fbpx

GDPR и персональные данные по General Data Protection Regulation

In: Адвокатское бюро Яновский и партнеры, Статьи правовая тематика 29 Ноя 2019 Tags:

Общий регламент защиты данных или General Data Protection Regulation (GDPR) (EU) 2016/679 (далее – Регламент) – это обязательные для применения всеми странами-членами ЕС правила, в соответствии с которыми устанавливаются требования относительно усиления и унификации защиты персональных данных всех лиц на территории ЕС.

Еще до вступления в силу GDPR,  до 25 мая 2018 года, невозможно было не заметить ажиотаж и заблаговременную активизацию в этом отношении как законодателей, так и бизнеса в целом.  Регламент не имеет прямого отношения к украинскому законодательству, но может непосредственно касаться деятельности отечественных компаний, и не только IT, но и любого сектора экономики.

Это связано с тем, что согласно ст. 3 Регламент имеет экс-территориальное действие, то есть обязательно распространяется также на компании за пределами ЕС,  получающие информацию из источника в странах-участницах ЕС. Кроме того, защита персональных данных не связана с гражданством в ЕС, поэтому касается любых субъектов, находящихся на момент обработки данных на территории Евросоюза.  Нововведения особенно коснутся украинских компаний, имеющих постоянные представительства в Європе, – при передаче данных клиентов, сотрудников или партнеров материнской компании и дальнейшей их обработке. Это касается также отечественных компаний, контрагентами которых являются компании-резиденты ЕС или физические лица, реализующие им товары/оказывающие услуги в сети Интернет (если предусмотрена оплата в евро и описание товаров на європейских языках).

 

Компании, имеющие прямое или опосредованное отношение к информации из стран Содружества, для продолжения сотрудничества должны на момент вступления Регламента в действие осуществить мероприятия относительно усиления защиты персональных данных. Поэтому причина, по которой проверка соответствия требованиям GDPR необходима уже сейчас, проста: ни одна европейская компания не захочет вести с Вами дела под угрозой значительных штрафов за сотрудничество с «non-compliance company».

 

Под персональными данными в Регламенте понимают любые сведения, являющиеся собственностью физических лиц и позволяющие  прямо или опосредованно идентифицировать это лицо (субъект данных), в том числе – имя, паспортные данные, данные банковских счетов, электронную почту, ІР-идентификатор, место нахождения и другие идентифицирующие физиологические, генетические, умственные, экономические и социально-культурные показатели.

Согласно GDPR, обработка персональных данных – это любая операция, осуществляемая с персональными данными, автоматически или любыми другими способами, в том числе – сбор, запись, сортировка, хранение, адаптация или изменение, получение, сверка, использование, раскрытие, распространение или любой вид публикации, группировки, блокирования, удаления или уничтожения.

 

В чем заключается прямое или опосредованное отношение компаний к данным?

Простыми словами, Регламент оперирует понятиями контролер и процессор. Их легко разграничить по критерию цели обработки персональных данных: контролер является лицом, определяющим цель сбора данных, способы обработки и защиты информации, и, соответственно, требования к таким лицам – болем жесткие; как правило,  украинские компании выступают в качестве процессоров, поскольку получают доступ к данным по поручению контролера, самостоятельно не устанавливая цель их обработки. К примеру, мы неоднократно осуществляли юридическое сопровождение проектов, по которым европейские компании заказывали разработку программного обеспечения у  наших айтишников. Для правильной настройки работы программы айтишники в обязательном порядке получают доступ к собранным заказчиком данным. Как мы уже отмечали, компания-заказчик является контролером, а украинская – процессором. Исходя из выше указаного и с учетом того, что документ все-таки имеет иностранное происхождение и его положения (возможно, лишь пока ещё) не содержат аналогов в законодательстве Украины, мы считаем употребление соответствующих понятий в переводе «оператор» и «обработчик» некорректными (в аспекте работы в рамках GDPR) и рекомендуем использовать оригинальную терминологию.

Согласно Регламента, контролер и процессор могут назначить ответственных за обработку данных лиц – офицеров. Роль офицера в целом сводится к информированию и консультированию контролера/оператора относительно требований, относящихся к ним, а также к проверке состояния выполнения этих требований. Недостаточно осведомленные в новых требованиях медиа-ресурсы часто больше спекулируют данной нормой, чем понимают реальное содержание и объем ее использования, поскольку обязательным назначение так называемых офицеров является только относительно данных при условии, что:

а) обработка осуществляется публичным органом или организацией, за исключением судов;

б) основные виды деятельности оператора или процессора состоят из операций по  обработке, требующих постоянного, систематического и широкомасштабного мониторинга субъектов данных;

в) основные виды деятельности контролера или оператора заключаются в  широкомасштабной обработке чувствительных категорий данных (например, конфиденциальных данных о состоянии здоровья, этническом происхождении, уровне личных доходов) в соответствии со ст. 9 Регламента и персональных данных о судимостях и криминальных преступлениях (ст. 10 Регламента).

Кроме того, если украинская компания выступает в качестве контролера, то есть производит обработку данных европейських клиентов, то она обязана назначить своего представителя в ЕС, который будет выступать в качестве посредника между контролирующими органами ЕС и контролером в вопросах соблюдения правил GDPR. Обычно такое назначение осущестляется путем подписания договора с компанией-резидентом стран Союза.

Что касается обработки персональных данных, то Регламентом в этом отношении урегулированы многие нюансы. Например, информация о целях, способах и объемах   обработки данных должна быть открытой; объем собранной информации не может бать больше и шире необходимого для достижения цели ее обработки; данные должны использоваться исключительно в тех целях, в каких и были собраны; личные данные должны храниться не дольше срока, необходимого для достижения целей обработки информации и тому подобное.

Регламентом устанавливаются также правила передачи персональных данных за пределы ЕС, в другие страны. Правомерная передача возможна в двух вариантах:

  • Имеется решение Еврокомиссии о надлежащем обеспечении конкретной страной необходимого уровня защиты экспортных данных. В настоящее ремя приняты такие  решения относительно Андорры, Аргентины, Гернси, Израиля, Канады, Новой Зеландии, Острова Мен, Уругвая, Швейцарии и Фарерских островов.
  • Обработчик данных может подтвердить наличие гарантий защиты экспортных персональных данных. Чаще всего таким подтверждением яляются стандартные договора на обработку данных (Data Processing Agreement) между процессором и контролером, содержащие требования относительно осуществления необходимых технических и организационных мер. Соответствие уровня защиты может также подтверждаться Сертификатом соответствия (имеющим добровольный характер), однако процедура сертификации согласно GDPR еще не разработана, а потому на практике не реализуется. В случае необходимости привлечения к обработке независимых субпроцессоров (проще говоря, подрядчиков для выполнения проекта), процессор должен получить письменное разрешение контролера и,  кроме того, подписать с ним идентичный с основным DPA.

Регламентом устанавливаются и права субъектов данных обращения в суд с требованиями о взыскании денежной компенсации с лиц, нарушающих их права, производя обработку данных неподобающим образом или выходя за законные пределы. Появилось также «право на забвение»: каждый субъект данных может требовать у компании раскрытия имеющейся о нем информации, удаления такой информации или перенесения ее (data portability).

За невыполнение требований Регламента ЕС установлена ответственность. Но если с контролирующим органом на территории ЕС все более-менее понятно, то остается открытым вопрос, как будет осуществляться взыскание с украинской компании через представителя в ЕС, являющегося, например, контролером. Однако такая неурегулированность все равно не должна давать оснований для того, чтобы позволить себе «расслабиться», ведь европейская компания в таком случае сама откажется от сотрудничества. Соласно GDPR, размеры санкций должны быть «эффективными, пропорциональными и сдерживающими»: максимальный размер штрафа установлен в размере 4% годового мирового оборота предприятия или 20 миллионов евро – в зависимости от того, что больше; минимальный – в размере 2% годового мирового оборота предприятия или 10 миллионов евро, также в зависимости от того, что больше.

