Автор: Анастасия Заведенская, помощник аналитика ООО «Аналитический центр УЦСБ» Рецензенты: Екатерина Рублева и Константин Саматов, руководители направлений Аналитического центра ООО «УЦСБ» Компания, обрабатывающая персональные данные, считается их оператором.
Скорее всего, эта компания знает о Федеральном законе от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных» и его требованиях.
Что делать, если компания имеет клиентов в Европейском Союзе или хочет их привлечь? Или в Интернете просто есть сайт с формами для заполнения пользователем? Тогда вам нужно понять, что такое GDPR и его сфера применения.
Еще в 1995 году страны ЕС приняли Директиву № 95/46/EC о защите прав физических лиц при обработке персональных данных.
Но все меняется, и 25 мая 2018 года его заменил Общий регламент по защите данных, принятый Европейским парламентом в апреле 2016 года, сокращенно называемый просто GDPR. Применение GDPR будет одобрено еще в трех странах Европейской ассоциации свободной торговли (ЕАСТ), точнее в Исландии, Лихтенштейне, Норвегии, которые не являются членами ЕС.
На сайте ЕАСТ в статье «Включение GDPR в Соглашение о ЕЭЗ и дальнейшее применение Директивы 95/46/EC» говорится, что ожидается принятие GDPR Объединенным комитетом ЕЭЗ (Joint Committee) и ее вступление в силу в государствах ЕЭЗ ЕАСТ в середине июля 2018 года.
До тех пор Директива о защите данных № 95/46/EC остается применимой к Соглашению ЕЭЗ, тем самым гарантируя возможность беспрепятственного потока данных между государствами ЕЭЗ ЕАСТ и ЕС.
Государства-члены.
На кого распространяется GDPR?
Во-первых, нужно понять, кому необходимо соблюдать требования GDPR, а кому не подпадают под его требования.
Рисунок 1 – Алгоритм определения сферы действия GDPR
Судя по тексту документа, его требования распространяются не только на европейские организации, но и на любые компании, работающие с персональными данными граждан ЕС или лиц, находящихся на территории ЕС (см.
рис.
1).
При этом местонахождение самой компании не имеет значения.
Итак, если компания зарегистрирована в ЕС или, например, в упомянутых ранее Исландии, Лихтенштейне, Норвегии, то, вне зависимости от места самого процесса обработки, это явно GDPR. Чтобы понять, предоставляет ли организация услуги или товары лицам, находящимся в ЕС, достаточно даже ее намерения предложить услуги/товары.
Согласно GDPR, намерение становится очевидным, если на сайте компании предусмотрено использование национального языка и валюты государства-члена ЕС и возможен заказ на этом языке.
Или есть ссылки на потребителей или пользователей, которые находятся в Европейском Союзе.
Хотя, даже если сайт полностью на русском языке, и его доступность для граждан ЕС сама по себе не свидетельствует о намерениях, нельзя быть на сто процентов уверенным, что никто в Евросоюзе не будет пользоваться его услугами.
Поэтому рекомендуется в любом случае соблюдать требования GDPR. Еще одна интересная и актуальная концепция в контексте GDPR — мониторинг.
Мониторинг в GDPR означает отслеживание физических лиц в Интернете с дальнейшим использованием или потенциальным использованием различных технологий обработки персональных данных для анализа или прогнозирования предпочтений, личностных характеристик и поведенческих особенностей.
То есть, если компания предпринимает какие-либо действия по изучению поведения лиц, находящихся на территории ЕС, в целях маркетинга, для ведения статистики и т. д. – это мониторинг.
Например, на сайте организации установлены Яндекс Метрика, Google Analytics и т. д., а значит, необходимо применять GDPR. Потому что, как уже говорилось, нет никакой гарантии, что человек из ЕС не посетит сайт, где используются эти сервисы.
Важно знать, что организация обязана назначить представителя в ЕС при выполнении хотя бы одного из следующих условий: обработка происходит непрерывно; специальные категории персональных данных обрабатываются в больших масштабах; обрабатываются персональные данные, связанные с уголовными судимостями или преступлениями; существует высокий риск нарушения прав и свобод человека.
В GDPR специальные категории персональных данных определяются аналогично российскому законодательству.
За исключением того, что данные об уголовных судимостях и правонарушениях выдаются отдельно с обязанностью контролировать их обработку официальным органом или в случаях, разрешенных государственным законодательством.
Представителем может быть физическое или юридическое лицо, специально уполномоченное на основании соответствующих документов.
Представитель должен находиться в стране ЕС, в которой находятся субъекты данных.
Его задача от имени компании — взаимодействовать с властями и гражданами ЕС, выполнять указания компании.
