GDPR - общий регламент защиты персональных данных
25 мая 2018 вводится в действие GDPR (General Data Protection Regulation) Данный нормативный акт направлен на защиту персональных данных. Имеет ряд особенностей в аспекте того, что его действие полностью или частично может касаться деятельности бизнеса в Украине, который работает с гражданами ЕС
Новое законодательство выходит на замену Директивы "О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных".
В материале данного комментария мы поможем вашей компании привести свою деятельность в соответствие новому законодательству.
Запрет обработки по отдельным группам данных
Действия в случае несоблюдения GDPR одной из сторон
Понятия и термины
GDPR определяет обработку персональных данных как операцию, которая осуществляется с персональными данными, автоматически или в любой другой способ, в том числе сбор, запись, получение, сверка, использование, раскрытие, распространение или любой вид публикации.
Общий регламент защиты персональных данных - это новый порядок обработки персональных данных. Новым является то, что он распространяется не только на страны ЕС, но и имеет экстерриториальное действие и применяется для всех, кто находится под действием законодательства Европейского Союза. Применяется в тех случаях, когда компания обрабатывает личные данные тех людей, которые находятся в ЕС или, когда например украинская компания созданная в ЕС, либо в случае, если она имеет там представительство.
Нужно сразу определиться с терминами, которые используются в GDPR, чтобы в дальнейшем понимать кто является субъектами:
Контроллер - это тот, кто собирает данные и определяет цели такой операции.
Оператор - физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера.
Персональные данные - любая информация, касающаяся физического лица, может ее идентифицировать.
Территория действия
Регламент создан для защиты данных всех, кто проживает в ЕС, поэтому полноценно он может касаться Украины только в случае вступления в Европейский Союз, или если Вы обрабатываете данные пользователей ЕС. Кроме того, если услуги или товары компании могут потенциально быть использованы европейскими пользователями (то есть сайт на английском языке, или компания транспортирует свои товары в ЕС или обрабатывает их данные), то такая компания должна соответствовать требованиям GDPR.
Законность обработки
Обработка персональных данных считается законной, только при выполнения следующих условий:
- субъект, которому принадлежат данные дал согласие на обработку;
- такие действия необходимы для выполнения договора;
- защищаются жизненно важные интересы личности;
- обработка необходима для удовлетворения потребностей и в интересах общества;
- обработка является необходимой для целей законных интересов контроллера или третьей стороны, особенно, если субъект - ребенок.
Запрет обработки по отдельные группы данных
Согласно регламенту, запрещается обрабатывать любые данные, которые могут прямо или косвенно идентифицировать лицо, это такие, например, как, биологический или генетический код, цвет кожи, волос, глаз, размер обуви, одежды, физическое и моральное состояние здоровья, и тому подобное.
Однако есть ряд исключений, обработки в рамках законодательства. Например, если эти данные открыто обнародованы лицом или лицо предоставило отдельное согласие на обработку таких данных.
Санкции в случае несоблюдения GDPR одной из сторон
В случае нарушения требований, могут наступать следующие последствия:
- предупреждение, в случае если нарушение совершено впервые и неумышленно
- проведение расследования на качество защиты данных
- наложение штрафа до 10 000 000 евро или до 2% общего годового оборота компании (за предыдущий год)
- наложение штрафа до 20 000 000 евро или 4% общего годового оборота предприятия.
Все субъекты данных, на которых распространяется действие Регламента должны иметь возможность подачи жалобы в орган надзора по месту своего расположения или месту нарушения.
Шифрование информации
Так, сам Регламент рекомендует обеспечивать надлежащую охрану конфиденциальной информации с использованием технических и организационных инструментов, таких как шифрование.
В GDPR употребляется такой термин, как псевдомизация, что означает изменение или преобразование информации таким образом, чтобы в случае возникновения утечки данных они не позволили полностью или частично распознать лицо.
Ограничение хранения данных
Одним из принципов GDPR является принцип ограничения хранения - хранить в форме, которая позволяет идентификацию субъектов данных, не дольше чем это необходимо для целей обработки, однако конфиденциальную информацию можно хранить в течение более длительных периодов, пока она обрабатывается исключительно для достижения целей общественных интересов, целей научного или исторического исследования, или математических целей.
Права субъекта данных
- Право на «забвение».
Пользователь может в любой момент сообщить Вам о том, что он хочет, чтобы вы удалили всю информацию о нем и Вы будете обязаны это сделать. Однако это не должно влиять на законность обработки информации. - Право на исправление.
Пользователь должен иметь возможность беспрепятственно сменить свои неточные персональный данные. - Право на возражение.
Субъект данных должен иметь право возражать против обработки данных на основаниях, связанных с его или ее конкретные ситуацией, в любой момент времени. - Право на доступ к своим данным.
Субъект данных может в любой момент запросить информацию о том какие именно данные обрабатываются. - Право на ограничение
Законодательство Союза или государства-члена, которое распространяется на контролера или оператора, может ограничивать с помощью законодательного инструмента объем его обязанностей и прав.
Сертификация
Сертификация является добровольной, она не уменьшает степень ответственности контролера или оператора, не ограничивает задачи и полномочия надзорных органов.
Сертификат выдают контроллеру или оператору на срок до трех лет (его действие может пролонгироваться). Сертификацию отзывают, в случае необходимости органы сертификации, указанные в статье 43, или компетентный надзорный орган, если нарушаются ее требования.
Подготовка к GDPR
Для того чтобы подготовиться к правилам нового Регламента необходимо привести в соответствие 3 составляющие своей компании:
Внешняя
Включает в себя разработку нового, соответствующей политики конфиденциальности, пользовательского соглашения, политики в отношении cookies, сертификации.
Внутренняя
Включает в себя определенные инструкции для работников. Сюда относится также и так называемая «карта данных», то есть порядок сбора, обработки, передачи, хранения, удаления персональных данных. Должно касаться и быть доступной не только для работников, но и для пользователей, ведь им необходимо знать, что будет с теми данными, которые они предоставляют.
Техническая
Она отделена от внутренней и внешней, но одновременно и связана с ними.
Включает в себя так называемое «железное» и «программное» обеспечение. То есть разработка соответствующих алгоритмов шифрования, возможностей сайта, серверов, создание соответствующих баз хранения и сервисов передачи, удаления и оброки информации.
Внешний вид и построение сайта
Для того чтобы понять, как должен выглядеть сайт, мы подготовили 15 понятных пунктов, для любой компании, которая имеет свой Интернет ресурс.
- Провести проверку объема сбора данных и спросить себя нужны ли Вам нужны эти данные? Такие, например, как семейное положение клиента, любимый вид спорта, состояние здоровья.
- Желательно зашифровать данные, которые обрабатываете, чтобы в будущем облегчить последствия от возможной потери данных. (См. Пункт о псевдонимизация). Также существует специальная процедура «end-to-end».
- В обязательном порядке Введите HTTPs. Это элементарный вид шифрования данных, который так же может стать решающим.
- Откажитесь от принятия согласия «по умолчанию» - это значит нигде не должно быть проставлено знаков согласия в «формах согласия»
- Получите согласие частями. Если вам необходим e-mail, то Вам нужна согласие пользователя только на e-mail. Другие данные, как номер телефона, местонахождение нужно получать по отдельному соглашению.
- Обязательно укажите в «форме согласия» все третьи стороны, которым Вы возможно будете передавать или передаете данные.
- Отделите «форму согласия» на обработку данных от других форм согласия.
- Сделайте так, чтобы пользователи видели Вашу «форму согласия» и ни искали ее.
- Дайте возможность пользователям легко «забирать» свое согласие обратно.
- Измените свою политику относительно cookie. Если пользователь зашел на сайт впервые, то Вы не имеете права собирать любую информацию о нем, даже если у вас есть надпись: «Зайдя на этот сайт вы автоматически согласились на сбор данных cookie». После выхода пользователя вы обязаны удалить все данные, которые относятся к нему, даже если он согласился на сбор cookie.
- Избегайте вопросов безопасности, которые могут быть связаны с персональными данными. Больше никаких девичьих фамилий матери, первого имени Вашего кота и так далее. Это запрещено Регламентом.
- Используя любую информацию, связанную с IP адресом, Вы обязаны предупредить пользователей об этом и сообщить сколько вы будете хранить эту информацию, и каким образом.
- Пользуясь «формами оплаты» после проведения такой оплаты Вы обязаны удалить реквизиты и всю информацию, связанную с этим.
- Если вы отслеживаете поведение пользователя на вашем сайте, чтобы потом сделать ему лучшие предложения, то теперь Вы должны получить согласие на такие действия.
- Если пользователь отказался от пользования - удаляйте его данные. Данные пользователя - это его собственность.
Подготовка компании к Регламенту
Для начала нужно создать так называемую «карту» персональных данных.
На «карте» должно быть обозначено откуда берутся данные (авторизация аккаунтов, сбор и внесение вручную, автоматический сбор в Интернете и т.д.).
По «карте» должно быть понятно куда эти данные поступают, кто с ними контактирует, как они обрабатываются, кем и как они могут передаваться.
Также надо отметить, какая информация собирается, и как долго ее будут обрабатывать, хранить.
Должно также быть указано, в каких случаях данные передаются третьим лицам.
Нужно подготовить новую Privacy policy (политику конфиденциальности), она должна быть понятной, короткой, избавленной от ??лишней информации.
Следующим шагом для такого «аудита» должно быть проведение оценки рисков. Вы должны определиться шифруются ли Ваши данные, есть тли теоретическая возможность их потери? Соответствует ли ваша политика конфиденциальности требованиям? Есть ли у Вас соответствующие специалисты в этой области?
Действия после проведения анализа и оценки рисков
Нужно найти необходимого специалиста, разработать инструкции работы сотрудников с системами хранения и обработки данных, заключить соответствующие договоры с партнерами об обработке персональных данных.
Ведь очень важно понимать, что при потере данных одним из ваших партнеров нарушается конфиденциальность данных и вы уже не отвечаете требованиям GDPR.
Вывод
Цели Регламента предусматривают собой не просто повышение уровня «безопасности» данных и способов их обработки, но и совершенствуют сбор такой информации. То есть, больше не должно быть никаких «согласий по умолчанию», или «согласия на все», на всю информацию которую вводит лицо должно быть соответствующее, конкретное согласие.
Считаем, что важным нововведением Регламента является введение таких понятий как контролер, оператор и сотрудник по защите данных, которые должны создать условия технического и организационного обеспечения, что гарантирует соответствие требованиям поводу соблюдения прав субъекта данных.
Проанализировав введения GDPR, мы пришли к выводу, что этот Регламент позволит создать прочную законодательную базу по защите персональных данных граждан ЕС независимо от территории их пребывания, и, как следствие, такая защита будет иметь влияние на мировую систему защиты информации.
Если изучать этот вопрос в отношении Украины и украинских организаций, то можно утверждать, что введение Регламента несомненно создаст новую платформу и благоприятный климат для ведения бизнеса в области сотрудничества с иностранными гражданами.
Мы готовы Вам помочь!
Свяжитесь с нами по почте [email protected], по номеру телефона +38 044 499 47 99 или заполнив форму: