Услуги в сфере комплаенс

Быть ответственным за ведение бизнеса – задача не простая. На сегодняшний день, чтобы идти в ногу с постоянно меняющимися стандартами, компании и организации нуждаются в  эффективных решениях, которые предотвратят любые риски в их деятельности. Компалаенс, как явление, в Украине довольно новое и, к сожалению, не все собственники бизнеса уделяют ему должное внимание. Обычно, обращаются за […]

Семейная медиация как альтернатива суду

Решение семейно-правовых споров всегда сопровождается высокой степенью эмоционального переживания и довольно негативным отношением участников процесса друг к другу. Небезосновательные обиды и постоянные недоразумения только подстрекают участников к безапелляционному противостоянию и желанию мести за неоправданные надежды счастливой семейной жизни,  что значительно уменьшает любые шансы на самостоятельное мирное урегулирование конфликтных вопросов. Статья 55 Конституции Украины предоставляет каждому […]

Законопроект о риелторской деятельности – что не так?

Предложенный законопроект предусматривает введение специальных квалификационных требований к риелторам, разработку программ обучения и подготовки, создание структуры органов самоуправления риелторов и много другое. По моему мнению, эти нововведения преждевременные и безосновательные, а принятия законопроекта в текущем виде, как он есть, повлечет за собой кризис в сфере риелторских услуг. Значительная часть предложенных изменений не основывается на существующих […]

Банковский сейф – not safe

Хранение ценностей в депозитных ячейках в украинских банках занятие более рискованное чем принято полагать. Дело в том, что в случае пропажи имущества из депозитной ячейки добиться привлечения виновных к ответственности и возврата имущества либо получения компенсации крайне сложно. Тонкость заключается в том, что клиенты пользуются депозитными ячейками на условиях аренды. То есть, лицо право пользоваться […]

Риелторская монополия — чем это грозит украинцам?

Одной из основных задач нового законопроекта о риелторской деятельности является детенизация соответствующей сферы услуг. В связи с этим, законопроектом планируется ограничить свободное занятие риелторской деятельностью, организовать ведение перечня лиц, имеющих право ее осуществлять, а также организовать контроль за их деятельности. Примечательно, что расходы в связи с реализацией данных реформ ложатся на плечи риелторов, за их […]

Может ли врач отказаться от пациента с COVID-19

Нормы действующего законодательства предусматривают основания, при наличии которых врач имеет возможность отказаться от пациента. Так, статья 34 Закона Украины «Основы законодательства Украины об охране здоровья» предусматривает право врача отказаться от дальнейшего ведения пациента, если последний не выполняет медицинских предписаний или правил внутреннего распорядка учреждения охраны здоровья  и лишь при условии,что такой отказ не будет нести […]

Мошенничеству при трудоустройстве за границей — НЕТ

Народные депутаты в первом чтении приняли законопроект № 2365, призванный защитить права трудовых мигрантов и положить конец мошенничеству при трудоустройстве за границей. В случаи принятия предложенного депутатами законопроекта,  сфера посредничества при трудоустройстве за границей, вероятнее всего, подвергнется к кардинальным изменениям. Дело в том, что в проекте закона предусматривается освобождение от лицензирования данного вида хозяйственной деятельности […]

Покупка квартиры: что и как нужно проверять?

Перед тем как принять важное решение в своей жизни, мы всегда делаем, своего рода, домашнее задание, отвечая на вопросы, которые, по нашему мнению, определяют правильность выбора. Иногда нам свойственно принимать эмоциональные решения, не задумываюсь о последствиях, но все же в большинстве случаев, мы хотим найти логичное и обоснованное решение при решении вопроса. Покупка недвижимости не […]

Всеукраинский референдум: что для нас готовят?

Законодательное урегулирование процедуры всеукраинского референдума является, на мой взгляд, довольно интересной темой для обсуждения. С одной стороны, соответствующая нормативно-правовая база необходима, поскольку без нее норма статьи 156 Конституции Украины фактически является “мертвой” и не функционирует. Данное положение Конституции Украины гласит, что изменения в разделы І, ІІІ, ХІІI Конституции Украины могут быть внесены исключительно при условии […]

Як перевірити законність новобудови

Будь-якого інвестора завжди турбує питання законності будівництва і надійності забудовника, але не будь-який інвестор знає як правильно вивчити ці питання. Найкращим вирішенням цього завдання буде звернення до спеціаліста за проведенням Due Diligence об’єкту нерухомості, щоб максимально впевнитися у надійності інвестицій, або відмовитися від них. Due Diligence — це повна юридична експертиза об’єкту нерухомості: аналіз об’єкта нерухомості та […]

«Де-Юре» у фіналі Legal Awards 2020

5 червня Номінаційна комісія Юридичної премії 2020 року оголосила фіналістів конкурсу у 48 номінаціях. Цього року компанія «Де-Юре» виборола місце образу у двох новінаціях: регіональна юридична фірма року та юридична фірма року у сфері будівництва, опинившись поряд з такими великими міжнародними та українськими юридичними компаніями як Aequo, Baker McKenzie, DLA Piper, Arzinger, Totym. Урочиста церемонія […]

