Общий регламент ЕС по защите персональных данных

Джейн Финлейсон-Браун ( Jane Finlayson-Brown),
Ванне Пеммелаар (Wanne Pemmelaar)

После четырех с лишним лет обсуждения новая рамочная система защиты персональных данных в ЕС была принята 8 апреля 2016 года в форме регламента – Общего регламента по защите персональных данных, General Data Protection Regulation (GDPR)[1].
GDPR заменит действующую Директиву о защите персональных данных и будет непосредственно применяться во всех странах-участницах Евросоюза без необходимости в разработке имплементирующего национального законодатель­ства. Регламент будет введен в действие 25 мая 2018 года. Вместе с тем, Регламент будет иметь немедленный эффект, поскольку он содержит ряд весьма обременительных для организаций обя­зательств, реализация которых потребует времени.

Данное законодательство привлекло массу внимания уже начиная с 2012 года, когда соответствующая законодательная инициатива впервые была вынесена Еврокомиссией на обсуждение. Законо­проект даже влиял на решения, принимаемые Судом Евросоюза. Организации во всех странах ЕС и за его пределами испытывали все большие неудобства из-за прогрессирующей дисгармонии между законами стран-участниц Евросоюза по защите персональных данных, несмотря на растущие потоки данных через границы. GDPR хотели принять как можно быстрее, даже если это означало бы, что урегулирование некоторых деталей пришлось бы отложить на потом. И законодатели Евросоюза не стали тянуть время. Принятие GDPR знаменует собой новую веху в законодательстве ЕС о защите персональных данных.

Чтобы помочь организациям подготовиться к новому законодатель­ству, Рабочая группа Статьи 29 (WP29), состоящая из представителей органов по защите данных (далее Data Protection Authorities, DPA) стран-участниц ЕС, разрабатывает разъяснения по различным аспектам GDPR. Первые разъяснения об инспекторах защиты данных, принципе единого окна и новом праве портативности персональных данных были приняты 5 апреля 2017 года, и в течение 2017 года выйдет еще ряд разъ­яснений.

В настоящей статье мы осветим ряд значимых моментов GDPR.

«Теперь, с принятием GDPR, будущее защи­ты персональных данных в ЕС прояснилось и началась подготовка к внедрению нового регламента».

Дэвид Смит (David Smith), специальный консультант Allen & Overy

 

«…Значительный шаг по направлению к Единому цифровому рынку».

Андрус Ансип (Andrus Ansip), вице-президент Европейской Комиссии по Единому цифровому рынку

«Расширение территориального охвата GDPR обеспечит более сбалансированное взаимодействие между контролерами дан­ных в ЕС и за его пределами».

Найджел Паркер (Nigel Parker) – партнер, Allen & Overy

Что вам необходимо знать

РАСШИРЕНИЕ ТЕРРИТОРИАЛЬНОЙ ЮРИСДИКЦИИ

GDPR распространяется на организации[2] за пределами ЕС, чья дея­тельность по обработке персональных данных связана с предложением товаров и услуг (даже безвозмездным) субъектам данных в ЕС или с мониторингом их поведения на территории ЕС. Многим таким организа­циям потребуется назначить представителя в ЕС.

В преамбуле содержится ряд полезных разъяснений. «Предложение товаров и услуг» – это больше, чем просто доступ к веб-сайту или адресу электронной почты. Свидетельством такого предложения может быть использование языка или валюты, традиционно используемых в одной или нескольких странах-участницах ЕС, при наличии возможности заказывать товары/услуги в этой стране или странах и/или осуществлять мониторинг клиентов или пользова­телей на территории ЕС. «Мониторинг поведения» происходит, к примеру, при отслеживании поведения пользователей в Интернете с помощью методов, позволяющих профилирование пользователя с целью принятия решений о нем или прогнозирования его личных предпочтений и т.п.

На практике это означает, что компания за пределами ЕС, ориен­тированная на потребителей в странах ЕС, в будущем подпадет под действие GDPR. Сейчас это не так.

ОТЧЕТНОСТЬ И КОНСТРУКЦИОННО ЗАЛОЖЕННАЯ КОНФИДЕНЦИАЛЬНОСТЬ

GDPR налагает на контролеров данных очень обременительные обязанности.

