Введение
Защита персональных данных является основополагающим правом, вытекающим из статьи 8 ЕКПЧ, которая является правом на уважение частной и семейной жизни. Как национальное, так и европейское право должно обеспечивать гарантии, чтобы предотвратить несоответствие статьи, а также гарантировать, что обработка и хранение персональных данных не является чрезмерной в отношении цели, которую они обрабатывают и сохраняют.
Действующее законодательство на Кипре
Действующим законодательством для обработки и защиты персональных данных на Кипре является Закон о персональных данных (защита личности) 2001 года («Закон»).
Закон основан на Европейской директиве 95/46 / EC Европейского парламента и Совета 24 октября 1995 года («Директива») и имеет двоякую цель;
- защита основных прав и частной жизни отдельных лиц и обеспечение свободного распространения персональных данных в государствах-участниках для достижения экономического и социального прогресса; а также
- техническое и научное сотрудничество в постоянно растущем информационном и телекоммуникационном обществе.
Новые правила
Быстрые технологические разработки и увеличение сбора и обмена персональными данными вызвали новые проблемы для защиты персональных данных. Технология позволила частным компаниям и государственным органам беспрепятственно использовать персональные данные. Кроме того, физические лица все чаще предоставляют личные данные как на публичной, так и на глобальном уровнях.
Хотя цели Директивы остаются в силе, она не смогла предотвратить юридическую неопределенность, и восприятие того, что существующий значительный риск для защиты физических лиц, по-прежнему сохраняется. Кроме того, различия в уровне защиты персональных данных и обработке персональных данных в государствах-участниках представляют собой препятствие для осуществления экономической деятельности в Европейском союзе.
Эти события сделали требование о создании более сильной и согласованной системы защиты данных в Европейском союзе более неизбежным.
Новые правила (ЕС) 2016/679 Европейского парламента и Совета 27 апреля 2016 года («Положение») обеспечивают правовую определенность и прозрачность для экономических операторов, то есть юридические предприятия и физические лица государств-участников, оснащены тем же уровнем прав и обязательств, которые подлежат исполнению, для обеспечения постоянного контроля обработки персональных данных.
Ключевые изменения, внесенные в Правила
- Увеличение территориальной сферы
Новое правило распространяется на все компании, которые обрабатывают персональные данные субъектов, проживающих на территории Европейского Союза. Новое правило будет применяться к обработке персональных данных контроллерами и процессорами в ЕС независимо от того, происходит ли обработка в ЕС или нет. Кроме того, предприятиям, не входящие в ЕС, но обрабатывающие данные граждан ЕС, также придется назначать представителя в ЕС.
- Штрафы
С новым регулированием существует более строгая политика в отношении штрафов:
— штраф в размере до €10.000.000 евро или 2% от общего мирового, годового оборота за предыдущий год, в зависимости от того, что выше, за нарушение обязательств, установленных для контролеров и обработчиков данных, включая условия, необходимые для получения согласия ребенка (статья 8), неспособность сохранить идентификацию персональных данных субъектов, при обработке данных (статья 11), отказ в применении защиты механизмов данных по дизайну и по умолчанию (статья 25), нарушение обязанностей сотрудника по защите данных (статья 39) и неспособность контролирующих органов контролировать соблюдение кодекса поведения (статья 41).
— штраф в размере до 20 000 000 евро или 4% от общего мирового, годового оборота за предыдущий финансовый год, в зависимости от того, что выше, будет наложено там, где есть нарушение основных условий обработки данных (статьи 5, 6 и 7), нарушение прав персональных данных субъектов (статьи 12-22), в случае нарушения требований, изложенных в Положении о передаче персональных данных получателю в третьей стране или международной организации (статья 44-49), или соблюдать указания контролирующего органа в соответствии со статьей 58.
- Согласие
Положение устанавливает новое определение «согласия субъекта данных»; как конкретное, свободно предоставленное, информированное и недвусмысленное указание на пожелания, которым он или она путем заявления или четким утвердительным действием, соглашается с обработкой персональных данных, относящихся к нему или ей.
Были усилены условия получения согласия от субъектов данных. Впредь просьба о согласии должна быть дана в письменной декларации в различной и легкодоступной форме четким и понятным языком. Субъекты данных должны быть проинформированы о цели обработки данных, а также проинформированы о своем праве отозвать данное согласие.
Расширение прав субъектов данных
В новом Положении были расширены права субъектов данных с наиболее важными примерами, изложенными ниже:
— Право доступа: субъект данных имеет возможность получить подтверждение диспетчерами данных, обрабатываются ли его персональные данные (статья 15);
— Право на исправление (статья 16);
— Право на стирание («право на забвение») (статья 17);
— Право на ограничение обработки в определенных случаях (статья 18);
— Право на переносимость данных: субъект данных имеет право на получение персональных данных о нем (статья 20);
— право на объект в любое время на обработку персональных данных, касающихся его или ее (статьи 21);
— Право на уведомление о потенциальном нарушении персональных данных контроллером данных (статья 34).
- Сотрудники по защите данных
Сотрудник по защите данных («DPO») является лицом, назначенным контроллером данных при определенных обстоятельствах: a) когда обработка данных выполняется государственным органом, b) когда обработка данных контроллера данных требует регулярного и систематического мониторинга субъектов данных в крупном масштабе или c) когда обрабатывающая деятельность контроллера состоит из обработки в больших масштабах специальных категорий данных (например, данные, раскрывающие расовое или этническое происхождение, политические мнения, религиозные убеждения и т. д.) и личные данные, касающиеся к уголовным обвинительным приговорам.
