Банки и финансы
Адвокат Инна Соцки предупреждает, что молдавские компании могут быть оштрафованы в ЕС за несоблюдение законодательства о защите персональных данных № 8 (1222) 09 Мар. 2018 Dura lex sed lex

Деятельность компаний, которые не будут соблюдать законодательство о защите персональных данных, может быть приостановлена или на предприятие наложен штраф на сумму до 5 млн леев. Это одно из положений проекта закона об изменениях и дополнениях к закону №133 «О защите персональных данных».

Закон действует в Молдове с 2012 года. Он был разработан на базе одноименной европейской директивы 1995 года. Тема приобрела актуальность в связи с предлагаемым ужесточением санкций за его несоблюдение, и потому обсуждалась на семинаре, организованном компаниями Tx&A Co SRL и Mazars Romania, с участием АСАР и адвокатского бюро Hanganu Tănase & Partenerii. В нем приняли участие представители 45 отечественных компаний.

На семинаре, кроме отечественных налоговых и бухгалтерских нововведений, участники ознакомились с изменениями европейского законодательства в области защиты персональных данных. Речь идет о том, что в Евросоюзе актуализирован и принят регламент по внедрению вышеназванной директивы ЕС. Он начнет действовать в мае 2018 года. В силу европейских устремлений Молдовы, закон №133 также необходимо гармонизировать в соответствии с ним. Однако многие специалисты высказывают мнение, что проект изменений в него из-за нечеткости положений позволяет слишком широкое их толкование. А некоторые видят причину этого в простом желании наполнить казну.

Несмотря на то, что с момента вступления в силу закона о защите персональных данных прошло более пяти лет, некоторые компании не только не отвечают его требованиям, но и не знают о них, констатируют специалисты. Согласно этому документу, каждая компания, которая заключила хотя бы один индивидуальный трудовой договор и при начислении заработной платы обрабатывает персональные данные, должна зарегистрироваться в Центре по защите персональных данных. Если компания ведет документацию в бумажном варианте, то регистрируется шкаф, в котором хранится документация. При передаче данных по сделкам с международными компаниями центр просит предприятия представить сертификаты или иные доказательства того, что софты или информационные платформы, на которых будут храниться эти данные, могут гарантировать их сохранность.

Если компания не фигурирует в соответствующем реестре в качестве оператора, в случае подтверждения жалобы со стороны ее работника на недостаточную защищенность его персональных данных сейчас ей грозит приостановление деятельности на период до одного года или штраф в размере 300 у.е. Если поправки утвердит парламент, он будет выше.

Санкции могут быть увеличены и при незаконном использовании данных с камер видеонаблюдения, установленных на предприятии, или видеозаписей с их сайтов. Предприятие должно обязательно получить разрешение на подобную съемку в Центре по защите персональных данных, а также установить табличку с предупреждением о том, что ведется видеонаблюдение. Если эти требования не соблюдены, то специалист, ответственный на предприятии за защиту персональных данных работников, согласно проекту, заплатит от 90 у.е. до 180 у.е., а само предприятие – до 500 у.е.

Но даже если европейский регламент не будет внедрен у нас, на что уповают молдавские бизнесмены, с которыми мы общались, то он коснется предприятий, задействованных в совместной деятельности с европейскими партнерами. «Если наша компания при совершении трансграничной сделки нарушила на территории ЕС положения европейского регламента, она будет нести ответственность, в соответствии с законодательством ЕС, - говорит Инна Соцки, адвокат-партнер адвокатского бюро Hanganu Tănase & Partenerii. - А оно предполагает, что, в случае нарушения установленных правил защиты персональных данных, на компанию может быть наложен штраф в размере до 20 млн евро, или 4% от ее общей прибыли, либо приостановлена ее деятельность. Если предприятие не зарегистрировано на территории ЕС, то приостановление деятельности невозможно, но штрафы могут взиматься».

Она уточняет, что все зависит от того, как компании соблюдают правила, действующие на национальном уровне. Если предприятие получило авторизацию центра для передачи данных трансгранично, то у него не должно быть проблем с выполнением предписаний нового европейского регламента, так как центр тщательно анализирует документацию компании при ее регистрации и включении в регистр. По закону, он имеет право проверять ее в течение 45 дней, а при необходимости - еще 45 дней.

«С другой стороны, сейчас действуют множество магазинов онлайн, на сайтах которых есть опция о согласии на использование персональных данных клиентов, - дополняет коллегу ассоциированный адвокат бюро Hanganu Tănase & Partenerii Елена Мунтяну. - Центр такое согласие на базе клика без подписания соответствующего договора считает недостаточным для обеспечения их безопасности».

«Это новая сфера, поэтому в Молдове пока очень мало специалистов, и они очень «дорогие», а получить качественный консалтинг в госорганах сложно, - говорит Вера Бачу, директор аудиторской компании AtaConcult. - С другой стороны, штрафы и сегодня большие, а в предлагаемом проекте они ужесточаются. В то же время, и в действующем законодательстве о защите персональных данных есть недочеты. Оно требует использования специализированного сервера с защищенным доступом к нему, который должен находиться в специальном сейфе. Но технологии ушли вперед, и использование такого сервера - это вчерашний день. Сейчас многие предприятия пользуются облачными хранилищами данных на удаленных серверах, в связи с этим возникают дополнительные вопросы из-за законодательных пробелов в этой области».

 


 

По данным Центра защиты персональных данных, в 2017 году были идентифицированы 66 административных нарушений в сфере защиты персональных данных. В результате Центр принял 18 решений о приостановлении деятельности предприятий, 13 из которых - из-за взломов баз данных.

Автор: Татьяна ШИКИРЛИЙСКАЯ