Обработка персональных данных (Общий регламент по защите персональных данных)

Что такое Общий регламент по защите персональных данных?

Общий регламент по защите персональных данных представляет собой новый закон о конфиденциальности и о защите данных в рамках Европейского союза. Он предполагает более детализированную защиту конфиденциальной информации в системах организаций, более конкретизированные соглашения о защите данных и более ориентированную на клиента и подробную информацию о порядке использования личной информации и защите данных организации.

Общий регламент по защите персональных данных заменяет действующую законодательную базу ЕС о защите данных от 1995 года (более известную под названием «Директива о защите данных»). Директива о защите данных требовала переноса во внутригосударственное право государств-членов ЕС, что привело к разобщенному закону ЕС о защите данных. Общий регламент по защите персональных данных являет собой Регламент ЕС, который имеет непосредственное правовое действие во всех государствах-членах ЕС, т. е. нет необходимости в переносе во внутригосударственное право государств-членов ЕС для получения обязательной силы. Это повысит согласованность и гармоничное применение закона в ЕС.

Когда вступают в силу новые требования?

Общий регламент по защите персональных данных уже вступил в силу 25 мая 2018 года. Как международная команда мы должны соблюдать Общий регламент по защите персональных данных, а также региональное законодательство:

  • В Великобритании правительство создало новый Закон «О защите информации» (2018 г.), который заменяет Закон «О защите информации» от 1998 года. Новый Закон «О защите информации» Великобритании был принят буквально перед вступлением в силу Общего регламента по защите персональных данных, просуществовав несколько месяцев в формате проекта и получив одобрение Палаты общин и Палаты лордов.
  • В Латвии Закон «О защите персональных данных» (или скопируйте/вставьте ссылку в строку поиска браузера https://likumi.lv/ta/en/en/id/4042 ) применяется в той мере, в которой он не противоречит Общему регламенту по защите персональных данных.

Кто обязан соблюдать Регламент?

Данный Регламент применяется к обработке персональных данных полностью или частично автоматизированными средствами и к обработке другими средствами, помимо автоматизированных средств персональных данных, которые являются частью регистрационной системы или предназначены для формирования части регистрационной системы. Как правило, требования Общего регламента ЕС по защите персональных данных распространяются на все компании, учреждения и организации, которые обрабатывают персональные данные.

Обработка персональных данных – это общая концепция в рамках Общего регламента по защите персональных данных

Общий регламент по защите персональных данных регулирует то, как организации могут обрабатывать персональные данные физических лиц ЕС. Термины «персональные данные» и «обработка» часто используются в законодательстве, и понимание их конкретных значений в рамках Общего регламента по защите персональных данных отражает истинную сферу действия данного закона:

Персональные данные – это любая информация, относящаяся к идентифицированному или идентифицируемому лицу. Это довольно общая концепция, поскольку она включает в себя любую информацию, которая может быть использована сама по себе или в сочетании с другими сведениями для установления личности человека. Персональные данные – это не просто имя человека или адрес электронной почты. К ним также относится такая информация, как сведения о финансовом положении или даже в некоторых случаях IP-адрес. Более того, определенным категориям персональных данных присвоен более высокий уровень защиты данных из-за их деликатного характера. К этим категориям данных относится информация о расовом и этническом происхождении лица, политических взглядах, религиозных и философских убеждениях, членстве в профсоюзах, генетические данные, биометрические данные, данные о состоянии здоровья, информация о сексуальной жизни или сексуальной ориентации человека, а также сведения о судимости.

Обработка персональных данных – это ключевая деятельность, которая является основанием для возникновения обязательства в рамках Общего регламента по защите персональных данных. Обработка означает любую операцию или набор операций, которые выполняются с персональными данными или с наборами персональных данных, будь то автоматическими средствами, такими как сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультирование, использование, раскрытие посредством передачи, распространения или иного предоставления в распоряжение, группировка или сочетание, ограничение, стирание или уничтожение. В практическом смысле это означает, что любой процесс, который хранит или обращается к персональным данным, считается обработкой.

Как Bilderlings обрабатывает персональные данные?

Bilderlings обрабатывает данные только для конкретных целей, и данные не сохраняются дольше, чем это необходимо. Bilderlings сохраняет данные, необходимые для предоставления услуг, выбранных клиентом, и Bilderlings может предоставить их клиенту.

