В Эстонии вступает в силу GDPR: нас ждет целый ряд важных изменений (2)

Ведущий партнер адвокатского бюро Ellex Raidla и член совета Инспекции по защите данных Антс Нымпер пояснил, что GDPR (General Data Protection Regulation) касается всех людей, предприятий, учреждений и организаций, сталкивающихся с личными данными, поскольку содержит нормы прямого действия в отношении обработки таких данных в Европейском союзе. Наряду с внутригосударственными правоприменительными актами Эстонии он заменит нынешний Закон о защите личных данных. 

Законодательство Эстонии, впрочем, не полностью готово к внедрению GDPR: на сегодня некоторые законы еще не приведены в соответствие с основными принципами GDPR. «Хотя Рийгикогу, вероятно, примет новый соответствующий принципам GDPR Закон о защите личных данных 30 мая и в июне он вступит в силу, предприятия и организации страны должны соблюдать требования GDPR уже с 25 мая», - сказал Нымпер.

Рийгикогу также должен принять Закон о применении закона о защите личных данных, который внесет изменения еще примерно в сотню действующих в Эстонии правовых актов, затрагивающих тему защиты личных данных. Закон о применении закона о защите личных данных еще только разрабатывается и Рийгикогу, предположительно, примут его предстоящим летом. 

По словам Нымпера, аналогичная ситуация сложилась также в Латвии и Литве, где местные законы о защите личных данных находятся в разработке и, вероятно, будут приняты до Иванова дня. 

Адвокат пояснил, что в связи с GDPR следует помнить, что установленные постановлением правила являются не рекомендацией, а требованием, за нарушение которого на предприятие может быть наложен крупный денежный штраф. 

«Соблюдение GDPR обязательно для всех предприятий, которые каким-либо образом работают с личными данными, в т.ч. с личными данными своих работников. Причем недостаточно, если предприятие просто устанавливает формальные требования обработки личных данных – следует обеспечить активное соблюдение GDPR. Это значит, что предприятие должно обладать полным обзором того, что происходит в нем в связи с обработкой личных данных. К исполнению требований GDPR следует отнестись со всей серьезностью: потенциальный размер штрафа может достигать 20 миллионов евро или до 4% оборота допустившего нарушение предприятия, хотя назначение максимальных штрафов и маловероятно», - рассказал Нымпер.

Советник Ellex Raidla Энекен Тикк добавила, что в любом случае с пятницы предприятиям и учреждениям следует быть готовым к тому, чтобы по требованию людей выдавать им информацию о составе их обрабатываемых личных данных, целях обработки и об их точном содержании. Также можно предполагать, что будут осуществляться запросы в отношении политики конфиденциальности и условий использования сайтов, приведенных в соответствие GDPR.

«Хотя реагировать на такие запросы следует без необоснованных задержек, GDPR позволяет отвечать на запросы в течение месяца. За это время опоздавшие с внедрением GDPR учреждения могут пополнить необходимую документацию. GDPR требует, чтобы получившие запрос предприятия или организации помогали лицу в реализации его прав. Поэтому важно, чтобы обслуживающий клиентов персонал, пресс-секретари и руководители были готовы принимать ходатайства субъектов личных данных и предоставлять начальную информацию об обработке таких данных. Даже если полное решение в связи с GDPR еще находится в разработке, завтра, обязательно должны быть готовы основные вещи», - рассказала Тикк.

Для обычных людей вступление GDPR в силу означает, что предприятия Европейского союза больше не могут рассылать прямую рекламу и предложения по электронной почте и SMS тем, кто явным образом не предоставил на это согласие. Также юридическим и физическим лицам должна быть предоставлена возможность в любое время отказаться от получения материалов прямого маркетинга. Запрещены все потребительские игры, в ходе которых у участников спрашивают, например, контактные данные друзей. Обработка данных частных лиц допускается только, если предприятие в простой и понятной форме запрашивает на это разрешение. 

Крупные обрабатывающие личные данные предприятия и государственные учреждения должны к 25 мая 2018 года назначить специалистов по защите данных (на английском языке DPO, т.е. Data Protection Officer), задачей которых является обеспечение соблюдения требований GDPR. Специалистом по защите данных может быть собственный работник предприятия или внешний консультант.