ИИ в суде: вопросы этики

Уже сегодня современные технологии и специальные алгоритмы активно применяются во многих значимых сферах деятельности. Вместе с этим, вопрос интеграции искусственного интеллекта в сферу правосудия длительное время остается без однозначного ответа со стороны мирового сообщества, что привело к формированию диаметрально противоположной практики: от активного использования при разрешении различных споров до его безапелляционного запрета. Возможно ли самостоятельное […]

Тестування на СOVID-19

13 травня на підпис Президенту було направлено Закон (проект № 3380), спрямований на підвищення спроможності системи охорони здоров’я України протидіяти поширенню COVID-19. Закон був прийнятий 7 травня і передбачає масове тестування на COVID-19. Згідно з прийнятими зміни тестування буде обов’язковим для: — осіб, які звертаються за медичною допомогою з ознаками коронавирусной хвороби (COVID-19); — осіб, […]

Межі конфіденційної інформації в медичній сфері

Положення Закону України «Основи законодавства України про охорону здоров’я» передбачають, що пацієнт має право на таємницю про стан свого здоров’я, факт звернення за медичною допомогою, діагноз, а також про відомості, одержані при його медичному обстеженні. Медичні працівники та інші особи, яким у зв’язку з виконанням професійних або службових обов’язків стало відомо про хворобу, медичне обстеження, […]

Особливості трудових відносин в медичній сфері

Пандемія коронавірусу COVID-19 знову привернула увагу суспільства і держави до медичної галузі, вдаривши по її слабких місцях. Найголовнішим елементом цієї сфери є медичний персонал. Робота медичних працівників у закладах охорони здоров’я регулюється, здебільшого, тими самими законодавчими актами, що і в інших галузях економіки. Однак через специфіку діяльності трудові відносини у медичній сфері мають низку особливостей, […]

Допомога по частковому безробіттю на період карантину

Постановою Кабінету Міністрів України «Про запобігання поширенню на території України гострої респіраторної хвороби COVID-19, спричиненої коронавірусом SARS-CoV-2» від 11 березня 2020 року № 211 із 12 березня 2020 року на всій території України було введено режим карантину. 18 квітня 2020 року набув чинності Закон України «Про внесення змін до Закону України «Про Державний бюджет України […]

05.07.2018

Имеет ли GDPR отношение к Вам? Основные правовые аспекты, которые необходимо знать

Уже больше месяца, как вступил в силу европейский регламент по защите персональных данных GDPR (General Data Protection Regulation).

Евросоюз перешел на новые правила обращения с персональными данными, а GDPR касается любой работы с персональными данными, в том числе сбора, хранения и передачи. Собирать и обрабатывать персональные данные с 25 мая можно только с согласия пользователя, при этом оно должно быть явным. Какие еще особенности предусматривает данный регламент разбирала старший юрист ЮКК «Де-Юре», адвокат Алена Берназ.

GDPR предусматривает:

  • упорядочивание работы с персональными данными пользователей ЕС;
  • механизм защиты;
  • взаимодействие между компанией, пользователем и регулирующими органами.

General Data Protection Regulation (GDPR) Concept Illustration -

В ст.2 ЗУ «О защите персональных данных» указано, что персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Однако GDPR рассматривает в качестве персональных — любые данные, прямо или косвенно позволяющие установить личность. То есть не только имя, фамилию, телефонный номер или e-mail, но и cookie-файлы и данные систем интернет-статистики или рекламы.

Важно отметить, что существуют некоторые типы данных, относящихся к категории особых или конфиденциальных персональных данных. Это информация, содержащая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические и биометрические данные, которые могут быть использованы для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или ориентации.

На кого распространяется

GDPR распространяется на любую компанию, предлагающую находящимся на территории ЕС пользователям товары или услуги или ведущую мониторинг их действий. Под последнее условие подпадают любые компании, имеющие сайт, посещаемый пользователями с территории ЕС.

И все-таки концентрация GDPR на крупнейших участниках рынка.

Если компания использует собственную систему веб-аналитики, стоит либо закрыть доступ для пользователей из европейских сетей, либо привести процесс работы с персональными данными в соответствие с новой нормой.

Согласие

GDPR требует, чтобы персональные данные обрабатывались на законных основаниях, — таким основанием может быть либо заключенный контракт, либо согласие субъекта на их обработку.

Это согласие должно быть дано явным образом, написано простым, понятным для пользователя языком, а также содержать четкое и подробное описание того, какие именно данные, с какой целью, каким образом и в течение какого времени собираются и обрабатываются.

С 25 мая каждый сайт на который может зайти пользователь из стран ЕС обязан получить согласие на обработку его персональных данных.