DPO может быть членом персонала контролера и назначается на основе профессиональных качеств (то есть экспертных знаний о законах и практике защиты данных) и может выполнять задачи, перечисленные ниже:
— информировать и консультировать контроллера данных, процессор и сотрудников, которые выполняют обработку данных, свои обязательства в соответствии с положениями о защите данных нового Положения и любым другим положением ЕС;
— контролировать соответствие контроллера или процессора политике Положения в отношении защиты персональных данных;
— осуществлять мониторинг и предоставлять рекомендации в отношении оценок воздействия защиты данных;
— сотрудничать с надзорным органом (на Кипре надзорным органом является Канцелярия Уполномоченного по защите персональных данных);
— действовать в качестве контактного пункта между надзорным органом, связанным с обработкой персональных данных;
- Специальные категории персональных данных
В соответствии со статьей 9 Положение предусматривает обработку специальных категорий для персональных данных. Данные категории персональных данных могут выявлять расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и обработку генетических данных (например, ДНК), биометрические данные (например, отпечатки пальцев), данные о здоровье или сексуальной жизни, или ориентации физического лица. В соответствии с Положением обработка вышеуказанного запрещена, если в статье 9 (2) не применяются следующие условия:
- a) Субъект данных дал явное согласие на обработку своих персональных данных для одной или нескольких указанных целей;
- b) когда обработка необходима для целей выполнения обязательств и осуществления конкретных прав контролера или данных субъекта в области занятости, социального обеспечения и законодательства о социальной защите;
- c) если обработка необходима для защиты интересов данных субъекта или другого физического лица, если субъект данных физически или юридически неспособен дать согласие;
- d) если обработка осуществляется в ходе законной деятельности и с надлежащими гарантиями со стороны ассоциации или некоммерческой организации с политической, философской, религиозной или профсоюзной целью и при условии, что личные данные не раскрываются вне этого органа без согласия субъектов данных;
- e) если обработка относится к персональным данным, которые публикуются субъектом данных;
- f) когда обработка необходима для установления или защиты юридических требований;
- g) когда обработка необходима по причинам, представляющим значительный, общественный интерес;
- h) когда обработка необходима для целей профилактической или профессиональной медицины, оценки работоспособности работника, медицинского диагноза и оказания медицинской или социальной помощи;
- i) когда обработка необходима по соображениям общественного интереса в области общественного здравоохранения, безопасности медицинского обслуживания и лекарственных средств;
- j) когда обработка необходима для целей архивирования в общественных интересах, научных или исторических исследованиях или статистических целях;
Что необходимо сделать
Постановление будет применяться с 24 мая 2018 года, поэтому к этой дате любой контролер, созданный в Республике Кипр, должен соответствующим образом соблюдать положения Регламента.
Канцелярия Комиссара по защите персональных данных на Кипре также будет способствовать принятию проекта закона об осуществлении Положения. Аналогичным образом, в сотрудничестве с Отделениями по защите данных в других государствах-участниках будут приняты руководящие принципы и кодексы практики, принятые и опубликованные в соответствии с положениями Регламента.
Канцелярия Комиссара по защите персональных данных на Кипре опубликовала подготовительный контрольный перечень, состоящий из 10 шагов для более плавного применения Положения:
1) Получать информацию о новых Положениях и выявлять любые аспекты новых Регулирований, которые могут повлиять на организацию;
2) Вести учет деятельности организации, которая попадает под действие положений нового Регламента (такие записи будут полезны как для внутренних целей, так и для целей прозрачности);
3) Осведомлять клиентов и партнеров организации либо в печатном виде, либо через веб-сайт о любых изменениях в политике организации;
4) Проверять, могут ли измененные права субъектов данных влиять на деятельность организации и включать новые стратегии, чтобы позволить использование таких прав (если применимо);
5)Обеспечить, чтобы правовая основа, на которой работает организация, соответствовала положениям нового Регламента;
6) Обеспечить, чтобы требование согласия субъектов данных соответствовало Положению и что данное согласие является «явным»;
7) Обеспечить, чтобы в случае нарушения персональных данных, были установлены надлежащие гарантии, соответствующие Положениям с целью информирования как Управления по защите Данных, так и субъекта данных;
8) Определить деятельность высокого риска, в случае крупных организаций и назначить DPO для оказания содействия в выполнения положений Регламента. В случае организации, использующей или разрабатывающей новые механизмы обработки данных, DPO должен обеспечить, чтобы данные механизмы применяли инструменты защиты данных намерено и по умолчанию;
9)В случае, когда организация базируется в более чем одном государстве-участнике, организация может назначить свое коммерческое предприятие и, в дополнение, следовать указаниям Управления по защите данных этого государства-участника. Для организаций с трансграничной деятельностью в Регламенте предусмотрен механизм согласованности, позволяющий сотрудничать с различными органами власти.
10) Новый Регламент вводит новые обязательства для организаций, которым необходимо следовать, таких как регистрация обработки данных, проведение оценки воздействия ситуаций высокого риска, применение кодексов поведения, сертификация процессов данных и использование ООП. Важно отметить, что каждая организация должна определить, под какой из указанных обязательств подлежит объект.