Файлы: 0

Корзина пуста.
В магазин

Войти Регистрация
Форум Контакты

Закон о защите персональных данных (LOPD)

Корпоративное право SYDORENKO Lawyers25.05.2018813 просмотров

Сегодня поговорим об одном из важнейших законов – Законе о защите персональных данных (Ley de Protección de Datos (LOPD)), о его исполнении и о том, как закон влияет на работу предпринимателей и компаний малого и среднего бизнеса в Испании. Не обойдем вниманием и последнее нововведение – Основной регламент о защите персональных данных (Reglamento General de Protección de Datos (RGPD)), вступивший в силу и наделавший немало шума.

Предприниматели и компании обязаны соблюдать Закон о защите персональной информации (далее – LOPD), если в процессе своей деятельности они ведут сбор личных данных. В данном случае под «личными данными» понимаются те, которые позволяют идентифицировать физическое лицо.

Для того, чтобы должным образом соблюсти все требования LOPD, необходимо понимать:

  • Цели LOPD
  • Почему необходимо исполнять LOPD
  • Как исполнять LOPD
  • Основной регламент о защите персональных данных — Reglamento General de Protección de Datos(RGPD)

25 мая 2016 года вступил в силу Основной регламент о защите персональных данных (далее – RGPD), который обязал предпринимателей и юридических лиц внести определенные изменения в свою политику защиты персональных данных. На эту процедуру было отведено два года, т.е. с 25 мая 2018 года закон должен целиком и полностью исполняться во всех без исключения странах-членах ЕС. В ближайшем будущем ожидается выход нового закона — Ley de Protección de Datos de Carácter Personal, – проект которого уже находится на рассмотрении. Ожидается, что закон приведет все нормативы в соответствие с европейским регламентом.

  1. Цели LOPD

Основной целью закона является гарантия защиты и надлежащей обработки данных, носящих персональный характер. Эти данные принято делить на три уровня:

  • Базовый уровень: идентификационные данные — (ИНН (NIF), номер социального страхования, имя, фамилия, адрес, номер телефона, подпись, личное фото, адрес электронной почты, имя пользователя, номер банковской карты, номерной знак машины и т.д.
  • Средний уровень: данные, касающиеся административных или уголовных правонарушений, платежеспособности и кредитоспособности, фискальные данные, данные, связанные с социальным страхованием, получением финансовых продуктов, а также те, в которых отражаются личные предпочтения, привычки, склонности и т.д.
  • Высший уровень: данные о личной идеологии, религии, мировоззрении, расовой принадлежности, здоровье, сексуальных пристрастиях или гендерном насилии.

Ответственность за использование и хранение этих данных несет лицо, которое их получило. На него же возлагается ответственность по соблюдению всех требований, предписанных LOPD.

В частности, ответственное лицо обязано:

  • Регистрировать учетные базы данных в соответствии с Главным реестром защиты персональных данных.
  • Контролировать качество данных, и адекватность и достоверность.
  • Обеспечивать секретность, гарантировать безопасность данных.
  • Информировать и получать согласие на получение и обработку персональных данных.
  • Уважать права граждан в части доступа, изменения, отзыва, удаления и оспаривания своих персональных данных.

Иными словами, LOPD призван обеспечить неприкосновенность и защиту персональных данных физических лиц. Однако подобная защита не распространяется на юридические лица. Таким образом, предприниматель может как попадать под защиту, так и не попадать, в зависимости от ситуации, в которой находится:

Предприниматель-управляющий ООО (S.L.) или АО (S.A.): не обязан лично нести ответственность за защиту персональных данных клиентов, т.к. в данном случае обязанность возлагается целиком и полностью на компании. И, тем не менее, предприниматель-управляющий обязан следить за надлежащим исполнением  LOPD.

Независимый предприниматель, имеющий наемных работников: отвечает за безопасность персональных данных своих работников, а также поставщиков и клиентов.

Независимый предприниматель, не имеющий наемных работников: необходимо оценить характер деятельности предпринимателя и понять, ведется ли сбор персональных данных клиентов и поставщиков, и если да, то какого типа данные собираются. Если база персональных данных отсутствует, то, соответственно не возникает никаких обязательств по соблюдению LOPD. Однако если клиентами предпринимателя являются частные лица, то, вероятнее всего, исполнять закон придется.

  1. Почему необходимо исполнять LOPD

В первую очередь, для того, чтобы подтвердить, что наш бизнес соблюдает все действующие нормы законодательства. Любая потеря конфиденциальных данных по причине технических сбоев, пожара, наводнения и т.п., может обернуться немалыми потерями для компании, т.к. в данном случае мы начинаем говорить о гражданской ответственности, недобросовестной конкуренции и т.п. Не стоит забывать и о возможных экономических санкциях против компании, т.е. затраты на внедрение системы исполнения  LOPD могут оказаться незначительными, если сравнить их с возможными негативными последствиями в случае пренебрежения и неисполнения закона.

