GDPR и Федеральный закон №152: опыт практиков

25 октября в уютном офисе компании Rambler&Co прошло замечательное мероприятие о практике применения европейского регламента GDPR (General Data Protection Regulation) и Федерального закона «О персональных данных».

 

GDPR  в Европе — это очень серьёзно. После вступления в силу данного документа инвестиции в европейские стартапы уменьшились вдвое. Инвесторы опасаются проблем, связанных со штрафными санкциями за нарушение правил обработки персональных данных.

Если, например, американская компания приобретает компанию в Европе, due diligence перед сделкой должен быть очень тщательным. В противном случае можно приобрести большую проблему, а не актив.

Чтобы понять, распространяются ли GDPR на ту или иную компанию, нужно для себя ответить на следующие вопросы:

  • есть ли у компании филиалы или представительства на территории Европейского Союза;

  • обрабатывает ли компания персональные данные граждан-участниц ЕС по поручению европейского оператора;

  • руководствуется ли компания при осуществлении деятельности законодательством ЕС или стран-участниц ЕС;

  • осуществляет ли компания отдельные виды обработки персональных данных граждан ЕС, в частности хранение и накопление с использованием технических мощностей, находящихся на территории ЕС.

Если получился хотя бы один положительный ответ, скорее всего компания должна руководствоваться GDPR.

Примечательно, что российское законодательство о персональных данных имеет тенденцию к сближению с европейскими правилами GDPR.

Само по себе принятие Федерального закона «О персональных данных» было связано с ратификацией Россией Конвенции о защите частных лиц при автоматической обработке персональных данных №108.

10 октября 2019г. постоянный представитель России при Совете Европы подписал Протокол СДСЕ №223 о внесении изменений в данную Конвенцию. В ближайшее время в российское законодательство будут внесены новые нормы, которые сильно изменят действующие правила.

Говоря о проверках Роскомнадзора, которые он достаточно активно проводит , нужно обратить внимание в первую очередь на то, что именно проверяется:

  • сама деятельность оператора по обработке персональных данных (включая меры, принимаемые оператором во исполнение требований);

  • документы и локальные акты оператора, принятые оператором меры;

  • информационные системы с персональными данными.

Наиболее типичные нарушения, которые выявляются Роскомнадзором:

  • избыточность запрашиваемых и обрабатываемых персональных данных применительно к целям обработки;

  • отсутствие в договорах с организациями существенных условий обеспечения конфиденциальности безопасности персональных данных при их обработке;

  • отсутствие согласий субъектов на передачу их персональных данных для обработки;

  • продвижение товаров и услуг лицам, с которыми нет договорных отношений и которые не давали на это согласия;

  • неисполнение оператором требований по прекращению и уничтожению персональных данных в случае отзыва субъектом согласия на обработку своих персональных данных.

В заключение прозвучал очень интересных доклад представителя Сбербанка о том, как формулировать условия об обработке персональных данных на сайте и в локальных документах. Всё должно быть просто и понятно. В противном случае есть вероятность применения штрафных санкций от регулятора. В ЕС это уже распространённая практика, а штрафы за отсутствие ясности и прозрачности измеряются в десятках миллионов долларов.

Огромное спасибо сообществу Legal Crew за организацию мероприятия. Так держать, ребята!

Читайте также:

Напишите нам и наши специалисты обязательно с Вами свяжутся!

Контактные данные
не будут переданы третьим лицам

Спасибо за заявку! Мы обязательно с Вами свяжемся.
Спасибо за вопрос! Мы свяжемся с вами в ближайшее время.

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять