Персональные данные по европейским правилам

В прошлом году серьезное увеличение штрафов за нарушения в сфере персональных данных в РФ озаботило многих работодателей. Ситуацию осложнил еще один документ, вступивший в силу 25 мая 2018 года. Его появление прошло незамеченным для большинства организаций – это европейский документ, но его действие распространяется и на Россию. А штрафы за неисполнение могут достигать 20 миллионов евро или 4% годового глобального дохода компании.

В переводе на русский язык короткое название этого документа звучит как «Общие правила защиты данных» (General Data Protection Regulation, далее — GDPR). Полный текст на английском можно найти по ссылке https://publications.europa.eu/en/publication-detail/-/publication/3e485e15-11bd-11e6-ba9a-01aa75ed71a1/language-en

Этот документ направлен на защиту персональных данных (personal data) граждан ЕС и тех, кто имеет статус резидента ЕС. Т.е., он привязан не к территории какого-либо государства, а к самим данным, вне зависимости от того, где они находятся. Любая компания, которая обрабатывает персональные данные европейцев – как клиентов или как работников – обязана соблюдать эти правила.

Надо признать, что во многом европейский документ и российский Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (далее – 152-ФЗ) похожи. Например, есть деление персональных данных на непосредственно личные данные, которые позволяют однозначно идентифицировать человека, и специальные данные, на охрану которых направлено более пристальное внимание.

В первой группе привычный нам список – имя, идентификационный номер, данные о местонахождении, а также «любые физические, психологические, психические, культурные или социальные идентификаторы, которые определяют человека» (п. 1 ст. 4 GDPR).

В отдельную группу GDPR выделил генетические, биометрические данные и данные о здоровье, а также информацию о поле, расе, политических убеждениях, членстве в профсоюзах, сексуальной ориентации. Выделение специальных категорий персональных данных, сходных с европейской классификацией, можно найти в ст. 10 152-ФЗ. Возможности запроса и обработки таких данных ограничены.

Но в документах есть и отличия. Так в российском законе в качестве лица, обрабатывающего персональные данные, назван оператор, который и определяет политику обработки, и ведет саму обработку. GDPR делит функцию обработки на две части, и появляются отдельные понятия.

В пункте 7 ст. 4 GDPR говорится об управляющем, контроллере (controller) ,том лице – физическом или юридическом – которое определяет правила обработки персональных данных для конкретного случая. Это может быть руководитель организации, принявший Политику работы с персональными данными.

В следующем п. 8 ст. 4 GDPR речь идет об обработчике, процессоре (processor), который непосредственно занимается работой с персональными данными. Т.е., это рядовой сотрудник, который в своей работе руководствуется установленными свыше требованиями.

Получается, по российскому законодательству всю полноту ответственности несет оператор, без возможности разделить эту ответственность с непосредственным исполнителем. А по европейскому документу такое разделение возможно.

В целом, граждане ЕС по новому регламенту имеют такие же права, как и закрепленные за российскими гражданами. Они могут выяснять цели и место обработки своих персональных данных. Могут поинтересоваться источником персональных данных, полученных у третьих лиц, и внести в такие данные коррективы. У них есть право знать, какие именно данные обрабатываются, кому и с какой целью могут быть переданы, какой установлен срок обработки. Могут они и отозвать согласие на обработку своих персональных данных.

Да, такой документ как согласие на обработку предусмотрен и в GDPR. Но гораздо подробнее, чем российский закон, европейский регламент подошел к вопросу получения такого согласия дистанционно – например, при оформлении заказа в интернет-магазине. Теперь мало будет просто предоставить возможность покупателю поставить галочку напротив фразы «с обработкой данных согласен».

В пункте 11 ст. 4 GDPR понятие согласия (consent) дано очень четко – это должно быть «свободно выраженное, конкретное, информированное и однозначное желание субъекта данных, выраженное в виде заявления или ясного утвердительного действия, обозначающего согласие».

Подводя итог, можно сказать, что пугаться нового европейского регламента не стоит. Если у вас есть работники – граждане ЕС, то вам надо будет дать им на ознакомление Положение о персональных данных, видимо, переведенное на английский язык. И попросить их подписать подробное согласие на обработку их данных – как и российских граждан.

В остальном – нужно просто очень точно соблюдать все правила работы с персональными данными в РФ, которые не сильно отличаются от европейских.

Комментарии запрещены.

Перейти к началу страницы