какие условия обработки персональных данных обязаны обеспечить государства участники ес

GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка

В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.

Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.

Кто в зоне действия GDPR?

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.

Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:
Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.

Должна ли такая организация соблюдать GDPR?
Да.

Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что:

— услуги/товары адаптированы на местные языки жителей ЕС;
— услуги/товары оплачиваются в местных валютах ЕС;
— услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.

Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.

Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).

Мониторинг может включать:

— отслеживание резидента ЕС в интернете;
— использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.

Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.

Что подразумевается под персональными данным в GDPR?

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.

Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).

6 принципов обработки данных по GDPR

Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:

1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Ключевые требования

Уведомление о случаях нарушения GDPR
Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.

Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.

Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).

Права субъекта данных (физического лица)

GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.

В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.

Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.

Право на переносимость данных

Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.

Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).

Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.

Согласие на обработку

GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.

Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

Особая защита детей

Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).

Назначение ответственного за защиту персональных данных

Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.

В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.

Что делать?

Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).

Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.

Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).

Вывод

GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.

Источник

Аналитика Публикации

Регламент ЕС о персональных данных. Риски и рекомендации для российского бизнеса

Тема безопасной обработки персональных данных является актуальной как в России, так и за рубежом. Пока российский бизнес привыкает к повышенным административным штрафам за нарушение законодательства в области персональных данных по ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, Европейский союз готовится ввести в действие Регламент № 2016/679 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее – Регламент). Особенностью Регламента является его экстерриториальность. Дело в том, что действие Регламента распространяется не только на резидентов ЕС, но и на третьих лиц. Крупным российским компаниям вряд ли удастся проигнорировать новые правила: штраф за их нарушение велик – до 20 млн евро, или 4% от мирового годового оборота за финансовый год. О том, как Регламент повлияет на российский бизнес, а также о том, как российскому бизнесу подготовиться к введению в действие Регламента и чем грозит его несоблюдение, пойдет речь в статье.

Распространяется ли действие Регламента на вашу компанию?

Если в вашей компании обрабатываются персональные данные граждан ЕС, ответ на данный вопрос будет положительный.

Кроме того, согласно официальным комментариям к Регламенту компании-нерезиденты должны соблюдать положениям Регламента, если они:

1) используют официальный язык страны – участницы ЕС как в рамках описания товаров/услуг, так и при оформлении заказов;

2) используют валюту страны – участницы ЕС при расчетах с клиентами;

3) непосредственно указали на сайте, что товары/услуги предлагаются гражданам ЕС.

Все требования Регламента можно условно разделить на четыре основных типа:

– требования по учреждению должностей в компании;

– требования по ведению внутренней документации;

– требования по обеспечению прав и свобод граждан ЕС при обработке их персональных данных;

– требования по взаимодействию с надзорными органами ЕС в сфере обработки персональных данных.

Далее кратко рассмотрим каждый из элементов выделенных типов требований.

Требования по учреждению новых должностей в компании

Первый тип требований связан с учреждением в компании должностей представителя в ЕС и инспектора по защите персональных данных. Санкции за отсутствие хотя бы одной из должностей в компании выражаются в возможных штрафах в размере до 10 млн евро, или 2% от мирового годового оборота за финансовый год.

Представитель компании в ЕС должен решать все вопросы, связанные с обработкой персональных данных европейских граждан. Он должен осуществлять взаимодействие как с субъектами персональных данных, так и с надзорными органами ЕС в сфере обработки персональных данных. Регламент предписывает, что представитель должен физически располагаться на территории ЕС. Представителя назначать не нужно, если обработка персональных данных носит случайный характер, не включает в себя масштабную обработку особых категорий персональных данных или масштабную обработку персональных данных, связанных с судимостями и уголовными преступлениями, а также обработку, которая предположительно не приведет к риску для прав и свобод физических лиц. Кроме того, органы государственной власти и правительственные учреждения также не обязаны назначать представителя в ЕС.

