Company in Estonia

Защита данных (GDPR) в Эстонии

Company in Estonia OÜ поможет сформировать пакет необходимых документов для сайта вашей компании, в соответствии с требованиями защиты персональных данных. Общее положение ЕС о защите данных распространяется на все страны ЕС. Любая компания в ЕС, обрабатывающая персональные данные граждан в любой точке мира, обязана соблюдать эти правила, а любая компания за пределами ЕС, обрабатывающая персональные данные граждан ЕС, также подчиняется требованиям Директивы ЕС. Защита персональных данных сегодня является синонимом корпоративной ответственности.

Основываясь на нашем обширном совместном опыте, мы предоставляем услуги, необходимые вам для защиты данных и обеспечения последовательности. Клиенты многих отраслей доверяют нам не только за понимание специфики эстонского законодательства в этой области, но и за точность выполненной работы.

Общий регламент о защите данных в странах ЕС внес значительные изменения в регулирование персональных данных, и все компании, работающие под юрисдикцией Эстонии, теперь обязаны его соблюдать. На начальном этапе Company in Estonia OÜ рекомендует провести аудит, помогая клиенту определить порядок обработки его данных, что является первым шагом, после чего можно переходить к созданию и выполнению плана действий по соблюдению GDPR.

Соответствие GDPR и защита личной информации

Уже сегодня вам следует задуматься о правильной работе с персональными данными, поскольку не осталось ни одной сферы бизнеса, которая не была бы связана с персональными данными. GDPR распространяется практически на любой бизнес, работающий в интернете и не только: интернет-магазины и сервисы, порталы, мессенджеры и приложения, а также многие другие сервисы.

GDPR (General Data Protection Regulation) – это постановление Европейского союза, содержащее строгие правила обработки персональных данных, которые обязательны не только для стран ЕС, но и для стран, предоставляющих услуги или продающих товары жителям ЕС.

Возможные последствия несоблюдения GDPR

Наказанием за нарушение требований GDPR является штраф в размере до 20 миллионов евро или 4% от годового дохода компании (в зависимости от того, что больше). Обратите внимание, что правоприменение GDPR будет таким же строгим, как и ответственность. Таким образом, IT-бизнесу необходимо адаптировать свои документы, политики и процедуры к новым правилам.

Оценка соответствия GDPR

Для выполнения работ в соответствии с особенностями Клиента изучается организационная структура Клиента с целью выявления подразделений, функциональное назначение которых предполагает обработку персональных данных, а также разрабатываются анкеты по конкретным должностям и планы проведения собеседований.

Методами работы являются:

  • Анализ предоставленной документации
  • Анкетирование и интервьюирование сотрудников
  • Анализ веб-сайтов и веб-сервисов, принадлежащих компании

В ходе исследования выполняются следующие действия:

  • Определение потоков персональных данных (потоков персональных данных)
  • Определение места расположения основного учреждения в Европе
  • Определение списка сотрудников, обработчиков и третьих лиц, участвующих в обработке персональных данных
  • Определение перечня и объема персональных данных, подлежащих обработке
  • Анализ договоров, соглашений, согласий, публичных оферт и других документов, заключенных с третьими лицами в рамках отношений, с которыми передаются или получаются от них персональные данные
  • Анализ договоров, соглашений, согласий, публичных оферт и иных документов, заключенных с физическими лицами, являющихся правовым основанием для обработки персональных данных
  • определение места нахождения персональных данных
  • Выделение информационных систем, в которых обрабатываются персональные данные
  • Определение наличия организационно-распорядительных документов, определяющих порядок обработки и защиты персональных данных
  • Описание действующих мер по обеспечению безопасности персональных данных
  • Выявление трансграничной передачи персональных данных и составление списка стран, в которых осуществляется трансграничная передача персональных данных

На основании обследования информационных систем и процессов обработки определяется соответствие требованиям GDPR.

На основании результатов оценки соответствия подготавливаются рекомендации по приведению обработки персональных данных в соответствие с требованиями GDPR.

