Сегодня поговорим об одном из важнейших законов – Законе о защите персональных данных (Ley de Protección de Datos (LOPD)), о его исполнении и о том, как закон влияет на работу предпринимателей и компаний малого и среднего бизнеса в Испании. Не обойдем вниманием и последнее нововведение – Основной регламент о защите персональных данных (Reglamento General de Protección de Datos (RGPD)), вступивший в силу и наделавший немало шума.
Предприниматели и компании обязаны соблюдать Закон о защите персональной информации (далее – LOPD), если в процессе своей деятельности они ведут сбор личных данных. В данном случае под «личными данными» понимаются те, которые позволяют идентифицировать физическое лицо.
Для того, чтобы должным образом соблюсти все требования LOPD, необходимо понимать:
- Цели LOPD
- Почему необходимо исполнять LOPD
- Как исполнять LOPD
- Основной регламент о защите персональных данных — Reglamento General de Protección de Datos(RGPD)
25 мая 2016 года вступил в силу Основной регламент о защите персональных данных (далее – RGPD), который обязал предпринимателей и юридических лиц внести определенные изменения в свою политику защиты персональных данных. На эту процедуру было отведено два года, т.е. с 25 мая 2018 года закон должен целиком и полностью исполняться во всех без исключения странах-членах ЕС. В ближайшем будущем ожидается выход нового закона — Ley de Protección de Datos de Carácter Personal, – проект которого уже находится на рассмотрении. Ожидается, что закон приведет все нормативы в соответствие с европейским регламентом.
Цели LOPD
Основной целью закона является гарантия защиты и надлежащей обработки данных, носящих персональный характер. Эти данные принято делить на три уровня:
- Базовый уровень: идентификационные данные — (ИНН (NIF), номер социального страхования, имя, фамилия, адрес, номер телефона, подпись, личное фото, адрес электронной почты, имя пользователя, номер банковской карты, номерной знак машины и т.д.
- Средний уровень: данные, касающиеся административных или уголовных правонарушений, платежеспособности и кредитоспособности, фискальные данные, данные, связанные с социальным страхованием, получением финансовых продуктов, а также те, в которых отражаются личные предпочтения, привычки, склонности и т.д.
- Высший уровень: данные о личной идеологии, религии, мировоззрении, расовой принадлежности, здоровье, сексуальных пристрастиях или гендерном насилии.
Ответственность за использование и хранение этих данных несет лицо, которое их получило. На него же возлагается ответственность по соблюдению всех требований, предписанных LOPD.
В частности, ответственное лицо обязано:
- Регистрировать учетные базы данных в соответствии с Главным реестром защиты персональных данных.
- Контролировать качество данных, и адекватность и достоверность.
- Обеспечивать секретность, гарантировать безопасность данных.
- Информировать и получать согласие на получение и обработку персональных данных.
- Уважать права граждан в части доступа, изменения, отзыва, удаления и оспаривания своих персональных данных.
Иными словами, LOPD призван обеспечить неприкосновенность и защиту персональных данных физических лиц. Однако подобная защита не распространяется на юридические лица. Таким образом, предприниматель может как попадать под защиту, так и не попадать, в зависимости от ситуации, в которой находится:
Предприниматель-управляющий ООО (S.L.) или АО (S.A.): не обязан лично нести ответственность за защиту персональных данных клиентов, т.к. в данном случае обязанность возлагается целиком и полностью на компании. И, тем не менее, предприниматель-управляющий обязан следить за надлежащим исполнением LOPD.
Независимый предприниматель, имеющий наемных работников: отвечает за безопасность персональных данных своих работников, а также поставщиков и клиентов.
Независимый предприниматель, не имеющий наемных работников: необходимо оценить характер деятельности предпринимателя и понять, ведется ли сбор персональных данных клиентов и поставщиков, и если да, то какого типа данные собираются. Если база персональных данных отсутствует, то, соответственно не возникает никаких обязательств по соблюдению LOPD. Однако если клиентами предпринимателя являются частные лица, то, вероятнее всего, исполнять закон придется.
Почему необходимо исполнять LOPD
В первую очередь, для того, чтобы подтвердить, что наш бизнес соблюдает все действующие нормы законодательства. Любая потеря конфиденциальных данных по причине технических сбоев, пожара, наводнения и т.п., может обернуться немалыми потерями для компании, т.к. в данном случае мы начинаем говорить о гражданской ответственности, недобросовестной конкуренции и т.п. Не стоит забывать и о возможных экономических санкциях против компании, т.е. затраты на внедрение системы исполнения LOPD могут оказаться незначительными, если сравнить их с возможными негативными последствиями в случае пренебрежения и неисполнения закона.
Согласно нормам действующего законодательства, к нарушителю могут применяться следующие санкции:
- За легкие нарушения – штраф от 900 до 40.000 €.
- За тяжкие нарушения – штраф от 40.001 до 300.000 €.
- За очень тяжкие нарушения – штраф от 300.001 до 600.000 €.
Степень правонарушения определяется в зависимости от типа данных, которых оно коснулось: базовый уровень, средний уровень или высший уровень. В определении суммы штрафа используются следующие критерии:
- Продолжительность нарушения.
- Объем данных.
- Связь между деятельностью нарушителя и обработкой персональных данных.
- Объемы деятельности нарушителя.
- Выгода, напрямую вытекающая из нарушения.
- Степень нарушения.
- Повторные нарушения аналогичного характера.
- Характер причиненного вреда.
Возможно, будет установлено, что со стороны ответственного лица не было совершено никаких нарушений, что обработка и хранение данных велись с соблюдением всех действующих норм и требований, а причиной нарушения послужила аномалия, а не халатность и не пренебрежение своими обязанностями ответственным лицом. Любые иные обстоятельства будут учитываться в определении степени вины ответственной стороны.
Помимо штрафов предусмотрены также выговоры, если речь идет о легких или тяжких нарушениях, и если ранее нарушитель не привлекался к ответственности и не был замечен в подобных нарушениях. Испанское агентство по защите персональных данных праве потребовать исправить выявленные нарушения, не инициируя судебное разбирательство.
Как исполнять LOPD
Обработка данных может проходить под контролем Испанского агентства по защите персональных данных (AEPD — Agencia Española de Protección de Datos), отвечающего за соблюдение нормативов и гарантирующего фундаментальное право граждан на защиту персональных данных. Но можно также довериться специалисту, который возьмет на себя труд пройти все необходимые бюрократические процедуры. Процесс внедрения LOPD включает:
- Идентификация учетных карточек, содержащих персональные данные работников, клиентов, поставщиков и т.д.
- Определение уровня безопасности.
- Идентификация управляющего учетными карточками.
- Разработка документации о безопасности.
- Обучение лица, ответственного за учетные карточки.
- Уведомление владельцев данных о наличии учетных карточек.
- Регистрация учетных карточек в реестре Испанского агентства по защите персональных данных.
Если компания ведет сбор данных среднего и высшего уровней, она обязана проводить аудит. Аудит необходим также в случае изменений в информационной системе, способных так или иначе затронуть персональные данные третьих лиц. Аудит может быть внешним и внутренним и заканчиваться выдачей заключения о соответствии или несоответствии компании действующим нормам законодательства. В случае несоответствия указываются недостатки и рекомендации по их устранению.
Заключение должно быть проверено лицом, ответственным за безопасность, и передано лицу, ответственному за учетные карточки, которое, в свою очередь, должно принять решение о выборе и принятии необходимых мер. Заключение в итоге передается в распоряжение AEPD и контролирующих органов автономии.
Основной регламент о защите персональных данных — Reglamento General de Protección de Datos (RGPD)
Этот норматив уже вступил в силу и распространяется на всех жителей ЕС. Основной целью регламента является улучшение процесса и упрощение бюрократических процедур. Компании получают чуть больше обязанностей по обработке и защите персональных данных. Предприниматели и компании малого и среднего бизнеса до 25 мая 2018 года обязаны сделать следующее:
- Обеспечить получение четкого и ясного согласия (а не согласия по умолчанию) клиентов на использование их персональных данных.
- Обновить положения политики защиты персональных данных.
- В обязательном порядке назначить внутреннего или внешнего уполномоченного по защите данных.
- Запустить оценку воздействия защиты персональных данных (PIA).
- Ввести новый алгоритм обеспечение безопасности персональных данных.
- Получить сертификат об исполнении RGPD.
- В течение 72 часов уведомить контролирующие органы о выявленных нарушениях в процедуре защиты персональных данных.
Если хотите всегда быть в курсе наших новостей, подписывайтесь на нас в Facebook и/или в Twitter.
