В Целях повышения удобства использования сайтом, мы используем файлы «cookies». Продолжая работу с сайтом, Вы принимаете Условия использования веб-сайта и даёте своё согласие на обработку персональных данных. Пожалуйста, ознакомьтесь с Политикой конфиденциальности , чтобы получить дополнительную информацию о файлах «cookies» и о том, как можно их удалить или заблокировать.
  • Регламент по защите данных GDPR: основные понятия и принципы применения
Cтатья:

Регламент по защите данных GDPR: основные понятия и принципы применения

22 июля 2021

Екатерина Костиневич , Партнер / Налоговое и правовое консультирование / Аутсорсинг бизнес-процессов, BDO в Беларуси |

GDPR — это общий регламент по защите персональных данных в Европейском Союзе, действующий с 25 мая 2018 года.

General Data Protection Regulation (GDPR) - общий регламент по защите данных, который обладает прямым действием на все страны Европейского союза. Данный регламент действует с 25 мая 2018 года и продолжает свое действие на текущий момент.

Основные понятия GDRP

Персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить.

Разновидность персональных данных определяется в зависимости от сложности получения, степени секретности и прав на использование третьими лицами. Персональные данные делятся на: биометрические персональные данные; генетические персональные данные; общедоступные персональные данные; специальные персональные данные.

GDPR предусматривает четкое и прозрачное разграничение каждого из субъектов персональных данных:

  • контролер (controller) - физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных;
  • обработчик (processor) - это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролера;
  • субъект данных (data subject) - физическое лицо, данные которого обрабатываются.

Территориальная сфера действия

Главная особенность данного регламента - экстерриториальный принцип действия по защите персональных данных, в частности обработки персональных данных, в связи с чем компании, зарегистрированные в Республике Беларусь и ведущие бизнес, ориентированный на европейский и международный рынки (в том числе обработка персональных данных физических лиц из ЕС), должны серьезно отнестись к данному регламенту и оптимизировать процесс работы в части обработки персональных данных на соответствие GDPR.

Контролем за соблюдением GDPR не предполагает обязательства принятия национальных законов и может обладать действием непосредственно на операторов напрямую.

Принципы обработки персональных данных по GDPR

GDPR устанавливает 6 основных принципов по обработке персональных данных:

  • законность, справедливость, прозрачность;
  • ограничение целью;
  • минимизация данных;
  • достоверность персональных данных;
  • ограничение срока хранения персональных данных;
  • целостность и конфиденциальность.

Как контролер (controller), так и обработчик (processor) обязаны обеспечивать соблюдение GDPR по всем основополагающим сферам/специфике ведения бизнеса: заключение соглашения между контролёром и обработчиком; разработка и внедрение локальных нормативных актов; криптографическая защита персональных данных; незамедлительное реагирование и восстановление доступа к персональным данным в случае утери или происшествия и т.д.

Ответственность при нарушении правил обработки персональных данных

Нарушение правил по обработке персональных данных влечет объявление выговора или наложение штрафов, которые обладают строгим и исключительным характером. Ответственность за нарушение GDPR могут достигать 20 000 000,00 евро или 4% годового глобального дохода компании (в зависимости от того, какая сумма окажется крупнее).

В дополнение за несоблюдение GDPR предусмотрены:

  • компенсация любого ущерба, который субъект данных может понести при обработке персональных данных с нарушением GDPR;
  • риск отказа от сотрудничества со стороны европейских/международных партнеров, что влечет за собой разрыв связей по ведению бизнеса.

Обратим внимание, что независимо от того является ваша компания оператором/контролером (controller) или уполномоченным лицом/обработчиком (processor), контролер (controller) должен оформлять партнерство в процессе ведения бизнеса исключительно с теми обработчиками (processor), которые соблюдают требования GDPR.

Мы предлагаем

Компания BDO в Беларуси предлагает оказать содействие вашему бизнесу в конкурентной среде бизнеса по рынку Европейского Союза и помочь:

  • повести анализ специфики ведения бизнеса вашей компании и определить, обязана ли ваша компания соблюдать требования GDPR и определить стратегию для внедрения GDPR;
  • оценить эффективность и безопасность внедренных в компании программных продуктов; процессов и информационных баз для соответствия GDPR;
  • подготовить локальные нормативные правовые акты, политики, процессы, регулирующие защиту персональных данных для целей адаптации команды под требования GDPR;
  • оказать услуги по внедрению политик по защите персональных данных в соответствии с требованиями GDPR;
  • оптимизировать бизнес-процессы компании в разрезе защиты персональных данных и обеспечения конфиденциальности, в том числе взаимодействие с европейскими/международными контрагентами, а также повышение осведомленности внутри компании по рынку как Республики Беларусь, так и международному рынку;
  • предоставить широкий перечень услуг и решений, связанных с защитой персональных данных по любому возникающему вопросу по процедурам обработки персональных данных.

 

Эксперты:

Екатерина Костиневич

Партнер / Налоговое и правовое консультирование, аутсорсинг бизнес-процессов

BDO в Беларуси

 

Ангелина Сацук

Юрисконсульт

BDO в Беларуси