25 мая в ЕС вступает в силу Регула о защите персональных данных
- 25 мая 2018
В современном мире, который непрерывно развивается под влиянием новых технологий и средств коммуникации, всё большее значение приобретает сохранность персональных данных.
Каждому человеку необходима гарантия того, что его личная информация не будет передана третьим лицам. Именно с этой целью была разработана Общая регула защиты данных (далее – Регула), которая призвана ввести единые требования обработки данных для стран ЕС. Регула вступает в силу уже 25 мая 2018 года, поэтому важно заранее подготовиться к готовящимся изменениям.
На данный момент, обработку персональных данных на территории Латвии регулирует Закон защиты персональных данных физических лиц, который утратит силу, как только будет принят новый нормативный акт. Сейм уже концептуально одобрил проект нового Закона обработки персональных данных, призванного обеспечить соблюдение Регулы на национальном уровне, однако дата вступления в силу пока неизвестна. Законопроекту ещё предстоит пройти рассмотрение в парламентской комиссии и на заседании Сейма, а это значит, что в период юридической неопределённости необходимо руководствоваться именно Регулой.
Следует отметить, что общие правила и принципы защиты персональных данных останутся неизменными. Вместе с этим, будут существенно расширены механизмы защиты персональных данных и возможности субъекта контролировать их передачу. Согласно Регуле, лицо, отвечающее за обработку персональных данных субъекта, должно предоставить последнему:
• Метод обработки персональных данных.
• Цель обработки персональных данных.
• Законное основание для обработки персональных данных.
• Легитимные интересы, для обеспечения которых необходима обработка персональных данных.
• Данные специалиста по обработке персональных данных.
• Получатели персональных данных.
• Информация о передаче персональных данных в третьи страны, если таковая предвидится.
В момент получения информации от субъекта, лицо, заведующее обработкой данных, должно предоставить следующую информацию:
• Длительность хранения данных.
• Права субъекта получить к ним доступ.
• Права отзыва согласия на обработку данных.
• Права подать жалобу ответственному учреждению.
• Обязанность предоставить персональные данные и последствия в случае отказа.
Регула также устанавливает порядок обеспечения специалиста по обработке данных со стороны лица, отвечающего за обработку персональных данных. Случаи, когда требуется обеспечить специалиста, уже оговорены в латвийском Законе защиты персональных данных физических лиц, и новые правила вносят лишь небольшие коррективы для установления общего порядка в странах ЕС. Регула предусматривает, что специалист обязательно должен быть в случае, если:
• Обработку данных осуществляет публичное учреждение или структура (за исключением судов).
• Необходимо регулярное и систематическое наблюдение за субъектами в широком объёме.
• Обрабатываются данные, связанные с судимостью и нарушениями.
• Обеспечение специалиста предусмотрено законом.
Важным моментом в новых требованиях является оценка влияния. Лицу, отвечающему за обработку данных, необходимо будет оценить, насколько выбранный метод обработки повлияет на сохранность персональных данных субъекта. После вступления Регулы в законную силу, Государственная инспекция данных разработает и опубликует список методов обработки, в отношении которых необходимо будет осуществить оценку влияния на защиту данных. Оценка обязательна в случаях, когда ведётся оценивание и профилирование субъекта, обрабатываются чувствительные данные, используются инновационные или новые технологии, а также в ряду других случаев. Оценка влияния на сохранность персональных данных субъекта проводится лицом, отвечающим за обработку персональных данных, и состоит из следующих пунктов:
• Системное описание обработки персональных данных (описан характер, масштаб и цели обработки, указаны получатели и срок хранения информации, виды аппаратуры и программ и т.п.).
• Оценка необходимости и пропорциональности (подтверждена законность и легитимность сбора информации, субъект информирован о его правах и обязанностях).
• Управление возможными рисками для субъекта (приняты во внимание источники риска, организованы меры предосторожности, идентифицировано возможное влияние на права и свободы субъекта в случае незаконного доступа, нежелательных изменений или потери данных).
• Участие вовлечённых лиц (получена консультация специалиста по обработке информации, выяснено мнение субъекта или его представителя).
Оценка не требуется, если обработка зарегистрирована до 25 мая 2018 года (исключая случаи, когда меняются условия обработки), субъект не подвергается высокому риску, метод обработки данных входит в составленный ответственным учреждением список методов, которым не нужна обработка, или же в случае, если метод обработки данных схож с методом, в отношении которого уже была проведена оценка.
Источник: Юридическое бюро INLAT PLUS International, Рига
www.baltic-course.com/