Наличие коммуникации

Одно из действительно новых требований — создание в каждой компании коммуникации (contact point) с субъектом персональных данных, который, в соответствии с главой 3 документа, должен иметь право:

  • отозвать данное ранее согласие на их обработку;
  • запросить и получить свои данные, имеющиеся у конкретной организации, собирающей данные в своих интересах;
  • получить информацию о целях и результатах их обработки;
  • удалить эти данные или внести в них изменения при обнаружении неточностей.

В случае, если обрабатываются так называемые «анонимизированные» данные, которые не позволяют напрямую идентифицировать человека при повторном обращении (например интернет-статистика), без этого можно обойтись. Но если обработка включает регистрацию пользователя, наличие такой точки коммуникации становится строго обязательным.

Ответственность

В случае несоблюдения требований GDPR существует риск штрафов за нарушение нормы в размере 20 млн. евро.  или 4% от годового оборота нарушителя для глобальных компаний. Зависит от того какая сумма будет больше.

Согласно условий существует два механизма выявить нарушение GDPR:

  1. Жалоба. Например, пользователь получает рассылку, на которую он не подписывался, и подает жалобу. Такая практика и сейчас достаточно сильно распространена среди европейских пользователей.
  2. Проверка, которая может пройти внезапно. Чтобы провести проверку, в некоторых случаях достаточно просто пройти путь пользователя по сайту, что легко можно сделать удаленно и без вашего участия.

Каждая компания по условиям GDPR теперь обязана назначить ответственное лицо за сбор и обработку персональных данных (DPO — data protection officer).

Компания также должна иметь офис или письменно назначенного представителя на территории ЕС, реквизиты которого указываются в согласии на обработку данных.

Именно на адрес этого представителя будут направляться документы как от субъектов данных (например письменный отзыв согласия), так и от регулятора — скажем, извещение о поступивших жалобах или грядущих проверках.

Важно: этот офис или адрес представителя обязательно должен получать данные извещения.

Международным компаниям имеет смысл выделить подразделение, занимающееся обработкой персональных данных, в отдельную компанию, чтобы затруднить применение штрафных санкций ко всему обороту.

Отчетность

Процесс обработки персональных данных должен фиксироваться – протоколы (ст. 30). Пока только в компаниях размером более 250 человек, и речь идет только об описании каждой группы используемых данных, целей их обработки и факта передачи третьим лицам.

Защита данных

GDPR вводит минимально обязательный перечень средств обеспечения безопасности персональных данных, среди которых — обязательное шифрование, а также средства обеспечения постоянной конфиденциальности и целостности данных.

То есть хранить в текстовом формате пароли после 25 мая еще можно, а вот имя и фамилию пользователя — уже нет.

В GDPR нет четких предписаний, какие security controls применять, но архитектура должна быть построена по принципу Data protection by design and by default (Art. 25 GDPR) Данный принцип включает сюда следующие технические требования:

  • Фаервол, VPN Access, двухфакторная аутентификация, strict authorization, шифрование бэкапов
  • Шифрование данных (HTTPS, IPSec, TLS, PPTP, SSH; whole disk, database encryption и т.д.)
  • Реализовать функциональность, позволяющую пользователю удалить, изменить или ограничить доступ к своим данным.

72 часа для уведомления об утечках

В случае обнаружения утечки персональных данных необходимо через офис или представителя в ЕС сообщить регулятору об этом, по какой причине, какие данные и в каком объеме утеряны и какие меры принимаются по смягчению возможных неблагоприятных последствий утечки.

Право выбора

По-настоящему ярким нововведением GDPR — является право пользователя на возражение против результатов автоматической обработки данных, создания профилей и принятия на их основании решений.

Дальнейшие действия

Полное соответствие GDPR потребует перестройки не только процессов, но и систем компании — внедрения систем защиты, контроля и протоколирования обработки персональных данных, что займет немало времени и потребует значительных инвестиций.

Начать можно с таких ключевых вещей:

  1. Подготовить ряд документов и политик (data protection policy, privacy notice, data retention policy), а на их основе — согласие. Все на английском языке.
  2. Выберите офис или представителя на территории ЕС и назначьте DPO.
  3. Установить систему защиты данных от утечек.
  4. Внести изменения во все контракты в соответствии с GDPR.
  5. Проверить всех контрагентов на соответствие GDPR.

 И на последок оставлю ссылку на краткую презентацию GDPR на англ.языке:

 https://ec.europa.eu/justice/smedataprotect/index_en.htm

 

 Старший юрист ЮКК «Де-Юре», адвокат Алена Берназ.

Автор: Допомога по частковому безробіттю на період карантину

Уважаемые читатели! Публикации на этом сайте носят информационный, справочный или рекомендательный характер, и отражают точку зрения и мнение авторов. Материал, содержащийся в статьях / комментариях / публикациях, является актуальным на момент создания и публикации, но мы не гарантируем, что правила, рекомендации, процедуры и законодательство, использованные и описанные в материале, актуальны на момент, когда вы ознакомились с ними. Авторы не несут ответственности за последствия применения содержания статей / комментариев / публикации без заключения договора об оказании услуг. Для получения консультации по вашему вопросу напишите нам на info@de-jure.ua, и с вами свяжется юрист.