ruen

Регулирование GDPR в инвестиционной отрасли

Общие правила защиты данных (GDPR) были приняты парламентом ЕС в апреле 2016 года и вступили в силу 25-го мая 2018 года, они регулируют использование личной информации всех граждан и жителей ЕС. GDPR должны применять все предприятия и организации, действующие в ЕС, и обрабатывающие персональные данные клиентов, включая юридические и консалтинговые фирмы, предлагающие схемы инвестиционной миграции.
Изображение: weenect.com

GDPR применяется не только к организациям, расположенным в ЕС, но и к компаниям за пределами Союза, в том случае, если они предлагают товары или услуги на его территории. GDPR применяется к любой компании, которая обрабатывает личные данные в автоматическом или ручном режиме. Даже если ваш бизнес обрабатывает данные только от имени других компаний, вам все равно необходимо соблюдать правила, сообщает Citizenship by investment.

  • Один союз - один закон: единый свод правил упрощает работу компаний на всей территории ЕС. 
  • Единый магазин: в большинстве случаев компаниям приходится иметь дело только с одним органом по защите данных (DPA). 
  • Компании, базирующиеся за пределами ЕС, должны применять те же правила, что и европейские компании, предлагая свои товары в пределах Союза. 
  • Подход, основанный на оценке риска: GDPR избегает наложения одного универсального обязательства, а вместо этого адаптирует их к соответствующим рискам. 
  • Правила подходят для инноваций: GDPR является нейтральным с точки зрения технологий.

GDPR применяется, если ваша компания обрабатывает персональные данные и базируется в ЕС, независимо от того, где она находится или где происходит фактическая обработка данных. Согласно GDPR, такие действия, как: сбор, использование и удаление личных данных, подпадают под определение обработки персональных данных.

  • Вы контролируете свою недвижимость через CCTV?
  • Обращаетесь к базе данных, которая содержит личные данные, для деловых целей?
  • Отправляете рекламные письма?
  • Вам требуется удалять (цифровые) файлы сотрудников или уничтожать документы?
  • Вам нужно опубликовать фотографию человека на вашем веб-сайте или в социальных сетях?

Если вы ответили «да» на любой из представленных вопросов, то ваша компания, безусловно, обрабатывает персональные данные.

Ведение документации: компании, имеющие менее 250-ти сотрудников, не обязаны вести учет, если обработка данных ведется постоянно или содержит конфиденциальную информацию. Компании должны предоставлять людям информацию о том, кто обрабатывает данные, какие именно данные обрабатываются и почему. Личные данные включают в себя:

  • имя и фамилию;
  • домашний адрес;
  • адрес электронной почты, такой как name.surname@example.com;
  • номер идентификационной карты;
  • данные местоположения (например, функция отслеживания местоположения на мобильном телефоне) *;
  • адрес интернет-протокола (IP);
  • идентификатор файла cookie;
  • номер телефона;
  • данные, хранящиеся в больнице или у врача, по которым можно однозначно идентифицировать человека.

Данные, не относящиеся к персональной информации:

  • регистрационный номер компании;
  • адрес электронной почты, такой как info@company.com;
  • анонимные данные.

В соответствии с GDPR все государства-члены ЕС должны рассматривать файлы cookie и другие технические идентификаторы в качестве персональных данных, для обработки которых требуется согласие. 

Конфиденциальные данные.

Если персональные данные, которые вы собираете, включают информацию о здоровье, расе, сексуальной ориентации, религии, политических убеждениях или членстве в профсоюзах, эти данные считаются конфиденциальными. Ваша компания может обрабатывать эти данные только в определенных условиях, а для их обработки может потребоваться внедрение дополнительной защиты, например, шифрования.

Согласие.

GDPR устанавливает, что обработка данных происходит только на основании согласия. Личные данные ребенка могут быть обработаны по согласию родителей. Однако, поскольку возрастной порог получения согласия варьируется в разных странах от 13-ти до 16-ти лет, рекомендуется уточнить этот момент в национальном законодательстве.

