Особенности GDPR комплаенса на Кипре

В 2018 году Европейская комиссия приняла Общий регламент по защите данных (GDPR), который заменил Директиву о конфиденциальности и электронных коммуникациях 2002 года. GDPR имеет прямое применение во всех государствах-членах ЕС. Однако он дает возможность адаптировать свои правила и к реалиям каждой страны.

Итак, каковы основные нововведения Закона, предусматривающего защиту физических лиц в отношении обработки персональных данных и свободного перемещения таких данных (Закон 125 (I) 2018 г.) («Закон о защите данных»), принятого на Кипре после введения GDPR?

Несовершеннолетние

GDPR определяет возраст несовершеннолетних в диапазоне от 13 до 16 лет. Это означает, что контролер, который собирает и обрабатывает персональные данные детей младше этого возраста, должен запрашивать явное согласие их родителей. На Кипре возраст явного согласия, полученного от родителей, относится к обработке персональных данных детей младше 14 лет.

Чувствительные данные

GDPR устанавливает, что чувствительные данные (данные о здоровье, биометрические, генетические, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, или членство в профсоюзах) могут обрабатываться только с согласия субъекта данных. На Кипре в любом случае запрещено обрабатывать биометрические и генетические данные для целей медицинского страхования или страхования жизни. Даже если вы получили согласие, это не будет рассматриваться как законное основание. Таким образом, важно помнить, что генетические и биометрические данные киприотов не должны приниматься во внимание при принятии решения о том, какой тип страхования оформить.

Ограничение прав

GDPR позволяет контролерам данных в некоторых конкретных случаях ограничивать права субъектов данных. В большей мере это касается национальной безопасности, судопроизводства и предотвращения нарушений прав и свобод граждан. Закон о защите данных устанавливает, что единственные права, которые могут быть ограничены, определены в статьях 12 (информирование субъекта данных о способах осуществления его / ее прав), 18 (право ограничивать обработку субъектом данных), 19 (уведомление субъектов данных об исправлении или удалении его / ее личных данных) и 20 GDPR (право субъекта данных на получение и передачу его / ее личных данных третьим лицам) на основаниях, указанных в статье 23 GDPR.

Становится очевидным, что бизнес не может использовать эту возможность для обеспечения собственных коммерческих целей.

Исключение из обязательства уведомлять субъекта данных об утечке персональной информации

Как и в случае с ограничениями прав, исключение из обязательства уведомлять об утечке персональных данных может быть предоставлено только в соответствии со статьей 23 GDPR. То есть, контролер может не уведомлять об утечке данных в тех же случаях, когда ему разрешено ограничивать права субъекта данных, а именно если обработка была необходима для обеспечения национальной безопасности, судебного разбирательства. Однако это решение об ограничении в обязательном порядке должно быть предварительно согласовано с Органом по защите персональных данных (DPA). Помимо этого, необходимо провести Оценку воздействия на защиту персональных данных (DPIA).

Таким образом, как вы видите, ограничение прав и возможность не уведомлять об утечке данных может иметь место только в исключительных случаях, которые могут принести пользу обществу в целом, и при наличии предварительного разрешения Органов по защите персональных данных.

Полномочия Органа по защите персональных данных

В статье 58 GDPR полномочия органа определенны достаточно обширно без уточнения детальных условий. Таким образом, Закон о защите данных предоставляет дополнительные полномочия в конкретных ситуациях Комиссару по защите персональных данных.

Комиссар имеет право входить без предварительного уведомления контролера, процессора или их представителя в любой офис, служебное помещение или транспортное средство, за исключением жилых помещений. Так, например, если у Комиссара есть законные основания для входа в помещение, он / она может уведомить компанию о своем прибытии в течение 10 минут до приезда.

Более того, Комиссар уполномочен иметь доступ ко всем персональным данным и всей информации, необходимой для выполнения его / ее задач и осуществления его / ее полномочий, включая конфиденциальную информацию, за исключением той, на которую распространяется юридическая профессиональная тайна.

Таким образом, это положение является отражением принципа подотчетности, определенного в статье 5 GDPR — компания всегда должна быть готова продемонстрировать и предоставить доказательства своего соответствия нормам GDPR. Важно поддерживать актуальность всех политик и процедур, касающихся обработки персональных данных, и регулярно тестировать и проверять технические меры, такие как шифрование, псевдонимизация и другие.