Bilderlings обрабатывает персональные данные в одном или нескольких случаях, приведенных ниже:

  • для подписания и исполнения соглашения;
  • когда этого требует закон;
  • для достижения законных интересов;
  • получено согласие от клиента.

Общий регламент по защите персональных данных может применяться к организациям, расположенным за пределами ЕС

В отличие от Директивы о защите данных, Общий регламент по защите персональных данных распространяется на любую компанию, работающую в любой точке мира, а не только на те, которые расположены в ЕС. В соответствии с Общим регламентом по защите персональных данных организации подпадают под его действие, если (i) организация создана в ЕС или (ii) организация не создана в ЕС, но деятельность по обработке данных относится к физическим лицам ЕС и относится к предложению товаров и услуг для них или мониторингу их поведенческой активности.

Наша политика обработки данных

В Политике обработки персональных данных представлена информация об обработке и защите персональных данных клиентов, сотрудников Bilderlings и других лиц. В дополнение к Политике более подробная информация об обработке персональных данных может быть включена в ваше соглашение об обслуживании, другие документы, связанные с услугами, а также размещена на веб-сайте.

Кто имеет доступ к этим данным?

Bilderlings может обмениваться данными о клиентах только в следующих случаях:

  • Если данные запрашиваются государственным/контролирующим органом;
  • Если они необходимы для предоставления соответствующей услуги уполномоченными получателями данных -

Bilderlings уполномочивает получателей данных, т. е. компании, которые обрабатывают данные от имени и по поручению Bilderlings. Bilderlings принимает необходимые меры для обеспечения того, чтобы уполномоченные получатели данных выполняли обработку данных клиентов в соответствии с указаниями, полученными от Bilderlings, соблюдали требования безопасности и конфиденциальности, а также действовали в соответствии с требованиями законодательства.

Перечень уполномоченных получателей данных:

  • Для обеспечения оплаты картой – SIA Worldline Latvia (Рег. № 40003072814, ул. Дзирнаву, 37, Рига, LV-1010)
  • Для обеспечения оплаты картой (в качестве покупателя) – BlueOrangeBank, AS (Рег. № 40003551060, ул. Смилшу, 37, Рига, LV-1050)
  • Для обработки клиентских данных MSO365 – Squalio LLC JSC (Рег. № 40003351675, ул. Кришьяня Валдемара, 21-19, Рига, LV-1010)
  • Для хранения клиентских данных и использования электронной почты G Suite – Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland, VAT number: IE 6388047V
  • Для уведомления клиентов и маркетинговой рассылки, используя услуги SMS – Sales.lv (Reg. Nr. 40103240056, Dzirnavu street 37-62, LV-1010, Rīga)
  • Для управления ресурсами клиентов – SalesForce.com INC. (Рег. № The Landmark @ One Market street, Сан-Франциско, Калифорния 94105, США)
  • Для подготовки предложений о страховании - AAS "ERGO" (Рег. № 40003131253, ул. Сканстес, 50, Рига, LV-1013)
  • Для обеспечения платёжных услуг – SIA DEAC (Рег. № 40103255973, ул. Маскавас, 459, Рига, LV-1063)

Несоблюдение Регламента

Наиболее упоминаемым следствием несоблюдения Общего регламента по защите персональных данных является максимальный размер штрафа, который может взиматься с организации, не соблюдающей Регламент. Максимальный размер взимаемого штрафа составляет 4% от общего дохода или 20 миллионов евро, в зависимости от того, что больше. Максимальный размер штрафа за некоторые другие виды нарушений составляет 2% от общего дохода или 10 миллионов евро, в зависимости от того, что больше.

Реже упоминаются полномочия органов по надзору за соблюдением законодательства о защите персональных данных в соответствии со Статьей 58 Общего регламента по защите персональных данных. Эти полномочия включают в себя способность органов по надзору за соблюдением законодательства о защите персональных данных применять меры по устранению нарушений, такие как временное или окончательное ограничение деятельности по обработке данных, включая полный запрет на обработку данных, или давать распоряжение о приостановке передачи данных получателю в третьей стране.

Если у Вас есть какие-либо вопросы по поводу обработки данных в Bilderlings, отправьте нам письмо по электронной почте: dpo@bilderlings.eu