В частности, они обязаны:

  • вести определенную документацию,
  • выполнять оценку воздействия обработки персональных данных на права субъектов данных для более рискованных видов обра­ботки (составление списков таких видов операций возлагается на DPA),
  • внедрить защиту данных на конструкционном уровне и по умол­чанию, например, используя подход минимизации данных.

ИНСПЕКТОРЫ ПО ЗАЩИТЕ ДАННЫХ

В определенных обстоятельствах обработчики и контролеры дан­ных будут обязаны назначить инспектора по защитe данных (Data Protection Officer, DPO) в рамках своей программы отчетности. Назначение инспектора обязательно в следующих случаях:

  • обработка данных осуществляется госорганом,
  • основная деятельность контролера или обработчика заключается в такой обработке, которая по своей сути, масштабу или целям требует крупномасштабного, регулярного и систематического мониторинга субъектов данных, или
  • основная деятельность организации заключается в крупномас­штабной обработке специальных категорий данных.

 

DPO должен обладать достаточной экспертной квалификацией, определяемой характером операций по обработкe данных, за кото­рые инспектор будет отвечать.

DPO может быть сотрудником организации или работать с ней по сервисному контракту. Группа организаций или определенные группы государственных учреждений могут назначить одного DPO (при условии его доступности для всех участников). Руководящие положения WP29, опубликованные в апреле 2017 года, разъясняют некоторые аспекты GDPR в отношении DPO, включая то, что DPO в принципе должен находиться на территории ЕС и быть непосред­ственно подчинен высшему уровню руководства организации.

РОЛЬ ОБРАБОТЧИКОВ ДАННЫХ

Одним из важнейших нововведений GDPR является то, что у об­работчиков данных впервые появились прямые обязанности. Сюда относятся следующие обязанности: вести письменный реестр операций по обработке персональных данных, выполненных от имени и по поручению каждого контролера; назначить, если требуется, инспектора по защите данных; назначить при определенных обсто­ятельствах представителя в ЕС (если у обработчика нет представи­тельства в ЕС); уведомлять контролера об обнаруженных утечках персональных данных без необоснованной задержки. Положения о трансграничной передаче данных также распространяются на об­работчиков, включая теперь формально признанные для обработ­чиков данных «Обязательные корпоративные правила» (Binding Corporate Rules, BCR).

Новый правовой статус обработчиков данных наверняка повлияет на то, как вопросы защиты данных будут отражаться в договорах поставки и других коммерческих соглашениях.

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОБРАБОТКУ

Согласие должно быть дано свободно, быть конкретным, информиро­ванным и однозначным. Запросы на получение согласия должны быть отделены от других условий, а также изложены четким и понятным языком.

Согласие на обработку персональных данных должно быть настолько же легко отозвать, как и предоставить. Для специальных категорий дан­ных согласие должно быть явно выраженным. Контролер данных обя­зан быть в состоянии предоставить доказательства получения согласия. Согласие, полученное в соответствии с текущим законодательством, может считаться действительным при условии, что оно отвечает новым требованиям.

Продолжается дискуссия о том, является ли согласие допустимым правовым основанием для обработки данных в случаях, когда между субъектом данных и контролером данных существует значительное неравенство. GDPR утверждает, что при оценке добровольности согла­сия необходимо учитывать, в частности, то, поставлено ли исполнение договора в зависимость от предоставления согласия субъектом на обра­ботку его данных, которые для исполнения этого договора не нужны. Данное требование может, в частности, повлиять на предоставление ус­луг электронной коммерции. Кроме того, страны-участницы ЕС вправе устанавливать дополнительные требования к использованию согласия в контексте трудовых отношений. Преамбула разъясняет, что согласие не считается добровольным, если субъект данных не имеет подлинного и свободного выбора либо возможности отказать в предоставлении со­гласия или отозвать согласие без ущерба для себя.

«Многие компании уже сейчас пересматри­вают свои процессы и процедуры, чтобы обеспечить соблюдение GDPR».

Найджел Паркер (Nigel Parker) – партнер, Allen & Overy

При обработке персональных данных в целях прямого маркетинга субъект данных имеет право заявить возражение против обра­ботки, и субъекта необходимо недвусмыслен­но поставить в известность о наличии такого права.

Другой темой, вызвавшей жаркие споры, стали требования к согласию родителей на оказание детям услуг информационного об­щества. Достигнутый компромисс (страны-у­частницы смогут снизить возраст ребенка, когда согласие родителей не требуется, с 16 до 13 лет) приведет к возникновению разнобоя в применимых требованиях, и компании, рабо­тающие сразу в нескольких странах Евросо­юза, скорее всего выберут самый высокий из стандартов. Однако в преамбуле сказано, что согласие родителей не требуется для оказания превентивных или консультационных услуг, предлагаемых непосредственно ребенку.

ИНФОРМАЦИЯ О ДОБРОСОВЕСТНОЙ ОБРАБОТКЕ ДАННЫХ

Контролеры данных по-прежнему обя­заны предоставлять субъектам данных прозрачную информацию об обработке, причем в момент сбора персональных дан­ных. Существующие формы уведомлений об обработке должны быть пересмотрены, поскольку требования GDPR гораздо более детализированы по сравнению с действу­ющей Директивой. Например, по новым правилам уведомление должно содержать более обширную информацию, а также ста­вить субъекта данных в известность о его правах (таких как право на отзыв согласия) и о сроке хранения данных.

Контролерам потребуется привести свои формы уведомлений в соответствие с новы­ми требованиями и представить информа­цию понятно и в легкодоступном формате.

УВЕДОМЛЕНИЯ ОБ УТЕЧКАХ ДАННЫХ

Контролеры данных обязаны сообщать DPA о большинстве утечек данных, без неоправданной задержки – по возможно­сти в течение 72 часов после обнаружения утечки. При несоблюдении этого срока тре­буется предоставить мотивированное обо­снование. В некоторых случаях контролер данных также обязан без неоправданной задержки уведомить об утечке субъектов данных.

Руководящие положения WP29 по уве­домлениям об утечках данных ожидаются во второй половине 2017 года.

На первый взгляд, эта норма обремени­тельна и для контролеров данных, и для DPA. Однако в ряде отраслей организа­ции уже обязаны сообщать об утечках дан­ных. Например, британское Управление по защите данных (UK ICO, Information Commissioner’s Office, прим. ред.) уже тре­бует организации уведомлять обо всех «се­рьезных» утечках.

Регламент также содержит пороговый уро­вень: уведомлять DPA не обязательно, если вероятность возникновения риска для прав и свобод граждан в результате утечки дан­ных невелика. Пороговым уровнем для уве­домления субъектов данных является нали­чие «высокого риска» для их прав и свобод. Хотя пороговые уровни смягчат нагрузку на организации, связанную с введением этого обязательства, все компании будут в любом случае обязаны внедрить внутренние про­цедуры реагирования на инциденты с пер­сональными данными.

ШТРАФЫ

GDPR устанавливает многоуровневые санк­ции за нарушения законодательства о за­щите данных, позволяющие DPA назначать штрафы за некоторые нарушения в размере, достигающем наибольшей из двух цифр: 4% годового мирового оборота организации или 20 миллионов евро (в частности, за нарушение требований к международной передаче дан­ных или основных принципов обработки, та­ких как условия для получения согласия). Дру­гие нарушения могут повлечь за собой штраф в размере 2% годового мирового оборота или 10 миллионов евро (опять же берется большая из двух цифр). Текст включает список обстоя­тельств, принимаемых во внимание при опре­делении размера штрафа (таких как характер, тяжесть и продолжительность нарушения).

Процентный штраф налагается на «пред­приятия» («undertakings»), причем в преам­булу в последний момент было добавлено разъяснение, что термин «предприятие» трак­туется в соответствии с положениями статей 101 и 102 Договора о функционировании Ев­ропейского Союза.

Высокие штрафы уже безусловно привлека­ют внимание высшего руководства организа­ций.

ПРИНЦИП ЕДИНОГО ОКНА

Механизм единого окна является одним из ключевых элементов GDPR. Ожидалось, что он позволит компаниям, действующим сразу в нескольких странах ЕС, подпадать под надзор только одного «ведущего DPA». Однако на деле механизм оказался гораздо сложнее, так как проводит различие между внутринациональ­ной и трансграничной обработкой данных.

Для ситуаций, подпадающих под принцип единого окна, вводятся сложные процедуры по координации и сотрудничеству между на­циональными DPA.

Чтобы позволить частным лицам обращать­ся за решением дел локально, GDPR содержит подробную систему сотрудничества между так называемым ведущим DPA и другими «компе­тентными DPA», которая позволяет адекватно разрешать местные и срочные дела. WP29 опу­бликовала разъяснения о том, как определить ведущее DPA. Как принцип одного окна будет работать на практике и не приведет ли он к практике поиска удобной юрисдикции, пока неизвестно.

ОТМЕНА УВЕДОМЛЕНИЙ DPA

Приятным изменением для контролеров данных стала отмена обязанности уведомлять DPA об обработке данных или получать разре­шения DPA. Цель этого изменения — снизить административную и финансовую нагрузку на контролеров данных, хотя в результате DPA некоторых стран будут вынуждены искать но­вые источники финансирования.

Вместо обязанности уведомлять DPA кон­тролеры данных теперь несут ответственность за операции по обработке персональных дан­ных. Например, контролеры данных обязаны внедрить эффективные процедуры и меха­низмы для более рискованных операций с данными (например, с использованием новых технологий) и провести оценку последствий обработки для защиты персональных данных («data protection impact assessment», PIA), что­бы определить вероятность и тяжесть рисков, особенно при крупномасштабной обработке. Усилия, которые для этого потребуются, и по­тенциальные штрафы за несоблюдение скорее всего перевесят преимущества, предоставлен­ные уменьшением административной нагруз­ки в связи с отменой уведомлений. Кроме того, вводится новое требование заблаговременно обращаться в DPA за консультацией в случае, если PIA выявит наличие высоких рисков для безопасности данных при их обработке в от­сутствие мер по снижению этих рисков. Если по мнению DPA обработка приведет к нару­шению GDPR, DPA может предоставить пись­менные рекомендации, а при необходимости и использовать правоприменительные пол­номочия. Требование о консультации с DPA создает неопределенность для контролеров, так как они должны будут оценить результаты PIA и принять решение, обращаться ли за кон­сультацией.

НОВЫЙ ЕВРОПЕЙСКИЙ СОВЕТ ПО ЗАЩИТЕ ДАННЫХ

Независимый Европейский совет по защи­те данных (European Data Protection Board, EDPB) заменит WP29. Он будет состоять из руководителя Европейской службы по защите данных и старших представителей националь­ных DPA Евросоюза. Роль Совета заключается в публикации заключений и руководящих по­ложений, обеспечении единообразного при­менения GDPR и отчетности перед Евроко­миссией. Также Совет играет ключевую роль в механизме единого окна.

ОБЯЗАТЕЛЬНЫЕ КОРПОРАТИВНЫЕ ПРАВИЛА (BCR)

GDPR прямо признает обязательные корпо­ративные правила («binding corporate rules», BCR) для контролеров и обработчиков как способ для законной трансграничной пере­дачи данных в рамках одной корпоративной группы. BCR должны быть юридически обя­зательны для всех членов группы, осущест­вляющих совместную экономическую дея­тельность, распространяться на всех членов группы и применяться каждым членом груп­пы, включая их сотрудников. BCR должны непосредственно наделять субъектов данных юридически закрепленными правами. Поло­жения GDPR включают четкий перечень тре­бований к BCR.

Многие считают BCR «золотым стандар­том», и в дальнейшем они, вероятно, приобре­тут все большую популярность для передачи данных в рамках корпоративной группы.

МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ

Тех, кто надеялся на полный пересмотр этой области, ждет разочарование, поскольку GDPR содержит практически тот же самый ин­струментарий. Трансграничная передача дан­ных будет облегчена благодаря отмене требо­ваний по предварительному одобрению DPA операций по передаче данных, основанных на признанных механизмах по обеспечению адекватной защиты прав субъектов данных, например, типовых контрактах, одобренных Еврокомиссией или DPA. С другой стороны, GDPR отменит такое удобное основание для передачи данных как самостоятельная оценка организацией, ныне используемое как отдель­ное основание для передачи данных только в нескольких странах Евросоюза и которым, очевидно, пожертвовали в целях унификации.

Также дополнены положения о согласи субъекта: экспортеры данных, полагающиеся на согласие для передачи данных за пределы ЕС, должны будут внимательно следить за тем, чтобы субъекты данных были надлежащим образом поставлены в известность о рисках такой передачи.

В качестве новой дерогации добавлена кон­цепция законных интересов, но сфера ее при­менения невелика. Она может использоваться там, где международная передача является разовой, касается только нескольких субъек­тов данных, необходима для осуществления веских законных интересов (не перекрытых правами субъекта данных) и только если кон­тролер оценил все обстоятельства и применил необходимые меры защиты. Также при этом требуется проинформировать DPA. Трудно представить себе практическую пользу этой дерогации. К облегчению многих, полный за­прет на передачу данных иностранным госор­ганам без разрешения DPA не дожил до окон­чательной редакции.

