курс цб на 23.09:
66.2497
78.0753
курс криптовалют:
6717 $
240.48 $
Архив / 2018 / ЖУРНАЛ ПЛАС №5 / 507 просмотров

Новые требования защиты персональных данных в ЕС

54

Развитие интернета и появление современных технологий, которые используют персональные данные в больших объемах, привели к необходимости усиления государственного контроля за обработкой персональных данных. 25 мая 2018 года в Европейском союзе вступил в силу новый регламент о защите персональных данных (General Data Protection Regulation), который предъявляет новые требования при сборе и обработке персональных данных.
Мария Баранчикова, партнер, юридическая фирма  Baranchikov IP & IT Attorneys, член  IT IP Law Group Europe (gdpr-expert.com)
Мария Баранчикова,
партнер, юридическая фирма Baranchikov IP & IT Attorneys, член IT IP Law Group Europe (gdpr-expert.com)

За последнее время были выявлены значительные по своему масштабу нарушения при использовании персональных данных. Новый регламент направлен на обеспечение высокого уровня защиты персональных данных, что, само собой разумеется, требует от компаний внедрения новых технических и организационных мер. GDPR призван гармонизировать действующие положения об обработке персональных данных между государствами – членами ЕС и обеспечить беспрекословное соответствие новому закону путем введения высоких штрафных санкций за нарушение.

В общем и целом понятно, что для соответствия GDPR компаниям, особенно тем, чей бизнес обрабатывает большие объемы персональных данных, придется провести тщательную работу, пересмотреть свои внутренние документы, договоры с подрядчиками, получить согласие физических лиц на обработку и принять необходимые изменения в политику конфиденциальности.

На кого распространяется GDPR

GDPR действует на территории Европейского союза, а также распространяется на любые другие компании за пределами ЕС при некоторых условиях. Экстерриториальность нового регламента выражается в том, что он является обязательным в отношении любых компаний (независимо от места нахождения или регистрации), которые затрагивают права и интересы граждан любых стран, включая Россию, которые находятся на территории ЕС.

Компаниям-нерезидентам, которые предлагают свои товары и услуги неопределенному кругу лиц, следует учитывать, что GDPR однозначно будет применяться, если компания осуществляет доставку товаров в ЕС или предоставляет услуги неопределенному кругу клиентов, если сайт компании переведен на любой европейский язык и при этом предлагает товары в европейской валюте, если сайт зарегистрирован на национальных доменах верхнего уровня стран ЕС.

Требования GDPR в отношении обработки персональных данных применяются не только к юридическим, но и к физическим лицам при осуществлении ими профессиональной, в том числе коммерческой, деятельности.

Отдельно стоит отметить, что GDPR призван регулировать деятельность компаний, которые осуществляют мониторинг поведенческой активности c последующим анализом и прогнозированием предпочтений субъектов персональных данных, находящихся на территории ЕС.


Как отмечает в своем исследовании компания InfoWatch, за нарушение порядка уведомления об инциденте, отсутствие сотрудника по защите данных, где это необходимо, незаконную обработку ПДн ребенка и др. предусмотрены меньшие, однако не менее существенные штрафы – 10 млн евро или 2% от общего годового оборота предприятия. На данный момент процедура наложения штрафов на неевропейские компании не регламентирована. Поэтому пока возможны два сценария наказания за нарушение правил обработки. Первый – запрет на обработку персональных данных субъектов, находящихся на территории ЕС, что сделает невозможной работу с европейскими клиентами. Второй – в случае если российская компания выступает в роли обработчика, за нарушения оштрафуют европейскую компанию-контролера, а она, в свою очередь, обработчика (в договорах, заключенных между компаниями, будут прописаны эти аспекты). В связи с этим компаниям, обрабатывающим персональные данные, стоит тщательно проверить, не нарушают ли они требования GDPR.


Как выполнять требования GDPR

Если GDPR распространяется на компанию, то следует принять ряд технических и организационных мер, которые условно можно разделить на следующие группы:

  • обеспечение прав субъектов персональных данных;
  • принятие и ведение документации;
  • уведомление надзорных органов ЕС об утечке персональных данных;
  • получение согласия субъектов персональных данных;
  • назначение должностных лиц в компании.

Права субъектов персональных данных. GDPR предусматривают следующие права граждан:

  • право на информирование, согласно которому компания обязуется сообщить физическим лицам цели обработки персональных данных, свои контактные данные, сроки обработки персональных данных, информацию о передаче персональных данных в другие страны (например, в целях хранения на внешних серверах) и др.;
  • право на удаление данных (так называемое право на забвение, или right to be forgotten), которое обязывает компании удалять личные данные субъекта по его запросу;
  • право на переносимость персональных данных, согласно которому субъекты имеют право получить копию своих персональных данных на машиночитаемом носителе и передать их другому контролеру персональных данных;
  • право на исправление своих персональных данных и отзыва своего согласия на обработку персональных данных, а также иные права.

Принятие и ведение документации. Для соответствия GDPR компаниям необходимо принять политику конфиденциальности (или внести соответствующие изменения в действующую политику) и довести ее до сведения пользователей, а также получить однозначное согласие пользователей на обработку персональных данных. К внутренней документации можно отнести учет (реестр) действий по обработке персональных данных и учет (реестр) нарушений в сфере персональных данных.

GDPR предъявляет высокие требования в отношении получения согласия физических лиц на обработку их данных

Уведомление надзорных органов ЕС. Компании обязуются уведомлять надзорные органы ЕС о любых утечках персональных данных в течение 72 часов после того, как компании стало известно о таком случае. Исключение составляют случаи, когда утечка персональных данных не приведет к риску для прав и свобод физического лица (речь идет, например, о физическом ущербе, дискриминации, хищении персональных данных, финансовых потерях, ущербе для репутации для физического лица).

Получение согласия субъектов персональных данных. GDPR предъявляет высокие требования в отношении получения согласия физических лиц на обработку их данных. Такое согласие должно быть получено посредством четкого утвердительного действия со стороны субъекта персональных данных путем письменного заявления. Примерами могут служить проставление галочки при посещении интернет-сайта, выбор технических настроек для информационных сообщений или иные активные действия пользователя, которые определенно означают согласие пользователя. Проставление галочки за пользователя, молчание или иное бездействие лица не являются согласием. Согласие на обработку данных детей должно быть дано их родителями или законными представителями.

55

Назначение должностных лиц. Если компания осуществляет масштабную обработку персональных данных субъектов, находящихся на территории ЕС, и такая обработка носит системный характер, то компания обязуется назначить своего представителя в ЕС. Представитель обязуется осуществлять взаимодействие с субъектами персональных данных и с надзорными органами ЕС, при этом физически находясь в ЕС. Вторая должность – ответственный за защиту данных (data protection officer), чья контактная информация должна быть доступна субъектам персональных данных. При этом ответственный за защиту данных может быть как сотрудником компании, так и сторонним лицом.

Штрафы

За нарушение отдельных положений GDPR предусмотрены штрафы – до 20 млн евро или до 4% от общего годового оборота компании за предыдущий финансовый год, в зависимости от того, какая сумма больше. Очевидно, что именно такие значительные суммы заставляют компании по всему миру пересматривать правила обработки персональных данных и внедрять новые технические, а также организационные меры.

Общие рекомендации

Прежде всего российские компании должны заранее проанализировать, распространяются ли на них требования GDPR, используя перечисленные выше параметры. При положительном ответе следует провести оценку документации и действий компании, выявить риски и принять соответствующие изменения. Рекомендуется проверить действующие договоры с подрядчиками и разграничить положения об ответственности при обработке персональных данных. Кроме того, для соответствия GDPR компании пересматривают действующую или принимают новую политику конфиденциальности, нанимают data protection officer и вносят необходимые изменения во внутреннюю документацию компании. Отдельное внимание необходимо уделить техническим средствам защиты персональных данных и проверить, как компания и ее сотрудники противодействуют утечке персональных данных. Компаниям необходимо проверить, есть ли согласие физических лиц на обработку их персональных данных и на получение информационных рассылок по электронной почте.


10 шагов для обеспечения соответствия GDPR от компании InfoWatch

Шаг 1 – провести аудит персональных данных (ПДн) и задокументировать весь процесс обработки ПДн. Аудит персональных данных является первым шагом для организации в выполнении обязательств по ведению учета обработки ПДн.

Полнота аудита персональных данных может отличаться в зависимости от организации, однако, по меньшей мере, аудит должен отвечать на следующие вопросы:

  • что именно является персональными данными в рамках GDPR;
  • какие персональные данные собираются и обрабатываются организацией;
  • где данные хранятся, включая сторонние системы, и где географически расположены серверы;
  • по какому пути проходят ПДн в процессе обработки: начиная со сбора и заканчивая их удалением, а также передаются ли третьим лицам;
  • какой срок и формат хранения данных, а также тип базы данных.

Шаг 2 – определить законные основания для обработки ПДн. После того как персональные данные выявлены, прокатегорированы и про-анализированы, необходимо выяснить еще один вопрос: для каких целей они обрабатываются? Статья 5 GDPR требует, чтобы обработка была «справедливой и законной» и цель сбора данных была четко определенной, прозрачной и легитимной. Включение данного пункта в процесс аудита ПДн значительно ускорит приведение к соответствию процессов обработки данных требованиям GDPR.

Шаг 3 – разработать политику по обработке и защите персональных данных. Политика обработки персональных данных – внутренний документ организации, устанавливающий основные принципы по обработке и защите персональных данных. Политика должна регулярно обновляться. Правки также необходимо вносить, когда в компании происходят изменения, которые могут затронуть обработку персональных данных.

Шаг 4 – назначить ответственных за защиту персональных данных. В организации должны быть назначены ответственные за защиту персональных данных. Кроме того, если в компании ведется регулярная и систематическая обработка персональных данных (к примеру, услуги сотовой связи или поведенческая реклама), а также обработка специальных категорий персональных данных (в первую очередь это медицинские и страховые организации), должно быть назначено лицо, ответственное за организацию обработки персональных данных (Data Protection Officer (DPO). Для государственных органов назначение DPO является обязательным. Для компаний, которые не располагаются на территории ЕС, существует требование по назначению представителя в одной из стран ЕС, где ведется обработка персональных данных. В случае инцидента, связанного с обработкой персональных данных, представитель действует от имени контролера или обработчика и полностью отвечает за нарушения перед надзорным органом.

Шаг 5 – провести оценку информационных рисков, в том числе оценку воздействия на защиту персональных данных (DPIA). Для эффективной защиты персональных данных организациям необходимо провести оценку рисков информационной безопасности. После того как риски обнаружены и задокументированы, организация должна приступить к реализации мер по их минимизации и устранению. Например, может быть принято решение не начинать деятельность, приводящую к рискам, или стараться избегать их. Однако компания может принять эти риски и организовать свою деятельность в соответствии с ними. При использовании новых технологий, а также если сфера применения и цели обработки ПДн могут привести к высокому риску для прав и свобод физических лиц, контролер должен проводить оценку воздействия этих факторов на защиту персональных данных.

Шаг 6 – обеспечить права субъектов данных. GDPR устанавливает ряд прав субъектов данных (право на получение, доступ, исправление, забвение, ограничение обработки информации и т. д.), уделяя особое внимание принципам прозрачности и подотчетности.  В отношении каждого из этих прав организации должны будут внедрить соответствующие процессы для управления запросами от физических лиц в указанные сроки. Возможно, компаниям потребуется провести системные изменения для реализации необходимых процедур.

Читайте в этом номере: