Тестування на СOVID-19

13 травня на підпис Президенту було направлено Закон (проект № 3380), спрямований на підвищення спроможності системи охорони здоров’я України протидіяти поширенню COVID-19. Закон був прийнятий 7 травня і передбачає масове тестування на COVID-19. Згідно з прийнятими зміни тестування буде обов’язковим для: — осіб, які звертаються за медичною допомогою з ознаками коронавирусной хвороби (COVID-19); — осіб, […]

Межі конфіденційної інформації в медичній сфері

Положення Закону України «Основи законодавства України про охорону здоров’я» передбачають, що пацієнт має право на таємницю про стан свого здоров’я, факт звернення за медичною допомогою, діагноз, а також про відомості, одержані при його медичному обстеженні. Медичні працівники та інші особи, яким у зв’язку з виконанням професійних або службових обов’язків стало відомо про хворобу, медичне обстеження, […]

Особливості трудових відносин в медичній сфері

Пандемія коронавірусу COVID-19 знову привернула увагу суспільства і держави до медичної галузі, вдаривши по її слабких місцях. Найголовнішим елементом цієї сфери є медичний персонал. Робота медичних працівників у закладах охорони здоров’я регулюється, здебільшого, тими самими законодавчими актами, що і в інших галузях економіки. Однак через специфіку діяльності трудові відносини у медичній сфері мають низку особливостей, […]

Допомога по частковому безробіттю на період карантину

Постановою Кабінету Міністрів України «Про запобігання поширенню на території України гострої респіраторної хвороби COVID-19, спричиненої коронавірусом SARS-CoV-2» від 11 березня 2020 року № 211 із 12 березня 2020 року на всій території України було введено режим карантину. 18 квітня 2020 року набув чинності Закон України «Про внесення змін до Закону України «Про Державний бюджет України […]

Громадянин адвокат: чи можна просити держоргани роз’яснити законодавство?

Звернення юридичної фірми за офіційним тлумаченням норм права є цілком прийнятним явищем. Не всі положення закону сформульовані чітко та прозоро, а тому дізнатись «позицію» контролюючого органу видається розумним та обачним. При цьому, офіційне тлумачення завжди має певну юридичну вагу, а тому його зміст зазвичай враховується і відіграє значну роль при обранні стратегії захисту клієнта. Адвокатські […]

Авiaція: криза внаслідок світової пандемії та наслідки заборони на перельоти

Спалах коронавірусної інфекції COVID-19 охопив майже весь цивілізований світ, а отже, роботу авіаперевізників здебільшого припинено (за винятком гуманітарних рейсів і рейсів, що здійснюють евакуацію). Незалежно від розміру авіакомпанії (6 літаків у складі флоту або 270), ця галузь належить до великого бізнесу, тому збитки обчислюють мільйонами й мільярдами, а питання про банкрутство може виникнути вже через […]

Медична практика під час карантину

Напевно, не існує жодної сфери діяльності, якої не торкнувся карантин. Хотілося б детальніше розглянути реалії існування медичної практики, яка сьогодні знаходиться в унікальному становищі — з одного боку, як і будь-який бізнес, потерпає від карантину, а з іншого  — саме вона на «передовій» боротьби з коронавірусною хворобою. Постанова Кабінету Міністрів України № 211 від 11 […]

Налоги в карантин — надо платить

Верховная Рада приняла в целом законопроект №3275 «О внесении изменений в некоторые законодательные акты, направленные на обеспечение дополнительных социальных и экономических гарантий в связи с распространением коронавирусной болезни COVID-2019». В пояснительной записке говорится, что из-за пандемии стремительно падает деловая и экономическая активность, документ ставит целью уменьшить это негативное влияние. Первое, на что авторы законопроекта постарались […]

Частная медицина и НСЗУ

5 февраля 2020 года было принято Постановление Кабинета Министров Украины № 65 «Некоторые вопросы реализации программы государственных гарантий медицинского обслуживания населения в 2020 году», и стало понятно, что реформа специализированной и высокоспециализированной медицинской помощи все-таки стартует 1 апреля. Несмотря на то, что утвержденный порядок реализации программы медицинских гарантий (ПМГ) вызывает ряд вопросов, а порой и […]

Двойное «но»

Работа на карантине

Юридическая консалтинговая компания «ДЕ-ЮРЕ» системно работает со многими отечественными и зарубежными средствами массовой информации, предоставляя профессиональные мнения и комментарии по различным актуальным вопросам правовой жизни нашего государства. В последнее время основные вопросы от специалистов в сфере права и обывателей связаны с особенностями правового урегулирования различных сфер общественной жизни в период карантина, объявленного Кабинетом Министров Украины […]

Оподаткування при операціях з оренди нерухомості

Оренда нерухомого майна – один із найпоширеніших видів правочинів. Окрім того, що майже кожний бізнес не може обійтися без оренди приміщень, сам вид такої діяльності є дуже поширеним самостійним бізнесом. Інвестування у нерухоме майно з метою передачі його в оренду є досить привабливим, оскільки забезпечує захист інвестицій і при цьому надає дохід, який у певній […]

Трансплантологія: останні зміни та перспективи для приватної медицини

Однією з найбільш обговорюваних у медичній спільноті тем наразі є нова система фінансування медичної допомоги на різних рівнях. Не оминули зміни навіть таку складну та специфічну сферу як трансплантологія. Наприкінці 2019 року було прийнято низку змін до законодавства, що регулює трансплантацію анатомічних матеріалів людині, зокрема й таких, які відкривають можливості для застосування цього методу у […]

Аренда в карантин. Как бизнесу договорится об отсрочке платежей

Эпидемия COVID-19 стала настоящим испытанием для малого и среднего бизнеса. Вследствие строгого карантина многие собственники кафе, ресторанов, кинотеатров, салонов красоты и других остаются без работы и клиентов, теряют прибыль, возможность оплачивать зарплаты сотрудникам, услуги поставщикам, кредиты банкам, а главное — аренду помещений, которая является львиной долей всех затрат. С целью поддержать малый и средний бизнес […]

Круглый стол: Актуальные вопросы медицинского права

13 марта в 16:30 на базе Medical Hub Odrex состоится круглый стол «Актуальные вопросы медицинского права», организатором которого выступает Одесское отделение Ассоциации юристов Украины при поддержке Юридическо-консалтинговой компании «Де-юре». Специалисты в медицинском праве подготовили интересные доклады, которые являются актуальными как для практикующих юристов, так и для врачей и представителей медицинского бизнеса. Участие в мероприятии бесплатное […]

VIII форум ААУ «Адвокатура. Формула успеха»

Форум объединяет тех, кто является успешным игроком на рынке юридических услуг и желает закрепить свои позиции, и новичков, стремящихся узнать все тонкости, чтобы избежать ошибок на старте. Вопросы к обсуждению: Тенденции юридических практик Перспективы бутиковых компаний Коллаборации и cross selling для клиента Значение репутации адвоката и компании Стратегию работы в регионах и с клиентами-иностранцами WOM-маркетинг […]

05.07.2018

Имеет ли GDPR отношение к Вам? Основные правовые аспекты, которые необходимо знать

Уже больше месяца, как вступил в силу европейский регламент по защите персональных данных GDPR (General Data Protection Regulation).

Евросоюз перешел на новые правила обращения с персональными данными, а GDPR касается любой работы с персональными данными, в том числе сбора, хранения и передачи. Собирать и обрабатывать персональные данные с 25 мая можно только с согласия пользователя, при этом оно должно быть явным. Какие еще особенности предусматривает данный регламент разбирала старший юрист ЮКК «Де-Юре», адвокат Алена Берназ.

GDPR предусматривает:

  • упорядочивание работы с персональными данными пользователей ЕС;
  • механизм защиты;
  • взаимодействие между компанией, пользователем и регулирующими органами.

General Data Protection Regulation (GDPR) Concept Illustration -

В ст.2 ЗУ «О защите персональных данных» указано, что персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Однако GDPR рассматривает в качестве персональных — любые данные, прямо или косвенно позволяющие установить личность. То есть не только имя, фамилию, телефонный номер или e-mail, но и cookie-файлы и данные систем интернет-статистики или рекламы.

Важно отметить, что существуют некоторые типы данных, относящихся к категории особых или конфиденциальных персональных данных. Это информация, содержащая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические и биометрические данные, которые могут быть использованы для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или ориентации.

На кого распространяется

GDPR распространяется на любую компанию, предлагающую находящимся на территории ЕС пользователям товары или услуги или ведущую мониторинг их действий. Под последнее условие подпадают любые компании, имеющие сайт, посещаемый пользователями с территории ЕС.

И все-таки концентрация GDPR на крупнейших участниках рынка.

Если компания использует собственную систему веб-аналитики, стоит либо закрыть доступ для пользователей из европейских сетей, либо привести процесс работы с персональными данными в соответствие с новой нормой.

Согласие

GDPR требует, чтобы персональные данные обрабатывались на законных основаниях, — таким основанием может быть либо заключенный контракт, либо согласие субъекта на их обработку.

Это согласие должно быть дано явным образом, написано простым, понятным для пользователя языком, а также содержать четкое и подробное описание того, какие именно данные, с какой целью, каким образом и в течение какого времени собираются и обрабатываются.

С 25 мая каждый сайт на который может зайти пользователь из стран ЕС обязан получить согласие на обработку его персональных данных.

Наличие коммуникации

Одно из действительно новых требований — создание в каждой компании коммуникации (contact point) с субъектом персональных данных, который, в соответствии с главой 3 документа, должен иметь право:

  • отозвать данное ранее согласие на их обработку;
  • запросить и получить свои данные, имеющиеся у конкретной организации, собирающей данные в своих интересах;
  • получить информацию о целях и результатах их обработки;
  • удалить эти данные или внести в них изменения при обнаружении неточностей.

В случае, если обрабатываются так называемые «анонимизированные» данные, которые не позволяют напрямую идентифицировать человека при повторном обращении (например интернет-статистика), без этого можно обойтись. Но если обработка включает регистрацию пользователя, наличие такой точки коммуникации становится строго обязательным.

Ответственность

В случае несоблюдения требований GDPR существует риск штрафов за нарушение нормы в размере 20 млн. евро.  или 4% от годового оборота нарушителя для глобальных компаний. Зависит от того какая сумма будет больше.

Согласно условий существует два механизма выявить нарушение GDPR:

  1. Жалоба. Например, пользователь получает рассылку, на которую он не подписывался, и подает жалобу. Такая практика и сейчас достаточно сильно распространена среди европейских пользователей.
  2. Проверка, которая может пройти внезапно. Чтобы провести проверку, в некоторых случаях достаточно просто пройти путь пользователя по сайту, что легко можно сделать удаленно и без вашего участия.

Каждая компания по условиям GDPR теперь обязана назначить ответственное лицо за сбор и обработку персональных данных (DPO — data protection officer).

Компания также должна иметь офис или письменно назначенного представителя на территории ЕС, реквизиты которого указываются в согласии на обработку данных.

Именно на адрес этого представителя будут направляться документы как от субъектов данных (например письменный отзыв согласия), так и от регулятора — скажем, извещение о поступивших жалобах или грядущих проверках.

Важно: этот офис или адрес представителя обязательно должен получать данные извещения.

Международным компаниям имеет смысл выделить подразделение, занимающееся обработкой персональных данных, в отдельную компанию, чтобы затруднить применение штрафных санкций ко всему обороту.

Отчетность

Процесс обработки персональных данных должен фиксироваться – протоколы (ст. 30). Пока только в компаниях размером более 250 человек, и речь идет только об описании каждой группы используемых данных, целей их обработки и факта передачи третьим лицам.

Защита данных

GDPR вводит минимально обязательный перечень средств обеспечения безопасности персональных данных, среди которых — обязательное шифрование, а также средства обеспечения постоянной конфиденциальности и целостности данных.

То есть хранить в текстовом формате пароли после 25 мая еще можно, а вот имя и фамилию пользователя — уже нет.

В GDPR нет четких предписаний, какие security controls применять, но архитектура должна быть построена по принципу Data protection by design and by default (Art. 25 GDPR) Данный принцип включает сюда следующие технические требования:

  • Фаервол, VPN Access, двухфакторная аутентификация, strict authorization, шифрование бэкапов
  • Шифрование данных (HTTPS, IPSec, TLS, PPTP, SSH; whole disk, database encryption и т.д.)
  • Реализовать функциональность, позволяющую пользователю удалить, изменить или ограничить доступ к своим данным.

72 часа для уведомления об утечках

В случае обнаружения утечки персональных данных необходимо через офис или представителя в ЕС сообщить регулятору об этом, по какой причине, какие данные и в каком объеме утеряны и какие меры принимаются по смягчению возможных неблагоприятных последствий утечки.

Право выбора

По-настоящему ярким нововведением GDPR — является право пользователя на возражение против результатов автоматической обработки данных, создания профилей и принятия на их основании решений.

Дальнейшие действия

Полное соответствие GDPR потребует перестройки не только процессов, но и систем компании — внедрения систем защиты, контроля и протоколирования обработки персональных данных, что займет немало времени и потребует значительных инвестиций.

Начать можно с таких ключевых вещей:

  1. Подготовить ряд документов и политик (data protection policy, privacy notice, data retention policy), а на их основе — согласие. Все на английском языке.
  2. Выберите офис или представителя на территории ЕС и назначьте DPO.
  3. Установить систему защиты данных от утечек.
  4. Внести изменения во все контракты в соответствии с GDPR.
  5. Проверить всех контрагентов на соответствие GDPR.

 И на последок оставлю ссылку на краткую презентацию GDPR на англ.языке:

 https://ec.europa.eu/justice/smedataprotect/index_en.htm

 

 Старший юрист ЮКК «Де-Юре», адвокат Алена Берназ.

Автор: VIII форум ААУ «Адвокатура. Формула успеха»

Уважаемые читатели! Публикации на этом сайте носят информационный, справочный или рекомендательный характер, и отражают точку зрения и мнение авторов. Материал, содержащийся в статьях / комментариях / публикациях, является актуальным на момент создания и публикации, но мы не гарантируем, что правила, рекомендации, процедуры и законодательство, использованные и описанные в материале, актуальны на момент, когда вы ознакомились с ними. Авторы не несут ответственности за последствия применения содержания статей / комментариев / публикации без заключения договора об оказании услуг. Для получения консультации по вашему вопросу напишите нам на info@de-jure.ua, и с вами свяжется юрист.