Сотрудник по защите данных (DPO)

DPO — это профессионал, нанятый компанией или один из ее сотрудников, который предоставляет консультации по вопросам соблюдения GDPR. DPO обязательно требуется только в конкретных случаях, определенных в GDPR. Однако разумно получать постоянную поддержку профессионала при сборе персональных данных. Закон о защите данных не налагает каких-либо существенных дополнительных обязательств на DPO, тем не менее, Комиссар имеет право определять конкретные операции с персональными данными, для проведения которых DPO требуется. На данный момент Комиссар не издал такого списка.

Передача чувствительных данных третьим лицам

Передача персональных данных третьим лицам за пределы ЕС всегда является проблематичной, в случае чувствительных данных это практически миссия невыполнима. Как уже упоминалось, генетические и биометрические данные киприотов не могут обрабатываться в любом случае. В то же время другие чувствительные данные могут быть переданы за пределы ЕС только при условии предварительного информирования Комиссара. То есть компания обязана предоставить все необходимые документы (доказательство, предоставленного субъектами данных информированного согласия) и подтвердить, что ею были приняты соответствующие меры безопасности как технические, так и организационные (SCC, BCR).

Более того, если Комиссар считает, что такая передача может нанести ущерб общественному интересу, передача может быть ограниченной или вообще запрещенной. Таким образом, если вы, к примеру, хотите разработать какое-либо фитнес-приложение и отслеживать состояние здоровья пользователей (например, критические дни у женщин) и отправлять эти данные процессору за пределами ЕС, то, скорее всего, Вы подпадете под вышеуказанное требование.

Размер штрафов в законе о Защите персональных данных

В общем, GDPR устанавливает размер штрафа в сумме 4% от годового дохода или 20 000 000 евро. Государства-члены могут вносить изменения касательно объема штрафа исходя их реалий страны. На Кипре правонарушения и соответствующие наказания в сфере персональных данных делятся на три категории в зависимости от их тяжести, как это определено в Законе о защите данных:

• 10 000 евро и / или 1 год лишения свободы;
• 30 000 евро и / или 3 года лишения свободы;
• 50 000 евро и / или 5 лет лишения свободы.

Особые требования

Кипр, как и любая другая страна ЕС, имеет собственный Комиссариат по защите персональных данных, который выдвигает особые требования к документам, необходимые для соответствия требованиям GDPR. Ниже описаны документы, которые оформляются в форме, установленной Комиссаром.

Хранение информации

В статье 30 GDPR четко указано, что каждый контроллер и процессор должны вести учет своей деятельности по сбору и обработке персональных данных. Кроме того, в статье дается определение категорий информации, которую необходимо хранить. Комиссариат предоставляет необходимые шаблоны форм для записей собранных данных. Информация в этих шаблонах может быть предоставлена как на английском, так и на греческом языках, что существенно облегчает заполнение нерезидентами Кипра.

Уведомление о нарушении

Наряду с формами для записей собранных данных, Комиссариат предоставляет шаблоны форм для уведомления о нарушении и возможность их отправки Комиссару на английском языке.

Формы заявлений

Комиссар разработал три формы шаблонов для подачи заявления субъектами персональных данных:

(а) в случае нарушении прав субъектов данных;

(б) в отношении нежелательных электронных писем и сообщений (спам);

(c) другие вопросы, связанные с нарушением Закона о защите данных.

Также, как и предыдущие, эти формы могут быть заполнены на английском и греческом языках.

Примеры нарушений GDPR на Кипре

С момента введения GDPR в 2018 году случаев нарушений на Кипре было немного. Наибольшее наказание было назначено за незаконное использование фактора Брэдфорда. Компания применяла эту технологию для отслеживания количества больничных и создания профилей сотрудников. Комиссар установил, что фактор Брэдфорда нарушает статьи 6 GDPR (правовые основы обработки) и 9 GDPR (особые категории данных). Компания получила три штрафа в размере 70 000 евро, 10 000 евро и 2000 евро.

Еще один штраф касается халатности персонала больницы. Пациентка подала жалобу в Комиссариат, поскольку больница не предоставила ей медицинскую карту. Представители медицинского учреждения заявили, что не могут определить местонахождение такой медицинской карты. Так, за утерю медицинской документации больницу оштрафовали на 5000 евро. Комиссар указал, что была нарушена статья 15 GDPR – право на доступ к персональным данным.

Также, Комиссар выписал штраф за злоупотребление властью. Сотрудник полиции получил несанкционированный доступ к базе данных владельцев транспортных средств и передал ее третьим лицам. Это преступление было раскрыто, и отделение полиции было оштрафовано на 6000 евро.

Таким образом, GDPR комплаенс на Кипре не потребует много дополнительных усилий, если вы уже соблюдаете GDPR. Однако не забывайте учитывать некоторые особенности и требования, установленные на Кипре.