Общий регламент o защите данных (от англ. General data protection regulation - GDPR) действует на Кипре не так давно - с момента принятия местного Закона о персональных данных Data Law 125(I) от 31 июля 2018, но он успел уже породить много дискуссий и слухов. Есть прецеденты достаточно жестких санкций при его применении.
GDPR устанавливает свод правил, нацеленных на поддержание высокого уровня защиты личных данных физических лиц и направлен на противодействие их неправомерному использованию. Правила GDPR действуют на территории Европейской Экономической Зоны (ЕЭЗ), к ней относятся все страны ЕС, Исландия, Лихтенштейн и Норвегия. Государства, не входящие в состав ЕЭЗ, трактуются положениями регламента как третьи страны.
Относительно применения GDPR в предпринимательстве при работе третьими странами действует экстерриториальный принцип - установлена ответственность, распространяющаяся на любую компанию, которая обрабатывает персональные данные лиц ЕС, вне зависимости от своего места регистрации и нахождения. На компании возложены строгие ограничения по передаче личных данных за пределы ЕЭЗ. Особенно важен момент, который бизнес должен принять во внимание - передача личных данных в третьи страны может привести к нарушению GDPR, даже если этот процесс производится между предприятиями, принадлежащими одной группе компаний. Такая передача данных может иметь место только при полном соблюдении ответственным лицом требований GDPR, касающихся передачи личных данных в третьи страны.
В Республике Кипр принят ряд законодательных актов, направленных на дальнейшее регулирование условий и механизмов передачи персональных данных в третьи страны. В этот процесс вовлечен государственный регулятор – Управление Комиссара по защите персональных данных на Кипре (Office of the Commissioner of Personal Data Protection in Cyprus (далее по тексту - CPDP).
Санкции
Передача персональных данных в третьи страны без соответствующего решения Комиссии и без принятия мер по обеспечению безопасности данных может привести к штрафам до 20 млн евро или 4% совокупного годового оборота за предыдущий финансовый год (в зависимости от того, что больше).
Помимо административных взысканий, в качестве санкций в некоторых случаях законодательством Кипра предусмотрена уголовная ответственность за передачу персональных данных в нарушение установленных ограничений.
Санкции за совершение такого уголовного преступления предусматривают наказание в виде лишения свободы на срок до 3 лет и/или штраф до 30000 евро. При распространении персональных данных, повлекшем угрозу национальной безопасности, предусмотрено наказание до 5 лет заключения и/или штраф до 50000 евро, в зависимости от серьезности преступления.
Условия и требования по защите данных
Европейская комиссия определила перечень стран третьего мира, гарантирующих надлежащий уровень защиты персональных данных – передача данных в эти страны не требуют отдельного разрешения. Таковыми признаны: Андорра, Аргентина, Канада, Фарерские острова, Гернси, Израиль, Остров Мэн, Япония, Джерси, Новая Зеландия, Швейцария, Уругвай и Соединенные Штаты Америки.
При отсутствии специального разрешения на соответствие требованиям по защите, передача персональных данных в другие страны может происходить путем соблюдения одной из соответствующих гарантий, обозначенных в GDPR:
• Обязательные корпоративные правила Binding Corporate Rules (BCRs) - обычно принимаются в пределах структуры группы компаний, чтобы гарантировать, что передача персональных данных (ПД) проводится в пределах данной группы и способом, охраняющим права по GDPR.
• Стандартные договорные условия, принятые Европейской комиссией (Standard contractual clauses - SCCs), гарантирующие соответствующий уровень защиты. Могут быть приняты регулятором CPDP Кипра.
• Соответствие кодексу поведения - должен быть одобрен CPDP.
• Сертификация – механизм сертификации должен быть одобрен CPDP.
Специальные категории личных данных могут быть переданы третьим странам на основе соответствующих гарантий или BCRs, при условии, что контролер (компания, определяющая цели и средства обработки данных и собирающая их) или вовлеченный процессор (компания, обрабатывающая данные от имени контролера) соответственно уведомили регулятор - CPDP до начала такой передачи.
В отсутствие решения о соответствии или имеющихся гарантий, передача специальных категорий данных требует предварительной оценки и консультации с CPDP.
Такая процедура должна включать:
- систематическое описание предусматриваемых операций по обработке ПД и ее цели;
- оценку необходимости операций по обработке ПД с учетом целей;
- оценку рисков для прав и свобод субъектов данных;
- меры безопасности и механизмы, обеспечивающие защиту ПД и соответствие их GDPR, принятие во внимание прав и законных интересов субъектов данных и других лиц, которые их коснулись.
Как видим, соблюдение требований законодательства по GDPR оказалось намного более сложным, чем первоначально ожидалось. Кроме того, это непрерывный процесс, требующий от компаний постоянно идентифицировать свои действия на предмет гарантии соблюдения закона и непопадания под ответственность и большие штрафы в случае нарушений.
Все же последствия несоблюдения очень реальны, однако есть некоторые меры, которые компании могут принять, чтобы гарантировать соответствие положениям GDPR:
- Проведение регулярных аудитов и оценок степени риска. В этом помогут ответы на вопросы: какие данные собираются и почему; как они обработаны; сколько времени и где хранятся, куда передаются; действительно ли все данные необходимы; как определить круг лиц, которые имеют доступ к данным. Чтобы предотвратить нарушения сохранности данных, компании должны минимизировать доступ к уязвимой информации (персональным данным клиентов, доступ к которым имеют сразу несколько сотрудников) и сократить количество мест, где данные физически хранятся. Проведение регулярных аудитов обеспечивает сохранность ПД клиентов и снижает любые риски.
- Обучение сотрудников. Последние должны посещать регулярные информационные тренинги по осведомленности о политике компании, инструкциях и законных требованиях к безопасности персональных данных клиентов.
- Создание плана на случай инцидента. По GDPR все организации должны сообщать о любой утечке или нарушении в работе с ПД соответствующему наблюдательному органу в течение 72 часов после обнаружения. Чтобы эффективно выполнить этот запрос, у компаний должен быть план, позволяющий им отреагировать на любой инцидент быстрым и скоординированным способом.
- Защита всех точек доступа. Организовать обеспечение безопасности всех систем хранения и обработки персональных данных от несанкционированного доступа.
Екатерина ТЕРЗИ