18 ноября Национальный центр защиты персональных данных в рамках проекта ЕС Twinning «Наращивание потенциала Национального центра защиты персональных данных» организовал учебные курсы на тему: «Требования и принципы защиты персональных данных посредством нового законопроекта о защите персональных данных в соответствии с положениями нового Регламента (ЕС) 2016/679 «Общие положения о защите данных (GDPR)» и Директивы 2016/630, применимой с 25 мая 2018 года.
Этот семинар был организован с целью ознакомления нотариусов с требованиями и принципами защиты персональных данных посредством нового законопроекта о защите персональных данных.
Законопроект заменяет Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46. / EC (Общее положение о защите данных) и Директивы (EU) 2016/680 Европейского парламента и Совета от 27 апреля 2016 года о защите отдельных лиц в отношении обработки персональных данных компетентными органами с целью предотвращения, обнаружения, расследования или уголовное преследования за преступления или исполнение наказаний, а также относительно свободного перемещения этих данных и отмены Рамочного решения Совета 2008/977 / JHA, опубликованного в Официальном журнале ЕС №. L 119 от 4 мая 2016 г.
Регламент 2016/679 Европейского парламента вводит ряд новых положений в отношении Директивы 95/46 / EC, в том числе:
— установление более строгих условий для получения согласия субъекта данных, в том числе в форме письменного заявления, а также установление права субъекта данных отозвать свое согласие в любое время;
— закрепление права субъекта данных на удаление данных (право быть забытым), а также права на переносимость данных от одного оператора к другому;
— обязанность оператора уведомлять надзорный орган в случае нарушения безопасности персональных данных и информировать субъекта данных об этом нарушении в течение не более 72 часов;
— введение более жестких санкций, особенно административных штрафов.
Директива (ЕС) 2016/680 Европейского парламента и Совета также содержит инновационные элементы, аналогичные положениям Регламента ЕС 2016/679, в отношении:
— автоматизации процесса принятия решений (статья 27 законопроекта о защите персональных данных);
— права на исправление и удаление персональных данных (ст. 27 законопроекта о защите персональных данных);
— назначение лица, уполномоченного оператором (ст.42 Законопроекта о защите персональных данных);
— введение процедуры оценки воздействия на защиту данных (ст. 40 законопроекта о защите персональных данных).
В проекте закона о защите персональных данных дается определение субъекта персональных данных как идентифицированного или идентифицируемого физического лица. Кроме того, прямо указано, что умерший не может быть субъектом данных. Юридическое лицо также не может быть субъектом персональных данных.
Эксперты проекта Twinning «Укрепление потенциала Национального центра защиты персональных данных Республики Молдова» заявили, что обработка персональных данных должна быть ограничена с целью сбора персональных данных.
Согласно ст. 5 п.(1) законопроекта, обработка является законной только в том случае, если применимо хотя бы одно из следующих условий:
а) субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
b) обработка необходима для исполнения договора, стороной которого является субъект данных, или для выполнения запросов по запросу субъекта данных до заключения договора.
в) обработка необходима для выполнения юридического обязательства оператора;
d) обработка необходима для защиты жизни, физической неприкосновенности или здоровья субъекта данных или другого физического лица;
e) обработка необходима для выполнения задачи, которая служит общественным интересам или которая является результатом осуществления полномочий государственного органа, в который инвестируется оператор;
f) обработка необходима для достижения законных интересов, преследуемых оператором или третьей стороной, если только не преобладают фундаментальные интересы или права и свободы субъекта данных, которые требуют защиты персональных данных, особенно когда субъект данных ребенок — данный пункт не применяется в случае обработки, осуществляемой государственными органами при исполнении своих обязанностей.
В большинстве случаев обработка личных данных нотариусами будет обоснована п. b) ч.1) ст. 5, а именно выполнение обязанности, возложенной на оператора в соответствии с законом, нотариус обрабатывает персональные данные заявителей нотариальных действий с целью выполнения предусмотренных законом задач, идентификации лица, проверки данных в государственных реестрах и т. д.
В соответствии с законопроектом о защите персональных данных оператор и уполномоченное им лицо назначают лиц, ответственных за защиту персональных данных. Однако, основываясь на ограниченных ресурсах нотариусов как операторов персональных данных, они могут самостоятельно выполнять функции ответственных за защиту персональных данных.
Отвечая на вопрос об обязательстве публиковать на веб-сайте Нотариальной палаты информацию об открытых наследственных производствах, которые содержат личные данные (особенно IDNP покойного), эксперты проекта Twinning отметили, что, выполнение задачи, служащей общественным интересам превыше, чем защита личных данных. В этом контексте публикация на веб-странице Нотариальной палаты данной информации не является нарушением законодательства о защите персональных данных, поскольку в этом случае интересы общества и наследников превыше интересов, связанных с интересами наследодателя, и обязанность опубликовать IDNP предусмотрена специальным законом.
Представители Центра защиты персональных данных обратили внимание на обязанность вести учет, при котором персональные данные обрабатываются владельцами персональных данных. Владельцы персональных данных должны соблюдать требования в отношении безопасности персональных данных при их обработке в информационных системах персональных данных, изложенные в Постановлении Правительства №. 1123 от 14.12.2010.
После вступления в силу законопроекта о защите персональных данных обязательство по предварительному уведомлению операторов персональных данных, включая нотариусов, в Центр защиты персональных данных будет заменено обязательством вести записи, касающиеся обработки личные данные. Эксперты в рамках проекта Twinning рекомендовали вести учет обработок по категориям документов.