Мы оказываем услуги по регистрации оффшорных компаний, регистрации холдингов и дочерних компаний, регистрации представительств, торговых марок, инвестиционных фондов. Разрабатываем оффшорные схемы, помогаем открыть счет в иностранном банке.
+38 (044) 223-65-34
Оффшоры —
      решение для бизнеса
Консультация заказать

Обратная связь

Вы можете получить консультацию по интересующему Вас вопросу у менеджеров «BPT LEGAL ADVISERS», воспользовавшись формой для обратной связи

GDPR: ваша тайна за семью замками

Уже никого не удивишь тем фактом, что в век информационной революции наша личная информация, персональные данные приобрели новую ценность, превратились в источник дохода и существенный нематериальный актив.

Чтобы добраться к ценному ресурсу, информационная индустрия затягивает нас в соцсети, предлагает бонусы и скидки за регистрацию на сайтах, иногда без уведомления, получает доступ к контактам, истории посещения веб-страниц и более личных предпочтений. Все чаще появляются сообщения о взломе баз данных банков, телекомоператоров, сервисных компаний.

Однако защитить свои персональные данные оказывается не так-то уж и просто. Несмотря на наличие нескольких декларативных актов о праве граждан на персональную информацию, до сегодняшнего дня отсутствовал реальный механизм влияния на компании, к которым, так или иначе, попали ваши персональные данные.

В связи с этим, еще в 2016 году Европейский парламент принял новый Общий регламент по защите данных (General Data Protection Regulation, GDPR), который призван защитить права европейских граждан на безопасность персональных данных.

Примечательной особенностью этого Регламента является его экстерриториальность. То есть, чиновники из ЕС могут оштрафовать любую иностранную компанию, которая, по их мнению, не соблюдает права на безопасность персональных данных европейских граждан.

А штрафы предусмотрены немалые – от 10 млн. евро до 20 млн. евро (или от 2% до 4% глобального оборота).

Причем такой компанией (помимо европейских компаний) может оказаться любая иностранная организация, осуществляющая:

  • обработку персональных данных европейских граждан в связи с реализацией товаров или услуг;
  • мониторинг поведения европейских граждан.

То есть, под такое определение незамедлительно попадают финансовые и банковские учреждения, технологические, медиа- и телеком-компании, фармацевтические, медицинские, транспортные компании, социальные сети, туроператоры, интернет-магазины, а также любые организации, к которым так или иначе могут попасть персональные данные европейского гражданина.

Возможно, часть компаний посчитает себя вне группы риска, так как по роду деятельности предполагает получать только общую информацию об имени и местоположении пользователя.

Однако, все может оказаться не так безобидно. Регламент существенно расширяет определение персональных данных – теперь это любая информация, которая может прямо или косвенно идентифицировать пользователя (имя, фамилия, адрес и т. д.). Более того, GDPR предсумотрены более строгие требования к использованию и хранению особой категории персональных данных – sensitive personal data, куда входят биометрические данные, указание расовой, религиозной и этнической принадлежности, философские взгляды, членство в профсоюзных и иных некоммерческих ассоциациях, данные о здоровье и сексуальной ориентации.

Кроме того, Регламент значительно уточняет и расширяет права субъектов персональных данных.

  1. Пользователь должен предоставлять отдельное согласие на каждую отдельную цель обработки его данных. Общие (‘omnibus’) согласия считаются недействительными. При этом, пользователи всегда должны иметь возможность отозвать свое согласие. Особые требования предъявляются к получению согласия детей.
  2. Субъект персональных данных также имеет право на:
  • подтверждение факта обработки информации о себе;
  • получение копии такой информации;
  • получение дополнительной информации о целях обработки, категориях персональных данных, получателях, сроках и т.д.;
  • запрещение обработки персональных данных для конкретных целей;
  • полное удаление или временное ограничение использования своих персональных данных.
  1. Регламент также требует, чтобы в случае взлома или утечки базы персональных данных, организация незамедлительно уведомляла об этом регулятора, а также каждого, чьи персональные данные хранились в этой базе данных.

Что же, собственно, требуют европейские регуляторы от организаций, имевших неосторожность попасть под действие Регламента?

Помимо ряда внутренних политик и правил, организации должны, как минимум:

  • осуществлять оценку воздействия на личность высокорискованных методик по обработке персональных данных (Privacy Impact Assessments).
  • назначить Data Protection Officer – лицо ответственное за безопасность персональных данных
  • проверять субподрядчиков, участвующих в обработке персональных данных, а также вести учет всех действий по их обработке.

Более того, организация должна по запросу регулятора или любого индивидуума быть готовой предоставить убедительную информацию о том, что принятые меры безопасности являются достаточными для защиты персональных данных.

И последнее. Новый Регламент вступает в силу 25 мая 2018 года, назвать его декларативным и игнорировать его требования большинству компаний, попадающих в группу риска, вряд ли удастся.

Татьяна Кузьменко,

специально для BPT GROUP

Ближайший семинар на данную тематику

 

Новости

Контакты BPT LEGAL ADVISERS 
По вопросам консультации Украина, Киев:
+38 (044) 223 65 34
 
По вопросам сертификации (Маркировка СЕ):
+38(044) 492 69 90 +38(067) 829 01 49
 
Перевод документов:
+38 (067) 441 86 59
есть вопрос? свяжитесь с нами!