С 25 мая 2018 года во всем Евросоюзе вступает в силу новое Общее положение о защите данных (General Data Protection Regulation - GDPR), основная цель которого – искоренить необоснованное использование и утечку персональных данных.
Положение относится к любому предприятию и определяет:
новые требования к работе предприятий с персональными данными физических лиц;
предприятия должны осознавать свои риски и доступный объем физических данных;
важно не только их правильно сохранять, но и определять, кому они доступны.
Положение Европарламента и Совета Европы Nr. 2016/679 “О защите данных физических лиц применительно к обработке персональных данных и их свободное движение, и что отменяет Директиву 95/46/EK (Общее положение о защите данных)”
Статья 5 часть 2:
e) данные физических лиц хранятся в таком виде, который допускает идентификацию субъектов данных не дольше, чем необходимо для целей обработки каких-либо необходимых персональных данных; хранить персональные данные можно дольшебез обработки, но только в целях архивирования и в интересах общества, в целях научных и исторических исследований или статистических целях согласно статье 89 пункт 1, с условием, что выполняются предписанные в положении соответствующие технические и организационные мероприятия, для того, чтобы защитить права и свободы субъекта данных («ограничения хранения»);
f) персональные данные обрабатываются таким образом, чтобы обеспечить соответствующую безопасность персональных данных, в том числе защиту от запрещенной или незаконной обработки и против случайной утери, уничтожения или порчи, используя соответствующие технические или организационные мероприятия («интегрирование и конфиденциальность»).
Закон о защите данных физических лиц (1)
Статья 7
Обработка персональных данных разрешается только тогда, если в законе не сказано иначе и если выполняется одно из этих условий:
15) обработка данных необходима для обеспечения соблюдения общественных интересов.
Статья 10
(1) Чтобы защитить интересы данных субъекта, заведующий обеспечивает:
1) добросовестную и законную обработку данных;
2) обработку персональных данных только согласно предназначенным целям и в необходимом для этого объеме;
3) такой вид сохранения данных, который позволяет идентифицировать субъект данных в относительный период времени, и который не превышает установленный период времени для предусмотренной цели обработки данных;
4) правильность персональных данных и их своевременное обновлнение, исправление или удаление, если данные неполные или неточные согласно цели обработки данных.
Закон о защите данных физических лиц (2)
Статья 27
(1) Физические лица, связанные с обработкой персональных данных, письменно обязуются хранить и незаконно не распространять персональные данные. Обязанностью этих лиц является также нераспространение персональных данных после окончания трудовых или прочих договорных отношений.
Законопроект “Закон об обработке персональных данных”
Статья 27
(1) Физические лица, связанные с обработкой персональных данных, письменно обязуются незаконно не распространять персональные данные. Обязанностью этих лиц является не распространять персональные данные даже после окончания трудовых или прочих договорных отношений.
Статья 37
Предприятия относительно прав субъекта данных :
(1) В нормативных актах можно определить предприятия относительно обязанностей и заданий заведующего или обрабатывающего данные, предусмотренные в статьях 12-22, 34, и 5 Положения о данных, поскольку эти правила относятся к правам и обязанностям, предусмотренным в статьях 12-22 Положения о данных, если с этими ограничениями сохраняется суть основных прав и свобод, чтобы выполнить задание в интересах общества.
(2) В рамках этой статьи под интересами общества подразумеваются следующие интересы:
3) предотвращение, расследование, раскрытие преступных деяний и административных правонарушений или привлечение к ответственности за них, или обеспечение выполнения наказания;
4) предотвращение легализации средств, полученных преступным путем и финансирования терроризма.
Закон о легализации добытых преступным путем средств и финансировании терроризма (1) (ЛСДППФТ)
Статья 11.1. Мероприятия по изучению клиента и факторы риска
(8) Субъект закона, применительно к мероприятиям по изучению клиента, получает и обрабатывает данные физических лиц согласно целям этого закона единственно в целях предотвращения легализации средств, полученных преступным путем и финансирования терроризма и не производят дальнейшую обработку в неотвечающим указанным целям виде. Обработка персональных данных в других целях, в том числе и коммерческих, запрещена.
Закон о легализации добытых преступным путем средств и финансировании терроризма (2)
Статья 28. Полученик необходимой информации для изучения клиента и его ответственность
(1) Для выполнения требований этого закона, субъект закона имеет право требовать от своих клиентов и клиенты обязаны предоставить необходимую и правдивую информацию и документы для изучения клиента, в том числе о добросовестных выгодополучателях, проведенным сделкам, хозяйственной и персональной деятельности истинных выгодополучателей, финансовом положении, денежных источниках или источниках других средств.
Закон о легализации добытых преступным путем средств и финансировании терроризма (3)
Статья 37. Хранение, обновление и уничтожение документов по изучению клиента
(2) Субъект закона в течение 5-ти лет после окончания деловых отношений или проведения сделок случайного характера хранит:
1) всю полученную информацию в рамках изучения клиентов, в том числе информацию о клиенте и его счетах, копии удостоверяющих личность документов, результаты изучения клиентов
(4) Субъет закона имеет право электронно обрабатывать идентификационные и полученные в результате изучения клиента данные клиента, его предствителей и истинных выгодополучателей.
Обработка физических данных
Начните с оценки своего предприятия. Проведите небольшой внутренний акудит, чтбы понять:
Как и какие данные физических лиц вы получаете и обрабатываете?
Какова цель обработки?
Какое законное основание обработки данных?
Оцените основание получения и обработки этих данных (Закон о ЛСДППФТ)
Создайте процедуру обработки и жизненный цикл данных. Наличие этой процедуры в организации поможет избежать момента неизвестности, когда станет актуальным вопрос о данных, сроках их хранения, уничтожения.
2018 год
Комментариев нет:
Отправить комментарий