Согласно нормам действующего законодательства, к нарушителю могут применяться следующие санкции:

  • За легкие нарушения – штраф от 900 до 40.000 €.
  • За тяжкие нарушения – штраф от 40.001 до 300.000 €.
  • За очень тяжкие нарушения – штраф от 300.001 до 600.000 €.

Степень правонарушения определяется в зависимости от типа данных, которых оно коснулось: базовый уровень, средний уровень или высший уровень. В определении суммы штрафа используются следующие критерии:

  • Продолжительность нарушения.
  • Объем данных.
  • Связь между деятельностью нарушителя и обработкой персональных данных.
  • Объемы деятельности нарушителя.
  • Выгода, напрямую вытекающая из нарушения.
  • Степень нарушения.
  • Повторные нарушения аналогичного характера.
  • Характер причиненного вреда.

Возможно, будет установлено, что со стороны ответственного лица не было совершено никаких нарушений, что обработка и хранение данных велись с соблюдением всех действующих норм и требований, а причиной нарушения послужила аномалия, а не халатность и не пренебрежение своими обязанностями ответственным лицом. Любые иные обстоятельства будут учитываться в определении степени вины ответственной стороны.

Помимо штрафов предусмотрены также выговоры, если речь идет о легких или тяжких нарушениях, и если ранее нарушитель не привлекался к ответственности и не был замечен в подобных нарушениях. Испанское агентство по защите персональных данных праве потребовать исправить выявленные нарушения, не инициируя судебное разбирательство.

  1. Как исполнять LOPD

Обработка данных может проходить под контролем Испанского агентства по защите персональных данных (AEPD — Agencia Española de Protección de Datos), отвечающего за соблюдение нормативов и гарантирующего фундаментальное право граждан на защиту персональных данных. Но можно также довериться специалисту, который возьмет на себя труд пройти все необходимые бюрократические процедуры. Процесс внедрения LOPD включает:

  • Идентификация учетных карточек, содержащих персональные данные работников, клиентов, поставщиков и т.д.
  • Определение уровня безопасности.
  • Идентификация управляющего учетными карточками.
  • Разработка документации о безопасности.
  • Обучение лица, ответственного за учетные карточки.
  • Уведомление владельцев данных о наличии учетных карточек.
  • Регистрация учетных карточек в реестре Испанского агентства по защите персональных данных.

Если компания ведет сбор данных среднего и высшего уровней, она обязана проводить аудит. Аудит необходим также в случае изменений в информационной системе, способных так или иначе затронуть персональные данные третьих лиц. Аудит может быть внешним и внутренним и заканчиваться выдачей заключения о соответствии или несоответствии компании действующим нормам законодательства. В случае несоответствия указываются недостатки и рекомендации по их устранению.

Заключение должно быть проверено лицом, ответственным за безопасность, и передано лицу, ответственному за учетные карточки, которое, в свою очередь, должно принять решение о выборе и принятии необходимых мер. Заключение в итоге передается в распоряжение AEPD и контролирующих органов автономии.

  1. Основной регламент о защите персональных данных — Reglamento General de Protección de Datos (RGPD)

Этот норматив уже вступил в силу и распространяется на всех жителей ЕС. Основной целью регламента является улучшение процесса и упрощение бюрократических процедур. Компании получают чуть больше обязанностей по обработке и защите персональных данных. Предприниматели и компании малого и среднего бизнеса до 25 мая 2018 года обязаны сделать следующее:

  • Обеспечить получение четкого и ясного согласия (а не согласия по умолчанию) клиентов на использование их персональных данных.
  • Обновить положения политики защиты персональных данных.
  • В обязательном порядке назначить внутреннего или внешнего уполномоченного по защите данных.
  • Запустить оценку воздействия защиты персональных данных (PIA).
  • Ввести новый алгоритм обеспечение безопасности персональных данных.
  • Получить сертификат об исполнении RGPD.
  • В течение 72 часов уведомить контролирующие органы о выявленных нарушениях в процедуре защиты персональных данных.

Если хотите всегда быть в курсе наших новостей, подписывайтесь на нас в Facebook и/или в Twitter.