Отчетные документы

  • Статус соответствия GDPR с рекомендациями по приведению обработки персональных данных организации в соответствие с требованиями GDPR
  • План приведения в соответствие с GDPR

При составлении организационных и управленческих документов синтезируются требования различных нормативных актов ЕС в области персональных данных с целью структурирования

Разработка документов по GDPR

  • Список процессов обработки персональных данных
  • Уведомление о конфиденциальности при обработке персональных данных (Уведомление о конфиденциальности)
  • Политика в области защиты персональных данных
  • Согласие на обработку персональных данных (согласие), при необходимости
  • Соглашения между оператором персональных данных (контролером) и обработчиками персональных данных (процессором), при необходимости (Data Processing Addendum)
  • Правила реагирования на запросы физических лиц
  • Положение об уничтожении персональных данных
  • Положение о переносимости персональных данных в машиночитаемой форме
  • Правила реагирования на инциденты информационной безопасности при обработке персональных данных
  • Положение об уведомлении об утечке персональных данных
  • Руководство по обработке и безопасности персональных данных

Оценка воздействия на конфиденциальность (DPIA)

На основании результатов организационных и технических мер и процессов обработки персональных данных проводится оценка воздействия на конфиденциальность (DPIAs). Оценка проводится для обеспечения минимального уровня риска для субъектов персональных данных.

Оценка влияния на конфиденциальность может проводиться несколько раз с корректировкой мер безопасности, если оптимальный уровень риска не может быть достигнут с помощью первоначальных мер безопасности.

Отчетные документы

  • Отчет об оценке воздействия на конфиденциальность (DPIA)

Company in Estonia OÜ поможет вам организовать процессы обработки персональных данных в соответствии с международным законодательством и GDPR, чтобы обеспечить эффективный и безопасный сбор данных, их идентификацию, конфиденциальность и, прежде всего, избежать крупных штрафов за возможное несоблюдение нормативных требований.

Услуги Company in Estonia OÜ включают:

  • Юридический аудит (due diligence) деятельности клиента с целью выявления несоответствия стандартам GDPR
  • Разработка документов и внутренних правил для приведения деятельности компании в соответствие со стандартами GDPR
  • Договорное предоставление услуг сотрудника по защите данных

Услуги сотрудника по защите данных:

  1. Информирование клиента и его сотрудников о стандартах и правилах GDPR
  2. Надзор за деятельностью клиента в соответствии со стандартами GDPR
  3. Предоставление консультаций и советов, необходимых для соответствия стандартам GDPR
  4. Сотрудничество с государственными регулирующими органами
  5. Разработка внутренних стандартов и правил (инструкций) для клиента и его сотрудников в рамках процедур регулирования GDPR
  6. Выступление в качестве контактного лица между клиентом и государственными регулирующими органами по вопросам обработки данных, а также для консультаций и разъяснений
  7. Обработка баз данных клиентов, содержащих информацию об их конечных клиентах, в соответствии с требованиями GPRD, предотвращение рисков.

Реформа защиты данных в Эстонии

2016 апреля 14 года парламент утвердил Общий регламент по защите данных (GDPR), который заменяет действующую Директиву о защите данных. Новый регламент имеет прямое применение, что означает, что вместе с национальными имплементационными актами он также заменит действующий Закон о защите персональных данных Эстонии. Постановление вступило в силу 24.05.2016 и будет применяться после переходного периода в два года, начиная с 25 мая 2018 года. Регулирование касается предприятий и других юридических лиц, которые обрабатывают персональные данные. Обработка персональных данных означает, например, сбор, документирование, хранение и т.д. персональных данных в соответствии с Общим регламентом. Например, ситуации, когда у компании есть база данных клиентов или программа лояльности клиентов, компания хранит резюме сотрудников или адреса электронной почты клиентов, домашние адреса, фотографии, записи камер видеонаблюдения, номера телефонов и другие подобные данные, могут рассматриваться как обработка персональных данных.

Поскольку Регламент о защите данных вносит много изменений, обновленный Закон о защите персональных данных также вступит в силу в Эстонии. Используя проект Закона о защите персональных данных, пояснительную записку и Общий регламент по защите данных, юридическая фирма Company in Estonia OÜ обобщила основные моменты, которые предприниматель должен знать об обработке персональных данных.

Что такое персональные данные?

Персональные данные — это все данные, относящиеся к идентифицированному или идентифицируемому физическому лицу, которые выражают физические, психические, физиологические, экономические, культурные или социальные характеристики, отношения и принадлежность этого лица. Поэтому все данные, которые могут быть отнесены к физическому лицу, даже косвенно, должны рассматриваться как персональные данные. Согласно закону, персональные данные делятся на так называемые «обычные» и специальные категории персональных данных. Примерами общих персональных данных являются имя, место жительства, фотография человека, запись с камеры видеонаблюдения, по которому человек может быть идентифицирован и т. Д.

Особыми категориями персональных данных являются данные, раскрывающие или раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетические данные, биометрические данные, данные о здоровье или данные, касающиеся сексуальной жизни или сексуальной ориентации физического лица. Обработка таких персональных данных запрещена, за исключением исключительных случаев. Исключительными случаями, согласно новому Закону о защите персональных данных и Общему регламенту, являются, например, ситуация, когда обработка необходима по причинам существенного общественного интереса или когда обработка необходима для предотвращения угрозы общественному порядку или национальной безопасности. Определение общественного интереса не может быть найдено в действующем законодательстве. Общественный интерес – понятие весьма абстрактное, но одним из определений можно считать, что общественный интерес направлен на создание или сохранение общественного блага.

Влияет ли новое регулирование защиты данных на вас и вашу компанию?

Компании, которые должны пересмотреть свою политику обработки персональных данных:

  • Риэлторские компании (например, агентства недвижимости)
  • Компании, занимающиеся финансовой и страховой деятельностью (например, банки, кредиторы, страховые компании)
  • Предприятия, занимающиеся почтовыми и онлайн-розничными продажами (например, интернет-магазины)
  • Компании, занимающиеся административной и вспомогательной деятельностью (например, туристические агентства, взыскание долгов)
  • Поставщики медицинских и социальных услуг (включая общую медицинскую помощь, семейные медицинские центры, сестринское дело, стоматологическую помощь)
  • Информационно-коммуникационные компании (например, веб-порталы, издатели журналов, телекоммуникации)
  • Компании, занимающиеся профессиональной, научной и технической деятельностью (например, рекламные агенты, исследователи рынка, интервьюеры)
  • Заведения размещения (например, отели, мотели, гостевые дома)

В каких случаях обработка персональных данных является законной и разрешенной?

Обработка персональных данных является законной, если выполняется хотя бы одно из условий, изложенных в Статье 6 Регламента:

  1. Согласие лица на обработку своих персональных данных для одной или конкретной цели – например, оператор сайта должен запросить у клиента подтверждение, разрешает ли клиент использовать свои персональные данные для определенной цели (например, с целью выполнения заказа и т.д.).
  2. Обработка персональных данных необходима для исполнения договора, заключенного с участием лица – сюда входит заключение любого договора. Например, если клиент заказывает товары в посылочный автомат через интернет-магазин. SSB Помните, что при заключении договора у вас не будет запрошено чрезмерное количество данных о клиенте. Например, при заказе товара в вышеупомянутый посылочный автомат клиент не должен раскрывать свой домашний адрес.
  3. Обработка персональных данных необходима для выполнения юридического обязательства – здесь мы имеем в виду такие обязательства обработчика данных, которые вытекают из закона. Например, казино обязаны в соответствии с Законом об азартных играх запрашивать личные данные у тех, кто входит в казино.
  4. Обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица или необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера. Согласно Общему регламенту, обработка некоторых категорий персональных данных может служить как важным общественным интересам, так и жизненно важным интересам субъекта данных, например, когда обработка необходима в гуманитарных целях, включая мониторинг эпидемий и их распространения, или в чрезвычайных гуманитарных ситуациях, в частности стихийных и техногенных катастрофах.

Каковы права субъекта данных, т.е. лица, чьи данные обрабатываются?

  • Право на информацию и касающиеся его персональные данные

Цель состоит в том, чтобы гарантировать, что физическое лицо может знать, обрабатываются ли его или ее персональные данные, и, для проверки законности такой обработки, право доступа к собранным о нем данным. Субъект данных сначала имеет право получить от контролера подтверждение того, обрабатываются ли относящиеся к нему персональные данные. Если персональные данные обрабатываются, обработчик персональных данных обязан сообщить субъекту данных информацию, которую обработчик обязан раскрыть. Каждый субъект данных имеет право знать и быть информированным о целях, для которых обрабатываются персональные данные, о периоде, в течение которого они обрабатываются, о получателях данных, в том числе в третьих странах. Чтобы гарантировать это право, субъекту данных достаточно иметь полное резюме этих данных в понятной форме, то есть данные в форме, которая позволяет ему или ей узнать об этих данных и проверить, что они верны и обработаны в соответствии с законом о защите персональных данных. Обработчик данных может отказать в предоставлении информации, ограничить ее предоставление или предоставить ее на более позднем этапе, если это может помешать или ухудшить предотвращение, обнаружение, преследование или исполнение наказаний, нанести ущерб правам и свободам другого лица и если раскрытие информации может негативно повлиять на национальную безопасность.

  • Право требовать прекращения обработки персональных данных, исправления, блокирования, удаления персональных данных

Субъект данных имеет право на исправление и удаление персональных данных, в частности, в случае данных, основанных на фактах. В частности, субъект данных имеет право запросить удаление персональных данных, если обработка персональных данных не разрешена законом или нарушает принципы обработки персональных данных.