Он также привлечен к ответственности за нарушения.
Например, российская компания, не имеющая дочерних предприятий в Финляндии, постоянно оказывает свои услуги своим гражданам.
Это означает, что компания обязана назначить представителя, официально находящегося в Финляндии.
Если есть дочернее предприятие, то оно может быть назначено представителем.
Получается, что Общий регламент по защите данных имеет достаточно широкую сферу применения и, если с компаниями ЕС все вполне логично, то и другие страны «попали под удар».
Становится понятно, что российские организации, клиентоориентированные по отношению к Европейскому Союзу, также должны соблюдать требования GDPR. Допустим, у небольшой российской компании есть интернет-магазин, и ее товар покупает гражданин Латвии.
Это означает, что на этот интернет-магазин распространяются требования GDPR, поскольку он будет обрабатывать персональные данные гражданина ЕС.
Если сайт этой компании изначально имеет англоязычную версию и устанавливает цены в валюте страны пользователя, то он также попадает под действие GDPR. И в любом случае, если компания не работает лично с каждым клиентом, невозможно точно узнать, откуда клиент. Это значит, что даже полностью российский сайт небольшой компании необходимо подготовить под требования GDPR.
Список компаний, на которые распространяется GDPR, можно продолжать долго, но пока правоприменительной практики нет, по мнению автора, необходимо проанализировать, на кого направлены действия компании и с кем она взаимодействует.
Какие роли предлагает GDPR?
Как и любые процессы, обработка данных имеет две стороны – ту, чьи данные обрабатываются, т.е.субъект персональных данных, и ту, кто эти данные обрабатывает. Давайте подробнее рассмотрим последнее.
GDPR вводит понятия контролера и процессора данных.
Давайте разберемся в этих терминах на основе GDPR и пояснений, представленных на веб-сайте Европейской комиссии.
Контроллером, согласно пункту (7) статьи 4 GDPR, является физическое или юридическое лицо различных органов и агентств, которое определяет, с какой целью и какими средствами обрабатываются данные.
Вся ответственность за выполнение требований по обработке и защите персональных данных лежит на контролере.
Контролер должен иметь возможность подтвердить соблюдение требований.
Получается, что если компания решает «почемуЭ» И какЭ» обрабатываются персональные данные, он является контролером данных.
Сотрудники компании, участвующие в обработке, выступают в качестве контролеров данных.
Если компания вместе с одной или несколькими организациями совместно определяет вопрос «почемуЭ» И какЭ» обрабатываются персональные данные, его можно назвать совместным контролером.
Совместные контролеры заключают соглашение, в котором излагаются их обязанности по соблюдению GDPR. Основные аспекты этого соглашения должны быть доведены до сведения лиц, чьи данные обрабатываются.
Обработчиком (обработчиком) согласно пункту (8) статьи 4 GDPR являются физические или юридические лица, различные органы и учреждения, которые обрабатывают персональные данные от имени контролера.
Получается, что обработчик имеет право обрабатывать персональные данные только от имени контролера.
Например, обработчиком данных может быть сторонняя компания, нанятая для обработки данных.
Организация может быть контролером данных или обработчиком данных, или и тем, и другим.
В Федеральном законе от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных» существует понятие оператора, который аналогичен контролеру, а обработчик — лицу, осуществляющему обработку персональных данных по поручению оператор.
GDPR и № 152-ФЗ «О персональных данных».
Общее и различия В любом нормативном документе используются свои дефиниционные нормы, давайте их рассмотрим и сравним.
Персональными данными, согласно статье 3 Федерального закона «О персональных данных», является любая информация, которая прямо или косвенно позволяет идентифицировать физическое лицо.
Статья 4(1) GDPR содержит аналогичное определение, за исключением того, что слово «идентифицировать» заменяется на «идентифицировать».
Условия схожи, но GDPR более конкретен в отношении информации, касающейся персональных данных.
Откуда мы узнаем, что информация, позволяющая нам определить личность субъекта данных, является персональными данными.
Неважно, смогут ли они напрямую идентифицировать предмет или нужны специальные инструменты или программы.
GDPR содержит следующий перечень персональных данных: Имя; Идентификационный номер; Данные о местоположении; Онлайн-идентификатор; Комбинация идентификаторов/индикаторов.
Сложнее всего обстоят дела с онлайн-идентификаторами.
К ним могут относиться IP-адреса, файлы cookie и т. д. IP-адрес, например, может вести к конкретному человеку, который выходит в Интернет, а может просто показывать точку доступа к сети, т. е.
в некоторых случаях он может использоваться для идентификации человека.
только в сочетании с другими данными.
Вопрос о том, считается ли IP-адрес личными данными, является спорным и зависит от контекста ситуации.
Но поскольку GDPR фокусируется на онлайн-идентификаторах, рекомендуется защищать и их.
Принципы и условия обработки изложены в статьях 5, 6 Федерального закона «О персональных данных» и статьях 5,6 GDPR. Закон РФ «О персональных данных» содержит 7 принципов обработки, а GDPR — 6. Все принципы сопоставимы, за исключением того, что российское законодательство уточняет запрет на объединение баз данных, созданных для несовместимых целей.
Важным дополнением к принципам GDPR является принцип прозрачности/прозрачности.
А именно, любая информация и сообщения, связанные с обработкой персональных данных, были легко доступны субъекту и понятны для его понимания, то есть использовался ясный и простой язык.
Кроме того, GDPR определяет безопасность персональных данных как принцип [стр.
(е), ст. 5, GDPR], но у нас это скорее преподносится как обязанность.
Условия, при которых обработка является законной, также сопоставимы.
В то же время GDPR позволяет штатам вводить свои собственные требования к обработке.
Статья 9 Федерального закона «О персональных данных» и статья 7 GDPR описывают согласие субъекта на обработку персональных данных.
Оба документа говорят о специфике, осознанности и сознательности.
Важно отметить, что GDPR требует, чтобы согласие было написано на понятном и легкодоступном языке.
Согласие на обработку данных должно быть дано отдельно от других условий и соглашений.
Оно должно включать все цели обработки.
Процесс отзыва согласия должен быть таким же простым, как и его получение: это все равно, что поставить и снять флажок.
Получается, что согласие должно быть не двусмысленным, а четким – «Я согласен…».
Он должен включать список конкретных целей обработки.
Вы также не можете использовать, например, флажки с установленным по умолчанию согласием.
Это противоречит свободе согласия.
И оператору всегда нужно быть готовым подтвердить, что субъект дал свое согласие.
Одним из основных отличий GDPR является то, что он устанавливает специальные правила для предоставления согласия на предоставление услуг информационного общества несовершеннолетним.
Если к обработке персональных данных привлечен ребенок старше 16 лет, то это законно.
Для детей до 16 лет согласие должно дать лицо, осуществляющее функции родителя или опекуна.
Оба рассматриваемых документа довольно подробно описывают права субъекта данных.
В обоих случаях люди могут получить свои данные и информацию о том, как они обрабатываются, а также исправить или удалить информацию о себе.
Главное, что согласно Федеральному закону «О персональных данных», субъект может получить информацию об обработке персональных данных при сборе данных по его запросу.
А согласно GDPR, организация обязана предоставить всю информацию об обработке в момент получения персональных данных.
GDPR описывает удаление и изменение информации как право субъекта, а российское законодательство – как обязанность оператора.
Субъект персональных данных всегда может отозвать свое согласие на обработку и потребовать удаления относящихся к нему данных.
Еще одно важное отличие GDPR заключается в том, что он предоставляет отдельное право на переносимость ваших данных.
Компания, действующая в соответствии с GDPR, должна понимать, что когда субъект запрашивает ранее предоставленную информацию, он обязан предоставить ее беспрепятственно.
GDPR ясно дает понять, что эти данные должны быть структурированы и представлены в машиночитаемом формате.
Также по желанию пользователя организация должна передать его данные любой другой организации.
Все это является новым для требований законодательства.
В GDPR есть отдельный раздел, посвященный ответственному за защиту данных.
Эта роль аналогична лицу, назначенному ответственным за организацию обработки персональных данных согласно российскому законодательству.
Согласно GDPR, если организация осуществляет постоянный мониторинг субъектов или обрабатывает специальные категории в больших масштабах, то она обязана назначить ответственного за защиту данных.
В противном случае назначение производится по усмотрению организации или на основании законов ее государства.
Согласно Федеральному закону «О персональных данных», оператор в любом случае обязан назначить лицо, ответственное за организацию обработки данных.
Федеральный закон «О персональных данных» при перечислении мер безопасности упоминает об учете деятельности, связанной с обработкой персональных данных.
В свою очередь, GDPR также обязывает вести такой учет в документированной форме, в том числе в электронной.
Обязательство не распространяется на организации со штатом менее 250 сотрудников, за исключением случаев, когда они обрабатывают на постоянной основе или обрабатывают специальные категории или данные об уголовных судимостях и правонарушениях в крупном масштабе.
По мнению автора, такие записи желательно вести в любом случае.
Если контролером является компания, отчетность должна содержать: данные контролера, его представителя и ответственного за защиту данных (при наличии); цели обработки; информация о субъектах данных и категориях обрабатываемых персональных данных; сведения об иных получателях персональных данных; сроки удаления данных, если это возможно; описание мер безопасности, если возможно.
Если компания является переработчиком, бухгалтерский учет должен содержать: данные обработчика, контролера и, если возможно, его представителя и ответственного за защиту данных; обработка информации; сведения об иных получателях персональных данных; сроки удаления данных, если это возможно; описание мер безопасности, если возможно.
Организация должна быть готова предоставить эту информацию надзорному органу в любое время.
Что такое сами персональные данные, тогда «какЭ», «зачемЭ» и для чегоЭ» они обрабатываются, какие меры принимаются для защиты информации, что может делать субъект и что обязан делать оператор – эти ключевые моменты схожи в ФЗ «О персональных данных» и GDPR. Но что делать, если нежелательная утечка данных все-таки произошла, конкретно указано только в GDPR. Итак, если компания все-таки сливает персональные данные, то она обязана как можно скорее сообщить об этом надзорному органу и самому пострадавшему субъекту.
В противном случае на компанию будет наложен штраф.
Согласно GDPR, в каждой стране соответствующим регламентом назначается надзорный орган.
Руководители этих надзорных органов образуют Европейский совет по защите данных.
И самое интересное: для усиления обязательности соблюдения правил GDPR вводит штрафы за любые нарушения.
Штрафы доходят до 20 млн евро или 4% от оборота денежных средств компании (в зависимости от того, какая сумма окажется наибольшей).
Но на самом деле все не так страшно.
В случаях незначительного нарушения может быть объявлен простой выговор.
К нематериальным санкциям может также относиться запрет надзорного органа на обработку персональных данных (или их передачу контрагенту) до устранения нарушений.
Штраф, прежде всего, должен иметь убеждающий эффект, а значит, может варьироваться в широких пределах в пределах установленной суммы.
Размер штрафа устанавливается в зависимости от особенностей самого нарушения: характер, тяжесть и продолжительность нарушения; умышленно или по неосторожности совершил нарушение; меры по уменьшению ущерба; использованные меры защиты; прошлые нарушения; категории персональных данных, затронутых нарушением; как стало известно о нарушении; другие отягчающие и смягчающие обстоятельства.
То есть, например, ранее рассмотренное уведомление об утечке является важным фактором для смягчения наказания.
Давайте подведем итоги
Общий регламент по защите данных — это новый большой документ с длинной преамбулой и 99 статьями, которые каждый может интерпретировать по-своему.Но если компания не хочет столкнуться с многомиллионным штрафом, ей необходимо соблюдать требования GDPR и, конечно же, не забывать о Федеральном законе «О персональных данных» и подзаконных актах к нему.
Если вы российская компания, сначала вам необходимо определить, попадает ли сфера деятельности организации в сферу действия GDPR. Если да, то первоочередными действиями, которые необходимо предпринять для соответствия новым требованиям, будут следующие: Определите, нужен ли представитель в ЕС.
Назначьте его при необходимости.
Проверить доступность субъектам информации о процессе обработки (цели, сроки хранения, сведения о правах субъекта данных и т.п.
), а также наличие построенных и документированных процессов реагирования на запросы субъектов персональных данных.
Проверьте согласие на обработку персональных данных на соответствие требованиям GDPR. Оно должно быть написано понятным языком, конкретным, содержать все цели обработки и быть отдельным от других условий/соглашений.
Согласие дается на основании активных действий, а не «по умолчанию» или бездействия.
При необходимости обновите его.
Проверить обрабатываемые персональные данные на соответствие указанным целям обработки.
Вести учет всех действий, связанных с обработкой персональных данных.
Провести оценку воздействия на защиту Данных, т.е.
определить степень важности каждого конкретного бизнес-процесса, связанного с обработкой персональных данных, путем оценки ущерба, причиненного в период сбоя.
Проверьте меры безопасности на предмет соответствия требованиям GDPR. При необходимости улучшите их.
Внедрить установленные и задокументированные процессы информирования об инцидентах в надзорный орган, желательно в течение 72 часов с момента обнаружения.
Включите в уведомления информацию о характере утечки, информацию для обратной связи, возможных последствиях и мерах по устранению утечки.
Если есть возможность, в разумный срок сообщить субъекту персональных данных, если существует угроза его правам и свободам и данные не зашифрованы.
Будьте готовы предоставить доказательства законности деятельности по обработке ПДн.
Теги: #GDPR #операторы персональных данных #И ПР
-
Заметки Компьютерщика. Zsh Оболочка
19 Oct, 24 -
5 Приемов Написания Игры
19 Oct, 24 -
Https В Браузере Xpress
19 Oct, 24
