивает, чтобы за нарушения настоящего регламента, применение предусмотренных административных штрафов в каждом отдельном случае было бы действенным, соразмерным и сдерживающим.

При принятии решения относительно наложения административного штрафа и о его размере, в каждом конкретном случае должным образом необходимо учитывать следующие элементы:

  • суть, тяжесть и продолжительность нарушения, принимая во внимание вид, объём и цель соответствующей обработки данных, а также количество затронутых субъектов данных и размер причинённого им ущерба;
  • то, было ли нарушение совершено преднамеренно или по неосторожности;
  • любое действие контроллера или процессора с целью уменьшения ущерба, причинённого субъектам данных;
  • уровень ответственности контроллера или процессора, учитывая технические и организационные меры;
  • любые соответствующие внутренние нарушения контроллера или процессора;
  • степень сотрудничества с надзорным учреждением по возмещению за нарушение и уменьшению возможных негативных последствий;
  • то, какую категорию персональных данных, затронуло нарушение;
  • способ, посредством которого надзорному учреждению стало известно о нарушении, в частности, уведомил ли контроллер или процессор о нарушении, и в таком случае, – в каком объёме;
  • в случае если меры касательно этого же самого предмета были ранее направлены в отношении контроллера или процессора, то упомянутые меры являются выполненными;
  • соблюдение утвержденного кодекса действий или утвержденному механизму сертификации;
  • любое другое усугубляющее или смягчающие обстоятельство, применимое к обстоятельствам в деле, например, прямое или косвенное получение финансовой выгоды или предотвращение убытков, возникших в результате нарушения.

Если контроллер или процессор умышленно или по невнимательности нарушают несколько положений настоящего регламента относительно того же самого или связанного действия по обработке, то размер общего административного штрафа не превышает размер, установленный для самого тяжкого нарушения.

GDPR предусматривает огромные штрафы за нарушение требований — до 20 миллионов евро или, в случае с предприятием, до 2% от его общего полученного годового оборота по всему миру за предыдущий финансовый год, в зависимости от того, размер какой суммы больше.

За такие нарушения, как:

  • неправильно полученное согласие на обработку персональных данных физического лица,
  • нарушение прав лиц, чьи персональные данные были обработаны,
  • сбор персональных данных в большем объеме, чем это было необходимо, и нарушение других существенных требований GDPR

За несоблюдение распоряжения надзорных учреждений предусмотрен административный штраф до 20 миллионов евро либо до 4% от общего годового мирового оборота за предыдущий финансовый год (в зависимости от того, какая сумма больше).

За менее существенные с точки зрения GDPR нарушения предусмотрен штраф в размере до 10 миллионов евро — или до 2% от общего годового мирового оборота компании за предыдущий финансовый год. Такими нарушениями являются:

—  использование ненадлежащего ПО для обработки персональных данных;

—  ненадлежащим образом оформленные отношения с обработчиком персональных данных (неграмотно составленный договор);

—  отсутствие учетных записей обработки персональных данных и др.

Статья подготовлена помощником адвоката Адвокатского бюро «Тарасюк, Игнатюк и партнёры» Шабловской Елизаветой и  управляющим партнёром Тарасюком Михаилом Михайловичем. 

 

Контакты
Контакты
Тел/факс: +375-162-585822
224005, Республика Беларусь
ул. К.Маркса, 33, 4 этаж г. Брест

224005 Republic of Belarus,
33, K.Marx str.,4th fl., Brest

Время работы: с 9.00 до 18.00 обед 13.00-14.00
Суббота, воскресенье – выходной. 
Электронная почта: TarasiukMM@yandex.by

Обратная связь
Карта
Футер ru
© 2020 | Все права защищены. Карта сайта
Разработка
продающего
сайта extrit.by