  • «Право на забвение»

Обновление, введенное Общим регламентом по защите данных, которое означает, что физическое лицо имеет право потребовать, чтобы обработчик данных удалил касающиеся его персональные данные без промедления. Такое право применяется, например, если контроллеру больше не нужны персональные данные для цели, для которой они были собраны или обработаны — например, если компания хранит резюме для будущих целей, лицо может запросить удаление резюме в любое время. Кроме того, применяются другие случаи, предусмотренные статьей 17 Общего регламента, в том числе, когда лицо отзывает свое согласие на обработку данных или когда персональные данные были обработаны незаконно.

  • Право на переносимость данных

Самым большим существенным изменением, которое ожидает весь частный сектор, является переносимость персональных данных. Лицо может взять свои цифровые данные у компании А и передать их компании Б. Это означает, что лицо имеет право запросить и получить от контроллера данных все касающиеся его персональные данные, которые это лицо предоставило обработчику данных. Под передачей должны пониматься все данные, которые человек передает непосредственно либо сам, либо контролеру в ходе какой-либо деятельности лица. Например, заполнение веб-форм (создание интернет-магазина, учетной записи в социальных сетях) или отправка электронного письма, а также данных, передаваемых оператору связи при использовании смарт-устройства (например, местоположение звонящего, адресат звонка). Но также покупки, зарегистрированные с помощью карты лояльности в магазине или данных (например, частота сердечных сокращений, количество шагов), которые монитор активности человека передает, например, диетологу. Передача данных должна применяться только к данным, обработка которых основана либо на согласии лица, либо на договоре, заключенном между лицом и обработчиком данных. Поэтому, если обработка данных осуществляется только на основании закона, то право на переносимость данных не применяется. На основании закона персональные данные людей обрабатываются, например, государственными и местными органами власти.

Чтобы обеспечить право на переносимость данных, контроллер должен передавать персональные данные в:

  1. структурированный;
  2. в широко используемом формате;
  3. в машиночитаемом виде.

Для того, чтобы контроллер мог соблюдать эти формальности, Регламент налагает дополнительное условие, согласно которому должны передаваться только персональные данные, обрабатываемые контроллером автоматизированными средствами. Поэтому персональные данные на бумажном носителе передаче не подлежат.
Лицо также может потребовать, чтобы один обработчик данных передал данные непосредственно другому обработчику данных. Это тот случай, когда это технически осуществимо. Это означает, что если человек хочет изменить, например, поставщика услуг электронной почты, банка или голосовой связи, он имеет право потребовать, чтобы текущий поставщик услуг передал персональные данные, связанные с этим лицом, непосредственно новому поставщику услуг, если это технически возможно.
В то же время передача данных новому поставщику услуг не означает, что человек должен прекратить свои отношения с текущим поставщиком услуг. Это также не означает автоматически, что текущий поставщик услуг должен удалить все персональные данные, связанные с человеком (даже если отношения с клиентами заканчиваются).

  • Право на возражение и автоматизированное индивидуальное принятие решений

Лицо может попросить не подвергаться решению, основанному на автоматизированной обработке, включая профилирование. Такое право возникает, когда профилирование порождает правовые последствия в отношении него или нее или оказывает на него значительное воздействие. Таковы, например, случаи, когда кредит подается онлайн и заявка на кредит отклоняется без вмешательства человека.

Каковы ваши обязанности в качестве обработчика данных?