Инспектор по защите персональных данных (Data privacy officer) должен быть назначен в компании согласно ст. 37 Регламента. Инспектором может выступать как сотрудник компании, так и независимый консультант, действующий на основании заключенного договора об оказании услуг.

Основными функциями инспектора являются:

1) информирование оператора относительно обязанностей, предусмотренных Регламентом;

2) контроль за соблюдением оператором Регламента;

3) контроль методов обработки персональных данных оператором;

3) консультирование оператора относительно оценки воздействия на защиту персональных данных;

4) взаимодействие с надзорными органами ЕС.

Стоит отдельно отметить, что Регламент не содержит требований для инспектора физически находиться на территории ЕС. Регламент также не запрещает объединять функции инспектора и представителя в одном лице.

Требования по ведению внутренней документации

Второй тип требований связан с необходимостью принятия и ведения в компании определенной внутренней документации. При этом документы должны быть составлены на языке одной из стран – участниц ЕС. Санкции за несоответствие хотя бы одному из указанных требований выражаются в возможных штрафах в размере до 10 млн евро, или 2% от мирового годового оборота за финансовый год (таблица 1).

Ведение письменного учета (реестра) действий по обработке персональных данных (далее также – ПД)

Статья 30 Регламента предписывает оператору вести письменный учет всех действий, связанных с обработкой ПД. Данное требование не распространяется на организации со штатом менее 250 человек

Ведение учета (реестра) инцидентов в сфере ПД

В соответствии со статьей 33 Регламента оператор должен документировать любые утечки ПД, в том числе все относящиеся к утечке факты, последствия такой утечки и принятые корректирующие меры

Наличие задокументированной оценки потенциальных рисков при обработке ПД

Статья 35 Регламента закрепляет обязанность оператора провести оценку воздействия предусмотренного процесса обработки ПД на защиту ПД. Такая оценка рисков призвана выявить основные угрозы правам субъектов и должна как минимум включать в себя: 1) систематическое описание предусмотренных процессов обработки данных и целей обработки; 2) оценку необходимости и пропорциональности обработки данных относительно целей; 3) оценку рисков для прав и свобод субъектов данных; 4) меры, предусмотренные для устранения рисков

Требования по обеспечению прав и свобод

Третий тип требований включает в себя обязанность оператора по обеспечению следующих основных прав субъектов:

1) право на информацию;

2) право на внесение и удаление персональной информации.

За несоответствие этим требованиям Регламента оператор может быть привлечен к ответственности в виде штрафа в размере до 4% от мирового годового оборота за последний финансовый год, или до 20 млн евро (таблица 2).

Категория прав субъектов

Описание и рекомендации

Право на информацию

Оператор обязан сообщить субъекту в момент сбора у него ПД в числе прочего следующую информацию:

– идентификационную информацию и контактные данные оператора и при необходимости его представителя;

– контактные данные инспектора по защите ПД;

– цели обработки ПД, а также юридическое основание для обработки;

– законные интересы, преследуемые оператором или третьей стороной (если применимо);

– получателей или категории получателей ПД;

– намерение оператора передать персональные данные в третью страну или международную организацию;

– срок, в течение которого будут обрабатываться ПД, либо критерии для его определения;

– наличие права на исправление, удаление и ограничение обработки ПД;

– наличие права на доступ к своим ПД;

– наличие права на возражение против обработки ПД;

– наличие права на получение своих ПД в структурированном, универсальном и машиночитаемом формате;

– наличие права на отзыв своего согласия;

– наличие права подачи жалобы в надзорный орган

Право на внесение и удаление персональной информации

Оператор обязан выполнить, в частности, следующие требования субъекта:

– незамедлительно внести изменения в неточные данные, относящиеся к субъекту;

– незамедлительно удалить данные, относящиеся к субъекту («право на забвение»);

– ограничить обработку данных, если применяется одно из условий:

а) точность ПД оспаривается субъектом данных;

б) обработка ПД является незаконной, но субъект данных возражает против удаления ПД и требует ограничить их использование;

в) оператору больше не требуются ПД для целей обработки, но они требуются субъекту ПД для обоснования, исполнения или ведения защиты по судебным искам;

– предоставить ПД в структурированном и машиночитаемом формате

Взаимодействие с надзорными органами ЕС

Четвертый тип требований связан с обязанностью оператора взаимодействовать с надзорными государственными органами ЕС в сфере обработки персональных данных.

Краткое описание данного типа требований представлено в таблице 3.

Описание и рекомендации

Санкции за нарушение (штраф)

Предварительное консультирование с надзорным органом ЕС

В соответствии со статьей 36 Регламента оператор обязан проконсультироваться с надзорным органом до начала обработки ПД, если проведенная им оценка воздействия предусмотренного процесса обработки ПД на защиту данных указывает на то, что обработка может привести к возникновению высокой степени риска при непринятии мер для его снижения.

В целях реализации указанного требования рекомендовано разработать Положение о взаимодействии с надзорным органом ЕС, закрепляющее формат такого взаимодействия и перечень случаев, когда компания прибегает к такого рода консультациям

До 2% от мирового годового оборота за последний финансовый год либо до 10 млн евро

Уведомление в адрес надзорного органа об инцидентах в сфере обработки ПД

В случае утечки ПД оператор незамедлительно и при наличии соответствующей возможности в течение 72 часов после того, как ему стало известно об утечке, должен уведомить об этом надзорный орган. Исключение составляют случаи, когда утечка ПД, вероятно, не приведет к риску для прав и свобод физических лиц. Если уведомление направлено в надзорный орган позже, в таком уведомлении необходимо указать причины задержки. Уведомление в обязательном порядке должно содержать следующую информацию:

– описание характера утечки ПД, в том числе по возможности указание категорий и приблизительного количества субъектов ПД и категорий и приблизительного количества записей ПД;

– фамилию и контактные данные инспектора по защите ПД;

– описание возможных последствий утечки ПД;

– описание принятых или планируемых контролером мер для устранения нарушения, в том числе в соответствующих случаях мер по смягчению возможного отрицательного воздействия данного нарушения.

Инспектор обязан документировать любые утечки ПД, в том числе все относящиеся к утечке ПД факты, последствия такой утечки и принятые корректирующие меры.

В целях реализации указанного требования рекомендовано в разработанном компанией положении о взаимодействии с надзорным органом ЕС прописать алгоритм подачи таких уведомлений

До 2% от мирового годового оборота за последний финансовый год либо до 10 млн евро

Обязательное выполнение требований надзорного органа ЕС в сфере защиты ПД

В соответствии со ст. 58 Регламента надзорный орган обладает следственными, корректирующими, разрешительными и консультативными полномочиями. Операторы обязаны строго соблюдать требования надзорного органа

До 4% от мирового годового оборота за последний финансовый год либо до 20 млн евро

Ключевые рекомендации российскому бизнесу

Для начала российским компаниям нужно определить, распространяется ли на них действие Регламента. Как отмечалось выше, Регламент содержит несколько случаев, когда операторам не нужно, например, назначать представителя в ЕС.

Если Регламент распространяет свое действие на компанию, пора приступать к активной подготовке, так как до вступления Регламента в силу остается меньше года (Регламент вступает в силу в мае 2018 года), а работы предстоит достаточно много.

Во-первых, следует провести аудит существующих в компании процессов сбора и обработки персональных данных и выявить потенциальные риски.

Во-вторых, нужно усовершенствовать процессы сбора персональных данных, назначить определенных Регламентом должностных лиц, а также принять необходимые локальные акты, касающиеся обработки персональных данных, либо доработать существующие локальные акты.

Кроме того, рекомендуется проанализировать текущие договорные взаимоотношения с партнерами, обрабатывающими персональные данные европейских граждан от имени компании (либо от своего имени, но в интересах компании). В договоры предлагается внести положения о разграничении ответственности при обработке персональных данных граждан ЕС, а также установить дополнительные гарантии соблюдения норм Регламента на взаимной основе.

Источник