ПРАВА СУБЪЕКТОВ ДАННЫХ

Одной из главных целей Европейской Ко­миссии при разработке новой рамочной системы защиты данных было повышениe защиты прав граждан. Этот мотив четко про­слеживается в усилении прав субъектов дан­ных. В частности, это право лица требовать информации об обработке его персональных данных, право доступа к данным при опреде­ленных обстоятельствах и право исправления неправильных данных. Также имеется право ограничить определенную обработку и право возражать против обработки своих персональ­ных данных для целей прямого маркетинга.

Граждане могут также потребовать возврата своих персональных данных в структуриро­ванном виде и распространенном формате для облегчения их передачи другому контролеру (так называемая портативность данных). В не­давней инструкции WP29 разъяснено, как сле­дует толковать и реализовать это право. Ин­струкция указывает, что контролеры данных, передающие обработку данных на аутсорсинг или осуществляющие ее совместно с други­ми контролерами, должны четко оговорить в контрактах обязанности каждой из сторон при реагировании на запросы лиц о переносе их данных, а также обязаны внедрить соответ­ствующие процедуры.

Огромную известность, особенно после решения Европейского суда по иску Google против Испании, стало так называемое право на забвение, или право на удаление данных. В определенных ситуациях, таких как отзыв согласия, при отсутствии других законных ос­нований для обработки, субъект данных мо­жет потребовать от контролера немедленно удалить свои персональные данные. Также предусмотрена обязанность принять разум­ные меры к информированию третьих сторон о том, что субъект данных потребовал удале­ния любых ссылок на такие данные и любых их копий. На практике это будет часто трудно­осуществимо.

Отметим, что контролер данных обязан реа­гировать на такие информационные запросы в течение месяца, с возможностью продлить этот срок для особо сложных запросов. Кон­тролерам данных потребуется внедрить четкие процедуры для выполнения этих обязательств.

Информация должна предоставляться бес­платно, за исключением случаев, когда запрос является «явно необоснованным или чрезмер­ным».

Что дальше?

Регламент 2016/679 вступил в силу 25 мая 2016 года и будет введен в действие 25 мая 2018 года. С этого момента текущая Директива 95/46/EC потеряет силу. Сей­час, когда компании начали процесс пере­хода к новым требованиям, страны Евро­союза оценивают влияние регламента на национальное законодательство о защите данных.

«Уровень риска, связанный с GDPR, поставил вопросы защиты данных на повестку советов директоров».

Джейн Финлесон-Браун (Jane Finlayson-Brown) – партнер, Allen & Overy

Хотя GDPR будет непосредственно при­меняться в странах-участницах Евросою­за, национальные законы потребуется мо­дифицировать для урегулирования таких аспектов, как позиция DPA, отраслевые положения, переходные нормы, или для принятия дополнительных положений в ситуациях, предусмотренных GDPR.

Первые национальные законопроекты уже опубликованы, например, в Герма­нии, Нидерландах и Польше.

МНОГИЕ КОМПАНИИ СЕЙЧАС ЗАДАЮТСЯ СЛЕДУЮЩИМИ ВОПРОСАМИ:

Какие новые обязанности по GDPR примени­мы к их организации?

Каковы различия между существующими требованиями и новыми стандартами?

Какие изменения нужно осуществить для выполнения требований GDPR, в какой срок, в каком порядке и с какими затратами?

Восемь шагов по подготовке

1. Подготовьтесь к утечкам данных

Внедрите четкие политики и отработанные процедуры для обеспечения того, чтобы вы могли быстро отреагировать на любую утечку данных и при необходимости своевременно оповестить о ней.

2. Создайте систему отчетности

Если требуется назначить инспектора по защите данных, сделайте это. Разработайте четкие документы, определяющие политику организации в отношении обработки персо­нальных данных и демонстрирующие соот­ветствие требуемым стандартам. Создайте культуру мониторинга, пересмотра и оценки операций по обработке данных, направлен­ную на минимизацию объема обработки и хранения данных и оснащенную защитными механизмами. Проверьте, что ваш персонал обучен и понимает свои обязанности. Также потребуется провести оценку рисков конфи­денциальности с возможностью аудита, чтобы выявить все рискованные операции по обра­ботке данных и принять меры к устранению конкретных проблем.