  • Контролер обязан применять принципы обработки персональных данных к обработке данных. Принципы обработки персональных данных – это принципы, обычно изложенные в Регламенте, такие как принципы законности, справедливости, прозрачности и минимизации данных.
  • Обработчик данных должен безопасно обрабатывать персональные данные. Экономический оператор обязан осуществлять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего угрозе. Примером таких мер является шифрование персональных данных. Для защиты персональных данных должны быть реализованы меры безопасности для их защиты от непреднамеренной или несанкционированной обработки, раскрытия или уничтожения.
  • Контролер обязан предоставить лицу информацию об условиях обработки его персональных данных и их правах. Контролер должен информировать лицо об обработке персональных данных в краткой, ясной, понятной и легкодоступной форме, используя ясный и понятный язык. Информация предоставляется в письменной форме или другими способами, в том числе, в соответствующих случаях, электронными средствами.
  • Операции обработки должны быть записаны. Предприятия или организации с более чем 250 сотрудниками должны вести реестр операций по обработке и предоставлять его надзорному органу по защите данных по запросу. В исключительных случаях небольшие компании или организации также должны делать это, если обработка представляет риск для прав и свобод человека, обработка не зависит от конкретного случая, обрабатываются специальные категории персональных данных или данных, связанных с уголовными судимостями и правонарушениями. Может показаться, что более мелкие компании в данном случае избежали регистрации операций по обработке, но это не случай обработки, если операции планируются заранее, исполнение организовано и методично, а обработка данных явно является частью бизнес-модели обработчика данных. Сюда относятся, например, программы лояльности для сервисных компаний. Кроме того, все работодатели являются обработчиками персональных данных (например, данных о сотрудниках, волонтерах, стажерах, гостях) и, согласно Инспекции, не обрабатывают данные только в каждом конкретном случае. Таким образом, обработка персональных данных, касающихся собственного персонала организации, не может быть исключена из реестра.
  • Защита персональных данных детей. Согласно Общему регламенту, персональные данные детей, в частности, заслуживают особой защиты, поскольку дети могут быть недостаточно осведомлены о рисках, последствиях и гарантиях, связанных с этим, и об их правах в отношении обработки персональных данных. Согласно новому Закону о защите персональных данных, который вступит в силу в Эстонии, обработка персональных данных ребенка при оказании услуг информационного общества является законной только в том случае, если ребенку не менее 14 лет.
  • Обязанность назначить сотрудника по защите данных. Общий регламент требует, чтобы определенные обработчики персональных данных назначали специалиста по защите данных. К ним относятся:
  • учреждения или органы государственного сектора – министерства, ведомства, инспекции, общеобразовательные школы, городские и волостные органы власти;
  • обработчики данных, основной деятельностью которых является регулярный и систематический мониторинг субъектов данных в больших масштабах — например, больницы, компания, предоставляющая услуги безопасности в торговом центре, кредитные учреждения, страховые посредники, телекоммуникационные компании, гостиницы, компании по подбору персонала и аренде рабочей силы, найм проституток;
  • обработчики данных, основной деятельностью которых является крупномасштабная обработка данных особой категории или крупномасштабная обработка персональных данных, связанных с уголовными судимостями и правонарушениями, например, больницы, центры семейного здоровья, исследователи в области здравоохранения.

Ответственность

Одним из самых больших изменений по сравнению с ранее действовавшим регламентом по защите данных является увеличение суммы штрафов. Максимальная сумма штрафа за несоблюдение требований, изложенных в Общем регламенте, составляет 20 миллионов евро или 4% от мирового оборота компании, в зависимости от того, что выше. Однако, следуя изложенным выше пунктам и приводя свою компанию в соответствие с требованиями обработки данных, беспокоиться о больших суммах штрафов все же не стоит.

Защита  персональных данных в Эстонии

Защита персональных данных – тема, которая с каждым днем становится все более актуальной.

С момента применения Общего регламента по защите данных (GDPR) (ЕС) 2016/679 годов обработчики персональных данных были подвергнуты новым и строгим обязательствам и высоким штрафам за несоблюдение правил. Целью регулирования является обеспечение законности обработки персональных данных и обеспечение высокого уровня защиты частной жизни физических лиц. В современном мире уже невозможно работать без обработки персональных данных, и большинству компаний приходится обрабатывать персональные данные, чтобы предоставлять свои услуги или продавать продукт.

Целью юридической фирмы Company in Estonia OÜ является помощь компании в работе в соответствии с требованиями GDPR, тем самым снижая потенциальные риски. С этой целью мы предлагаем следующие услуги:

  • подготовка правового обзора ситуации, т.е. аудита, подготовка плана действий по результатам аудита для обеспечения соблюдения GDPR;
  • выполнение операций, предписанных в GDPR, и консультирование клиента;
  • проведение оценки воздействия на защиту данных;
  • составление реестров, требуемых GDPR (реестр обработки персональных данных, реестр нарушений);
  • подготовка юридических документов: условия защиты данных (политика конфиденциальности), внутренние правила, связанные с защитой персональных данных, документы, необходимые для онлайн-компании, например, условия использования файлов cookie и т. Д., Подготовка договора между контроллером и процессором (договор об обработке персональных данных);
  • представительство в спорах, касающихся персональных данных;
  • обучение по темам защиты персональных данных;
  • мы оказываем помощь в общении с надзорными органами (АКИ).

Мы также предлагаем услугу специалиста по защите данных, которая включает в себя консультирование компании по всем вопросам, связанным с обработкой персональных данных.

Company in Estonia OÜ предоставляет юридические услуги и будет рада помочь в подготовке к защите данных (GDPR) для вашей эстонской компании.

Заказать услугу
Jekaterina Smolits

Jekaterina Smolits

ASSOCIATE PARTNER

Защита данных (GDPR) в Эстонии 1+372 5696 6260
Защита данных (GDPR) в Эстонии 2[email protected]

свяжитесь со мной