 

Как же подготовиться к работе в соотетствии с GDPR?

 

  1. Провести анализ деятельности компании с персональными данными.

Необходимо осуществить GDPR-check (аудит): установить, к каким персональным данным имеет доступ компания, где они хранятся, какие используются процессы обработки данных. 

В соотетствии с Регламентом произвести оценку уровня влияния осуществляемых сбора/обработки информации на права и свободы субъектов данных (Data Privacy Impact Assessment – DPIA).

  1. Разработать политику обращения с персональными данными. 

Процесс использования данных должен включать сбор, обработку, хранение, защиту и уничтожение данных. Необходимо принять условия концепции проектируемой конфиденциальности и конфиденциальности по умолчанию, так называемые privacy by design и privacy by default. Согласно концепции privacy by design – организация должна учитывать риски, связанные с персональными данными, на всех этапах процесса обработки данных (при проектировании дизайна процесса обработки, формировании функциональных требований к IT-системам, при настройке механизмов безопасности в IT-системах и средствах защиты, при передаче данных в архивное хранение и при их уничтожении). Концепция privacy by default предполагает, что компания в рамках четко сформулированных целей должна обрабатывать минимально необходимый и достаточный состав данных.

  1. Навести порядок в юридических документах. 

Необходимо разработать положение о политике информационной безопасности и договора, включающие пункты об обработке данных, о способах предоставления согласия на обработку данных, а также содержащие разъяснения относительно политики обработки данных компанией на собственных веб-страницах.

  1. Навести порядок в программном обеспечении.

Для повышения уровня автоматизации при приведении IT-процессов в соответствие с требованиями GDPR следует обратить внимание на решение класса Data Governance. Наличие полной и актуальной информации о данных, о местах их размещения, о методах обработки и правах доступа поможет в практической реализации требований законодательства. 

Пока не сформировалась четкая практика приведения процессов обработки данных в компаниях в соответствие с требованиями GDPR, отдельно следует обратить особое внимание на требования по сбору согласований на обработку и налаживание каналов взаимодействия с субъектами персональных данных. В соответствии с требованиями GDPR простой клик в окошке «Ознакомлен, продолжить» и десятистраничные правила уже не подходят: извещение должно быть осуществлено таким образом, чтобы, во-первых, каждый посетитель его действительно заметил, и, во-вторых, чтобы оно было максимально простым, коротким и понятным. Уже сейчас почти на каждом зарубежном ресурсе при первом же визите на веб-страницу у Вас появится всплывающее окно примерно такого содержания: «Уважаемый пользователь. С целью корректной работы сайт собирает Ваши метаданные (cookie, данные об IP-адресе и о местонахождении). Продолжая просмотр сайта, Вы соглашаетесь на использование Ваших данных».

  1. Провести соответствующую работу с сотрудниками.

Стоит убедиться, что каждый ознакомлен с существованием GDPR и его требованиями, чтобы предотвратить случайную потерю флешки с архиважными данными (наши приветствия работникам аэропорта Хитроу).

 

Невыполнение новых законодательных положений Европейского Содружества чревато не только санкциями, но и значительной потерей не только потенциальных, но и  уже имеющихся клиентов и партнеров. Более того, существует мнение, согласно которого очень скоро требования Регламента станут новым глобальным мировым стандартом. 

 

Поэтому мы настойчиво рекомендуем обратиться к юристам для проведения GDPR-check!

 

Полезные ссылки по теме:

  1. GDPR-portal: https://www.eugdpr.org/
  2. Разъяснение Еврокомиссии относительно применения Регламента: https://ec.europa.eu/commission/sites/beta — political/files/data — protection — communication — com.2018.43.3 en.pdf
  3. Инструкция https ://ico.org .uk/media/1624219/preparing — for — the — gdpr — 12 — steps.pdf

 

Автор — юрист Мария Шулякивська

Подписаться на новости

Подписаться на еженедельная дайджест новостей и быть в курсе событий

X