3. Внедрите защиту данных на конструкционном уровне

Конфиденциальность частной жизни должна быть заложена в любой новый про­дукт или операцию по обработке с самого начала. О ней необходимо думать сразу, чтобы обеспечить структурированную оцен­ку и систематическую проверку. Внедрение конфиденциальности на конструкционном уровне поможет и продемонстрировать вы­полнение требований закона, и предоставит компании конкурентные преимущества.

4. Проанализируйте, на каких правовых основах вы используете персональные данные

Пересмотрите ваши операции по обработ­ке данных. Полагаетесь ли вы, например, на согласие субъектов данных или же можете продемонстрировать наличие законного интереса в обработке данных, не перекры­ваемого интересами субъекта данных? Ком­пании часто считают, что для обработки дан­ных им необходимо согласие субъектов. Но согласие — лишь один из множества способов обеспечить законность обработки, причем не всегда лучший (поскольку согласие мож­но отозвать). Если вы полагаетесь на согла­сие субъектов данных, проверьте, адекватны ли ваши документы и формы на получение согласия и является ли согласие доброволь­ным, конкретным и информированным. Бремя доказательств ляжет на вас.

5. Проверьте ваши уведомления о защите данных и политики конфиденциальности

GDPR требует, чтобы предоставляемая ин­формация была изложена четко и простым языком. Ваши политики должны быть про­зрачными и легкодоступными.

6. Помните о правах субъектов данных

Будьте готовы к тому, что субъекты дан­ных станут пользоваться своими правами по GDPR, в том числе правом портативности данных и правом на забвение. Если вы хра­ните персональные данные, проверьте за­конность оснований для их хранения – имен­но на вас ложится бремя доказательства того, что ваши законные основания перекрывают интересы субъектов данных. Также будьте готовы к встрече с гражданами, имеющими крайне завышенное представление о своих правах.

7. Если вы поставщик, проверьте, не появились ли у вас новые обязанности обработчика

GDPR налагает на обработчиков прямые обязанности, которые вы должны понять и учесть в своих политиках, процедурах и кон­трактах. Также вероятно, что ваши заказчи­ки потребуют от ваших услуг соответствия ужесточенным требованиям нового Регла­мента. Проверьте, адекватна ли ваша дого­ворная документация, а для действующих контрактов – кто несет расходы по внесению необходимых изменений в оказание услуг в связи с изменением законодательства. Если услуги по обработке данных вам оказывает третья сторона, очень важно определить и документально закрепить обязанности сто­рон.

8. Трансграничная передача данных

При любой международной передаче дан­ных, в том числе в рамках корпоративной группы, важно иметь законные основания для передачи персональных данных в юрис­дикции, не обеспечивающие адекватный уровень защиты данных. Эта проблема не нова, но теперь, когда вам грозит штраф в размере 4% годового мирового оборота или 20 миллионов евро, последствия несоблю­дения требований закона могут быть очень серьезными. Возможно, вам имеет смысл подумать о разработке обязательных корпо­ративных правил для облегчения передачи данных внутри группы.

Примечания:

[1] В контексте GDRP под защитой данных подразумевается защита персональных данных граждан. Далее в статье при исполь­зовании «защита данных» мы будем под­разумевать защиту персональных данных (прим. ред.)

[2] Европейское законодательство по защите персональных данных определяет двух основных субъектов – «контролеров» и «обработчиков»:

«Контролер» означает физическое или юридическое лицо, официальный ор­ган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; в случае, когда цели или средства обработки определяются на­циональным законодательством или зако­нами, или нормами Сообщества, контролер или особые критерии его назначения могут устанавливаться национальным законом или законом Сообщества.

«Обработчик» означает физическое или юридическое лицо, официальный орган, агентство или иной орган, который обраба­тывает персональные данные по поруче­нию контролера. (прим. ред.)

Источник: The EU General Data Protection Regulation, allenovery.com, (версия от 16.05.2017)
Контакты:
Антон Коннов, партнер, +7 495 725 7919
Игорь Горчаков, партнер, +7 495 662 6547
Jane Finlayson-Brown, +44 7767 674 407, (London office), jane.finlayson-brown@allenovery.com
Wanne Pemmelaar, +31 622 796 799, (Amsterdam office), wanne.pemmelaar@allenovery.com

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •