/


Главная / Услуги и решения / Информационная безопасность / Защита персональных данных в соответствии с GDPR

Защита персональных данных в соответствии с GDPR

1. Что такое GDPR

С 25 мая 2018 года в Европейском Союзе начнет применяться новый Регламент (ЕС) 2016/679 по защите персональных данных (General Data Protection Regulation, GDPR).

Новый Регламент приходит на смену старому документу по защите персональных данных (ПДн) – Директиве 95/46/ЕС, действие которой прекращается.

Одно из важных отличий старой Директивы от нового Регламента заключается в разном правовом статусе этих документов. Если Директива декларировала определенные правила и требовала отразить их в национальных законодательствах стран ЕС (при этом в разных странах реализация требований, меры защиты и ответственность за нарушения могли быть различными), то новый Регламент является документом прямого действия, т.е. находится «выше» национальных законодательств и является обязательным для выполнения для всех стран Евросоюза. Таким образом, новый Регламент обязывает страны ЕС гармонизировать законодательство в области защиты ПДн, т.е. привести к единому стандарту требования по защите ПДн и ответственность за нарушения.

2. Новые принципы обработки

Регламент GDPR устанавливает следующие принципы обработки персональных данных:

  • Законность, справедливость и прозрачность. Данные должны обрабатываться на законных основаниях, справедливым и открытым образом в отношении Субъекта данных.
  • Ограничение цели. Данные должны собираться и использоваться для конкретных, ясных и законных целей, заявленных Оператором, и не должны в дальнейшем обрабатываться способом, несовместимым с этими целями.
  • Минимизация данных. Нельзя собирать больше данных, чем это необходимо для выполнения целей обработки. Необходимо стремиться к минимизации этого объема.
  • Точность. Обрабатываемые данные должны быть точны. Недостоверные данные должны быть уточнены или удалены.
  • Ограничение хранения. Личные данные должны храниться в форме, позволяющей идентифицировать Субъектов только в течение срока, необходимого для достижения целей обработки, не дольше.
  • Целостность и конфиденциальность. При обработке данных должна быть обеспечена защита от несанкционированной или незаконной обработки, уничтожения и повреждения. 

3. Новые права субъектов

Новый Регламент GDPR нацелен на защиту прав Субъектов персональных данных (лиц, чьи данные обрабатываются) и дает им больше возможностей, например:

  • Право на доступ к данным. Субъект может требовать информацию о характере обработки своих данных, цели и месте обработки, имеет право доступа к своим данным и право на исправление неправильных данных.
  • Право не давать свое согласие на обработку ПДн в целях, непосредственно не связанных с целями обработки ПДн (например, для целей прямого маркетинга), или ограничивать определенную обработку своих данных.
  • Право на удаление (право на забвение). Субъект теперь имеет право требовать удаления своих данных не только из поисковых систем, но и от любого Оператора данных в условиях отзыва согласия и отсутствия других законных оснований для обработки ПДн.
  • Право на перенос данных. Регламент предоставляет Субъектам данных право потребовать у Оператора бесплатно предоставить ему копию всех обрабатываемых данных в структурированном и удобочитаемом виде или беспрепятственно передать данные другому Оператору в электронном виде.

4. Новые роли, которые вводит Регламент:

  • Controller (Оператор/контролер) – определяет цели, задачи и процедуры обработки персональных данных.
  • Processor (Обработчик) – производит непосредственно обработку и/или хранение персональных данных (по поручению Оператора/контролера).
  • Представитель в ЕС – в случае если у организации нет представительств в ЕС, но она попадает под действие GDPR, может понадобиться назначение официального представителя в ЕС.
  • Data Protection Officer (Инспектор по защите данных) – сотрудник Оператора/Обработчика или отдельное лицо, осуществляющее помощь в реализации требований Регламента, мониторинг реализации положений Регламента и взаимодействие с регуляторами, а также отвечающий на все вопросы Субъектов.

5. Расширение перечня защищаемой информации

Новый регламент расширяет перечень персональных данных, подлежащих защите:

  • К персональным данным теперь относят не только идентификационные данные Субъектов (ФИО, контактная информация, биометрические данные и т.д.), но и интернет-идентификаторы, такие как IP-адрес, cookie файлы, RFID идентификаторы и т.п, а также генетическую информацию (ДНК, РНК).

6. Кто попадает под новые требования?

1. Организации, учрежденные в ЕС (включая представительства, дочерние подразделения зарубежных компаний).

2. Любые иные организации, занимающиеся:

  • Предложением товаров или услуг субъектам из ЕС на платной или бесплатной основе. (интернет-магазины, интернет-сервисы, операторы связи, туроператоры, банки и т.д. Определяющим признаком являются использование языка или валюты стран ЕС с возможностью заказывать товары или услуги на этом языке либо упоминание потребителей/пользователей, находящихся в ЕС.
  • Осуществляющие анализ действий в Интернете субъектов, находящихся в Евросоюзе. (составление профиля пользователя, в том числе, в целях принятия решений для анализа/прогнозирования их личных предпочтений, поведения, отношения к чему-либо или личностных характеристик. Сюда попадают интернет-магазины, поисковые системы, банки, сайты знакомств, социальные сети и иные подобные организации.

Основной нюанс в том, что действие нового Регламента экстерриториально и распространяется не только на организации стран ЕС, но и на иностранные организации, попадающие под условия, перечисленные выше. При этом надо понимать, что с появлением GDPR с трудностями столкнутся не только российские компании, а любые компании со всего света, которые хотят действовать в Европе и предлагать свои товары и сервисы европейцам.

7. Ответственность за невыполнение

В соответствии с Регламентом налагаемые штрафы должны быть эффективными, соразмерными и оказывать сдерживающее воздействие. Размер предполагаемых штрафов однозначно можно назвать сдерживающим. Регламент обязует Операторов и Обработчиков уведомлять регулирующие органы (в ряде случаев и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения факта такого нарушения.

В случае незначительного нарушения штраф может составлять 10 млн Евро или 2% годового оборота компании нарушителя.

Если же регулятор сочтет, что нарушение значительно – штраф может составить 20 млн Евро либо до 4% годового оборота компании (в зависимости от того, что больше).

При этом есть важный нюанс: регулятор наказывает нарушителя.

Например: если регулятор сочтет, что нарушителем является европейское представительство российской компании, которое знало о новых требованиях, но не стало выполнять их – иск будет направлен к данной локальной компании.

Если же локальное представительство не имело возможности выполнить в полной мере требования, т.к. всего лишь являлось Обработчиком ПДн, а нарушителем является Оператор – российская компания, находящаяся за пределами ЕС, – иск может быть направлен против материнской компании. Соответственно, разница между 4% от годового оборота локального Европейского филиала и 4% от оборота всей материнской компании может быть весьма значительной!

Будет ли все именно так и какой именно будет правоприменительная практика в каждой из 28 стран ЕС – в данный момент предсказать сложно. Так же, как сложно предсказать политическую составляющую этого процесса. Сейчас понятно только одно. Чтобы избежать неприятностей – надо к ним готовиться.

8. Что нужно делать?

Важно понять, попадает ли ваша организация под требования нового Регламента GDPR. Если у вас есть дочерние подразделения в ЕС или вы обрабатываете ПДн жителей ЕС или предлагаете им товары или услуги, рекомендуем самостоятельно или с нашей помощью проделать следующие шаги:

  • Провести инвентаризацию информационных активов и определить, какие категории ПДн вы обрабатываете.
  • Описать потоки ПДн, циркулирующие в вашей компании, а также поступающие к вам и передаваемые вами.
  • Выявить все компании, с которыми вы обмениваетесь ПДн, которым поручаете обработку или которые поручают обработку вам.
  • Проанализировать законные условия, на которых вы используете персональные данные. Имеется ли у вас согласие пользователя? Можете ли вы показать, что данные обрабатываются с соблюдением баланса интересов?
  • Проверить пользовательские соглашения. Регламент требует, чтобы информация в них была изложена четким и доступным языком.
  • Подготовить политику и процедуры реагирования на утечку данных.
  • Создать механизмы отчетности. Компания должна иметь четкие внутренние стандарты по мониторингу, оценке и минимизации процессов обработки и хранения данных.
  • Определить, требуется ли назначение Инспектора по защите данных (Data Protection Officer) и представителя в ЕС.
  • Привести документальное обеспечение в соответствии с требованиями.
  • Привести в соответствие технические средства обработки ПД (шифрование, обезличивание, портативность данных и т.д.).

9. Мы готовы помочь вам с реализацией требований нового Регламента GDPR, предложив:

  • Юридический и технический аудит процессов обработки и обеспечения безопасности ПДн.
  • Оценку рисков нарушения конфиденциальности ПДн.
  • Разработку плана мероприятий и «дорожной карты» по приведению в соответствие требованиям.
  • Определение необходимых организационных и технических мер, процессов и контролей по защите ПДн.
  • Разработку необходимых организационно-распорядительных документов в части обработки и защиты ПДн.
  • Проведение оценки соответствия требованиям GDPR.

Наши контакты:

Вы можете задать свои вопросы в части выполнения требований регламента GDPR, написав нам по электронному адресу: PDsecurity@softlinegroup.com.

Для подготовки расчета услуг по данной теме вы можете заполнить наш опросный лист.

Отзывы клиентов

Orange Business Services–Алексей Михайлович Вильсон

Softline реализовала проект миграции системы управления жизненным циклом средств аутентификации для Orange Business Services на новую версию SafeNet Authentication Manager (SAM) от компании «Аладдин Р.Д.». Мы очень довольны сотрудничеством с Softline, так как смогли на практике убедиться в профессионализме специалистов компании, объективности предлагаемых решений и качестве их исполнения. Уверен, что данный проект положил начало нашему долгосрочному партнерству.