Please follow and like us:
0

Похожие посты

Любой человек, планирующий начать экономическую деятельность, начинает задаваться вопросами, как и с чего ему начать. И первым вопросом неминуемо встает следующий: работать в качестве индивидуального предпринимателя или открывать компанию. Отдавая предпочтение юридическому лицу, необходимо учитывать количество соучредителей и ограниченный риск. Но большинство все же выбирает самозанятость, т.е. частное предпринимательство, особенно на первоначальном этапе работы. Может показаться, что работать в качестве предпринимателя – это просто и дешево. Возможно, в любой другой стране, то только не в Испании. Какие вопросы должен проработать будущий предприниматель, прежде чем встать на учет в режиме RETA (Régimen Especial de Trabajadores Autónomos)? 1. Какие обязательства несет предприниматель? Предприниматель обязан встать на учет в налоговых органах, подавать ежеквартальные и годовые налоговые декларации, вести учет НДС и НДФЛ. 2. Регистрироваться в качестве предпринимателя или учреждать фирму? Предприниматель обязан вести бухгалтерский и налоговый учет с первого дня своей деятельности, независимо от личной и экономической ситуации. Предприниматель ежемесячно совершает социальные отчисления. В случае регистрации фирмы, асессор, которому поручено вести бухгалтерию, может проявить гибкость – в зависимости от даты учреждения. Если учреждение приходится на конец года, можно потянуть время до начала следующего, и тем самым сэкономить на подаче годовых деклараций, годовых балансов в Торговый реестр и годовом корпоративном налоге. 3. Какую организационно-правовую форму выбрать для своего бизнеса в Испании? Если вы четко решили учреждать фирму, но не знаете, какую организационно-правовую форму юридического лица выбрать, то проанализируйте несколько аспектов: число соучредителей, ограничение рисков, план по прибыли на краткосрочную и среднесрочную перспективу. Также следует помнить, что для учреждения ООО (Sociedad de Responsabilidad Limitada – S.L.) требуется уставный капитал в размере 3.006,00 €, а для АО (Sociedad Anónima – S.A.) – 60.000,00. 4. Нужно ли указывать размер вознаграждения управляющего? Согласно нормам действующего законодательства, устав компании должен включать систему вознаграждений с указанием точной суммы, которую будет получать лицо, занимающее пост управляющего. 5. Всегда ли необходимо платить налог на экономическую деятельность (Impuesto de Actividades Económicas – IAE)? Все физические и юридические лица, занимающиеся коммерческой деятельностью в Испании, обязаны зарегистрироваться в реестре налога на экономическую деятельность. Однако в первые два года работы налогоплательщики получают освобождение от уплаты. В дальнейшем уплата налога будет зависеть от оборотов компании. Обычно малый бизнес с небольшими оборотами (меньше 1.000.000,00 €) пользуется 100% льготой по налогу. 6. Требуется ли получить электронный сертификат? Все индивидуальные предприниматели и юридические лица в Испании обязаны зарегистрироваться в системе электронных уведомлений - Sistema de Notificaciones Electrónicas. Регистрация и доступ к системе возможны только при наличии электронной подписи - Firma Digital. После регистрации получать уведомления и запрашивать информационные справки и выписки можно двумя путями: 1) по вышеуказанной ссылке в системе электронных уведомлений; 2) через виртуальный кабинет на правительственной странице Carpeta Ciudadana. Система направляет e-mail сообщения на электронный адрес гражданина, указанный при регистрации, о том, что в его личном виртуальном кабинете имеются уведомления или запросы, требующие внимания. Считается, что гражданин получил и ознакомился с уведомлением в следующих двух случаях: 1. В момент, когда он зашел с цифровой подписью в свой личный кабинет. 2. По истечение 10 дней с момента отправки e-mail сообщения на электронный адрес гражданина, даже если он не заходил в свой личный кабинет. Необходимо помнить, что, спустя указанный десятидневный срок, уведомления будут доступны только по второй ссылке, т.е. через страницу Carpeta Ciudadana. Как мы уже писали, новый Приказ ESS/214/2018 от 1 марта 2018 г., опубликованный 6 марта 2018 г., обязывает всех предпринимателей Испании в течение шести месяцев зарегистрироваться в системе RED (Sistema RED). Установленный срок считается с 1 марта, т.е. к 31 августа все испанские предприниматели в обязательном порядке должны интегрироваться в систему. Система RED представляет собой официальный сервис электронного документооборота и обмена информацией, позволяющий контролировать исполнение обязательств в отношении фонда социального страхования (Seguridad Social). Обязательным условием регистрации в системе RED является наличие электронного сертификата (certificado electrónico). 7. Что происходит с детьми и супругами предпринимателя, задействованными в его бизнесе? Родственники предпринимателя до второй линии включительно, включая супругов, участвующие в его предпринимательской деятельности, обязаны зарегистрироваться в соцстрахе в режиме RETA.Вопросы, которыми задаются будущие предприниматели в Испании Профилактика производственных рисков и трудовая инспекция dinero-en-efectivoОграничение на оплату наличными в Испании Предприниматель с ограниченной ответственностью в Испании