Защита персональных данных

Glossary category

Защита персональных данных

Что такое защита персональных данных?

Защита персональных данных — это правовая и организационная система, которая обеспечивает сбор, использование, хранение, передачу и удаление персональных данных законным, безопасным и прозрачным образом. В Европейском союзе основной правовой базой является Регламент (ЕС) 2016/679, известный как Общий регламент по защите данных (GDPR). Согласно пункту 1 статьи 4 GDPR, персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Поэтому защита персональных данных охватывает сведения, которые прямо или косвенно могут указывать на конкретного человека, например имя, идентификационный номер, данные о местоположении, онлайн-идентификатор либо признаки, связанные с физической, экономической или социальной идентичностью.

На практике защита персональных данных не ограничивается политикой конфиденциальности или внутренними документами. Она охватывает весь жизненный цикл персональных данных внутри организации. Это включает определение правового основания для обработки данных, установление цели и объема их использования, внедрение мер безопасности, управление доступом, ответы на запросы субъектов данных, хранение данных только в течение необходимого срока и уведомление о нарушениях безопасности персональных данных, когда это требуется. В статье 5 GDPR закреплены ключевые принципы, включая законность, добросовестность, прозрачность, ограничение цели, минимизацию данных, точность, ограничение срока хранения, целостность и конфиденциальность, а также подотчетность.

Защита данных также требует от компаний и учреждений не только заявлять о соблюдении требований, но и уметь его подтвердить. В зависимости от вида обработки это может включать реестры операций обработки, договоры об обработке данных, механизмы трансграничной передачи данных, оценку воздействия на защиту данных и процедуры реагирования на инциденты. В отдельных случаях организации обязаны назначить специалиста по защите данных. Конкретный объем обязанностей зависит от характера, масштаба, контекста и целей обработки, категорий задействованных данных, а также рисков для прав и свобод физических лиц.

Что включает защита персональных данных?

Защита персональных данных применяется во многих операционных сферах. Она актуальна везде, где осуществляется обработка персональных данных: в трудовых отношениях, маркетинге, клиентском сервисе, IT-системах, продажах, комплаенсе, процедурах сообщения о нарушениях или при сотрудничестве с внешними поставщиками услуг. Для работодателей это включает данные кандидатов, личные дела сотрудников, практики мониторинга и HR-системы. Для коммерческих организаций речь часто идет о клиентских базах данных, рассылке новостей, CRM-платформах, cookies, обработке жалоб, программах лояльности и аутсорсинговых моделях.

Защита данных играет важную роль и в деятельности с повышенным уровнем риска. Сюда может относиться обработка специальных категорий данных, масштабный мониторинг, профилирование, проверка благонадежности, использование инструментов искусственного интеллекта, трансграничная передача данных или внедрение новых технологий, влияющих на права физических лиц. В таких ситуациях компании может потребоваться провести оценку воздействия на защиту данных в соответствии со статьей 35 GDPR, проконсультироваться с профильными юристами и проверить, является ли запланированная модель обработки пропорциональной и надлежащим образом документированной.

Один из ключевых элементов защиты персональных данных — правильное распределение ответственности. Закон различает контролера, который определяет цели и средства обработки, и обработчика, который обрабатывает данные от имени контролера. Это разграничение имеет практические последствия для договоров, подотчетности, стандартов безопасности и ответственности. Споры или нарушения требований часто возникают из-за неверного определения ролей, отсутствия необходимых договорных положений, неясных инструкций или недостатка внутреннего управления процессами обработки данных.

Когда стоит обратиться за юридической поддержкой по защите персональных данных?

Юридическая поддержка полезна как при запуске нового процесса, так и при проверке уже существующих операций. Частным лицам может понадобиться консультация, если их персональные данные были незаконно раскрыты, использованы без действительного правового основания, хранились слишком долго или обрабатывались способом, нарушающим их права. Компаниям помощь может потребоваться при подготовке документации по конфиденциальности, оценке маркетинговых практик, согласовании договоров об обработке данных, работе с данными сотрудников, подготовке уведомлений о нарушениях безопасности или ответах на запросы о доступе, удалении либо ограничении обработки.

Поддержка особенно важна, если компания работает с несколькими поставщиками, использует облачную инфраструктуру, ведет международную деятельность или обрабатывает большие объемы данных клиентов либо сотрудников. Также рекомендуется получить юридическую консультацию до внедрения инструментов видеонаблюдения и мониторинга, каналов для сообщений о нарушениях, аналитических решений или систем на основе искусственного интеллекта. В таких случаях правовой вопрос редко сводится к одному пункту договора или одной форме согласия. Обычно он касается всей архитектуры соблюдения требований, безопасности и подотчетности.

Своевременная консультация помогает выявить ошибочные предположения на раннем этапе. Это может снизить риск административных штрафов, гражданско-правовых исков, договорных споров, вмешательства регулятора или репутационного ущерба. Согласно статье 83 GDPR, административные штрафы могут достигать 20 миллионов евро или 4% от общего мирового годового оборота за предыдущий финансовый год — в зависимости от того, какая сумма больше, и с учетом характера нарушения. Кроме того, в соответствии со статьей 82 GDPR лицо, которому причинен материальный или нематериальный ущерб вследствие нарушения, имеет право на компенсацию. Поэтому ранняя юридическая проверка может предотвратить как нарушения требований GDPR, так и измеримые финансовые потери.

В некоторых областях правовое толкование продолжает развиваться. Это видно, например, в вопросах использования законных интересов, действительности согласия в трудовых отношениях, квалификации отдельных онлайн-идентификаторов как персональных данных или законного оформления международной передачи данных после значимых судебных решений, таких как Schrems II. Поскольку рекомендации регуляторов, судебная практика и подходы надзорных органов меняются со временем, защита персональных данных должна рассматриваться как постоянная юридическая функция, а не как разовая формальность.

Поддержка юридической фирмы в сфере защиты персональных данных может включать, в частности:

  • аудит соблюдения требований GDPR и практик обработки персональных данных,
  • подготовку и проверку уведомлений о конфиденциальности, внутренних политик и правил хранения данных,
  • разработку и согласование договоров об обработке данных и соглашений об обмене данными,
  • консультации по данным сотрудников, процессам подбора персонала и мониторингу на рабочем месте,
  • поддержку при нарушениях безопасности персональных данных и взаимодействии с надзорным органом,
  • обработку запросов субъектов данных и споров, связанных с персональными данными,
  • помощь в проведении оценки воздействия на защиту данных и анализа рисков,
  • консультации по трансграничной передаче данных и сотрудничеству с внешними поставщиками.

Нужна юридическая поддержка по защите персональных данных? Свяжитесь с нами.

Смотрите также

  • Права потребителей
  • Трудовой договор
  • Финансовая отчетность
  • Коммерческое право