Что такое обработка данных?

Обработка охватывает широкий спектр операций, выполняемых с помощью ручных или автоматизированных средств. Сюда включается сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, использование, раскрытие посредством передачи, распространение или иное предоставление, ограничение, стирание или уничтожение персональных данных.

Примеры обработки:

  • управление персоналом и начисление заработной платы;
  • доступ к базе данных контактов, содержащей персональные данные;
  • отправка рекламных писем;
  • уничтожение документов, содержащих персональные данные;
  • размещение фотографии человека на веб-сайте;
  • сохранение IP-адресов или MAC-адресов;
  • видеозапись (CCTV).

Обработчик данных или контроллер?

Правила защиты данных различают контроллера и обработчика данных, имеющих различные обязательства. Контроллер данных определяет цель и средства обработки персональных данных, а обработчик осуществляет процесс обработки от имени контроллера данных.

Перенос личных данных за пределы ЕС?

GDPR применяется к Европейской экономической зоне (EEA), которая включает все страны ЕС, а также Исландию, Лихтенштейн и Норвегию. Для экспорта данных за границу компании должны обеспечить наличие определенных гарантий. GDPR предлагает разнообразный инструментарий для передачи данных в третьи страны. Итак, такие переводы допускаются, если:

  • Защита данных в стране, в которую передаются данные соответствует требованиям ЕС; 
  • Ваша компания примет необходимые меры для обеспечения надлежащих гарантий, например, включит в договор с неевропейским импортером персональных данных специальные положения; или
  • Ваша компания получит согласие лица на передачу его данных. 

Брексит.

Право Союза перестанет применяться к Соединенному Королевству с 30-го марта 2019 года, 00:00 (CET) («дата выхода»). Тогда Соединенное Королевство станет «третьей страной». С учетом любого переходного соглашения, которое может быть заключено на момент Брексита, на дату выхода применяются правила ЕС по передаче персональных данных в третьи страны. 

Штрафы.

Неспособность соблюдать GDPR может привести к существенным штрафам - до 20-ти миллионов евро или 4% от общего оборота вашей компании. DPA может налагать дополнительные корректирующие меры, такие, как требование о прекращении обработки персональных данных. Вы также должны учитывать возможный репутационный ущерб, который может быть причинен вследствие нарушения законодательства.

Нарушения при обработке данных.

Нарушения при обработке могут привести к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к обрабатываемым персональным данным. Если это произойдет, организация, содержащая персональные данные, должна незамедлительно уведомить надзорный орган. Заинтересованные лица также должны быть проинформированы о нарушениях.

 

ООО Реалити

Следите за нами в Твиттер
RSS
Telegram

Другие новости Европейского Союза

20.02.2023 - Четыре страны пытаются ограничить программы для иммигрантов-инвесторов
08.11.2022 - ДОХОДЫ ОТ АРЕНДЫ ТЕПЕРЬ ЯВЛЯЮТСЯ ПРИОРИТЕТОМ ДЛЯ ПОКУПАТЕЛЕЙ ЗАРУБЕЖНОЙ НЕДВИЖИМОСТИ
12.04.2022 - Латвийская программа "ВНЖ за инвестиции" продолжит работу, но без россиян и белорусов
24.03.2022 - Испания прекращает принимать заявления на получение ВНЖ за инвестиции от россиян
24.03.2022 - ВНЖ Ирландии, на основании инвестирования теперь не доступен россиянам
02.03.2022 - Западные державы расправляются с «золотыми паспортами»
25.02.2022 - Европарламент призывает к отказу от «золотых виз»
14.02.2022 - В отчете Европарламента предлагаются новые правила для программ выдачи гражданства и ВНЖ за инвестиции
18.01.2022 - Опубликован Мировой индекс гражданства — инструмент, сравнивающий страны с точки зрения гражданина мира
23.12.2021 - Инвестиции шести европейских программам "золотых виз" превысили миллиард евро
Все новости