/


Главная / Услуги и решения / Информационная безопасность / Защита персональных данных в соответствии с GDPR

Защита персональных данных в соответствии с GDPR

1. Что такое GDPR

С 25 мая 2018 года в Европейском Союзе начнет применяться новый Регламент (ЕС) 2016/679 по защите персональных данных (General Data Protection Regulation, GDPR).

Новый Регламент приходит на смену старому документу по защите персональных данных (ПДн) – Директиве 95/46/ЕС, действие которой прекращается.

Одно из важных отличий старой Директивы от нового Регламента заключается в разном правовом статусе этих документов. Если Директива декларировала определенные правила и требовала отразить их в национальных законодательствах стран ЕС (при этом в разных странах реализация требований, меры защиты и ответственность за нарушения могли быть различными), то новый Регламент является документом прямого действия, т.е. находится «выше» национальных законодательств и является обязательным для выполнения для всех стран Евросоюза. Таким образом, новый Регламент обязывает страны ЕС гармонизировать законодательство в области защиты ПДн, т.е. привести к единому стандарту требования по защите ПДн и ответственность за нарушения.

2. Новые принципы обработки

Регламент GDPR устанавливает следующие принципы обработки персональных данных:

  • Законность, справедливость и прозрачность. Данные должны обрабатываться на законных основаниях, справедливым и открытым образом в отношении Субъекта данных.
  • Ограничение цели. Данные должны собираться и использоваться для конкретных, ясных и законных целей, заявленных Оператором, и не должны в дальнейшем обрабатываться способом, несовместимым с этими целями.
  • Минимизация данных. Нельзя собирать больше данных, чем это необходимо для выполнения целей обработки. Необходимо стремиться к минимизации этого объема.
  • Точность. Обрабатываемые данные должны быть точны. Недостоверные данные должны быть уточнены или удалены.
  • Ограничение хранения. Личные данные должны храниться в форме, позволяющей идентифицировать Субъектов только в течение срока, необходимого для достижения целей обработки, не дольше.
  • Целостность и конфиденциальность. При обработке данных должна быть обеспечена защита от несанкционированной или незаконной обработки, уничтожения и повреждения. 

3. Новые права субъектов

Новый Регламент GDPR нацелен на защиту прав Субъектов персональных данных (лиц, чьи данные обрабатываются) и дает им больше возможностей, например:

  • Право на доступ к данным. Субъект может требовать информацию о характере обработки своих данных, цели и месте обработки, имеет право доступа к своим данным и право на исправление неправильных данных.
  • Право не давать свое согласие на обработку ПДн в целях, непосредственно не связанных с целями обработки ПДн (например, для целей прямого маркетинга), или ограничивать определенную обработку своих данных.
  • Право на удаление (право на забвение). Субъект теперь имеет право требовать удаления своих данных не только из поисковых систем, но и от любого Оператора данных в условиях отзыва согласия и отсутствия других законных оснований для обработки ПДн.
  • Право на перенос данных. Регламент предоставляет Субъектам данных право потребовать у Оператора бесплатно предоставить ему копию всех обрабатываемых данных в структурированном и удобочитаемом виде или беспрепятственно передать данные другому Оператору в электронном виде.

4. Новые роли, которые вводит Регламент:

  • Controller (Оператор/контролер) – определяет цели, задачи и процедуры обработки персональных данных.
  • Processor (Обработчик) – производит непосредственно обработку и/или хранение персональных данных (по поручению Оператора/контролера).
  • Представитель в ЕС – в случае если у организации нет представительств в ЕС, но она попадает под действие GDPR, может понадобиться назначение официального представителя в ЕС.
  • Data Protection Officer (Инспектор по защите данных) – сотрудник Оператора/Обработчика или отдельное лицо, осуществляющее помощь в реализации требований Регламента, мониторинг реализации положений Регламента и взаимодействие с регуляторами, а также отвечающий на все вопросы Субъектов.

5. Расширение перечня защищаемой информации

Новый регламент расширяет перечень персональных данных, подлежащих защите:

  • К персональным данным теперь относят не только идентификационные данные Субъектов (ФИО, контактная информация, биометрические данные и т.д.), но и интернет-идентификаторы, такие как IP-адрес, cookie файлы, RFID идентификаторы и т.п, а также генетическую информацию (ДНК, РНК).

6. Кто попадает под новые требования?

1. Организации, учрежденные в ЕС (включая представительства, дочерние подразделения зарубежных компаний).

2. Любые иные организации, занимающиеся:

  • Предложением товаров или услуг субъектам из ЕС на платной или бесплатной основе. (интернет-магазины, интернет-сервисы, операторы связи, туроператоры, банки и т.д. Определяющим признаком являются использование языка или валюты стран ЕС с возможностью заказывать товары или услуги на этом языке либо упоминание потребителей/пользователей, находящихся в ЕС.
  • Осуществляющие анализ действий в Интернете субъектов, находящихся в Евросоюзе. (составление профиля пользователя, в том числе, в целях принятия решений для анализа/прогнозирования их личных предпочтений, поведения, отношения к чему-либо или личностных характеристик. Сюда попадают интернет-магазины, поисковые системы, банки, сайты знакомств, социальные сети и иные подобные организации.

Основной нюанс в том, что действие нового Регламента экстерриториально и распространяется не только на организации стран ЕС, но и на иностранные организации, попадающие под условия, перечисленные выше. При этом надо понимать, что с появлением GDPR с трудностями столкнутся не только российские компании, а любые компании со всего света, которые хотят действовать в Европе и предлагать свои товары и сервисы европейцам.

7. Ответственность за невыполнение

В соответствии с Регламентом налагаемые штрафы должны быть эффективными, соразмерными и оказывать сдерживающее воздействие. Размер предполагаемых штрафов однозначно можно назвать сдерживающим. Регламент обязует Операторов и Обработчиков уведомлять регулирующие органы (в ряде случаев и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения факта такого нарушения.

В случае незначительного нарушения штраф может составлять 10 млн Евро или 2% годового оборота компании нарушителя.

Если же регулятор сочтет, что нарушение значительно – штраф может составить 20 млн Евро либо до 4% годового оборота компании (в зависимости от того, что больше).

При этом есть важный нюанс: регулятор наказывает нарушителя.

Например: если регулятор сочтет, что нарушителем является европейское представительство российской компании, которое знало о новых требованиях, но не стало выполнять их – иск будет направлен к данной локальной компании.

Если же локальное представительство не имело возможности выполнить в полной мере требования, т.к. всего лишь являлось Обработчиком ПДн, а нарушителем является Оператор – российская компания, находящаяся за пределами ЕС, – иск может быть направлен против материнской компании. Соответственно, разница между 4% от годового оборота локального Европейского филиала и 4% от оборота всей материнской компании может быть весьма значительной!

Будет ли все именно так и какой именно будет правоприменительная практика в каждой из 28 стран ЕС – в данный момент предсказать сложно. Так же, как сложно предсказать политическую составляющую этого процесса. Сейчас понятно только одно. Чтобы избежать неприятностей – надо к ним готовиться.

8. Что нужно делать?

Важно понять, попадает ли ваша организация под требования нового Регламента GDPR. Если у вас есть дочерние подразделения в ЕС или вы обрабатываете ПДн жителей ЕС или предлагаете им товары или услуги, рекомендуем самостоятельно или с нашей помощью проделать следующие шаги:

  • Провести инвентаризацию информационных активов и определить, какие категории ПДн вы обрабатываете.
  • Описать потоки ПДн, циркулирующие в вашей компании, а также поступающие к вам и передаваемые вами.
  • Выявить все компании, с которыми вы обмениваетесь ПДн, которым поручаете обработку или которые поручают обработку вам.
  • Проанализировать законные условия, на которых вы используете персональные данные. Имеется ли у вас согласие пользователя? Можете ли вы показать, что данные обрабатываются с соблюдением баланса интересов?
  • Проверить пользовательские соглашения. Регламент требует, чтобы информация в них была изложена четким и доступным языком.
  • Подготовить политику и процедуры реагирования на утечку данных.
  • Создать механизмы отчетности. Компания должна иметь четкие внутренние стандарты по мониторингу, оценке и минимизации процессов обработки и хранения данных.
  • Определить, требуется ли назначение Инспектора по защите данных (Data Protection Officer) и представителя в ЕС.
  • Привести документальное обеспечение в соответствии с требованиями.
  • Привести в соответствие технические средства обработки ПД (шифрование, обезличивание, портативность данных и т.д.).

9. Мы готовы помочь вам с реализацией требований нового Регламента GDPR, предложив:

  • Юридический и технический аудит процессов обработки и обеспечения безопасности ПДн.
  • Оценку рисков нарушения конфиденциальности ПДн.
  • Разработку плана мероприятий и «дорожной карты» по приведению в соответствие требованиям.
  • Определение необходимых организационных и технических мер, процессов и контролей по защите ПДн.
  • Разработку необходимых организационно-распорядительных документов в части обработки и защиты ПДн.
  • Проведение оценки соответствия требованиям GDPR.

Наши контакты:

Вы можете задать свои вопросы в части выполнения требований регламента GDPR, написав нам по электронному адресу: PDsecurity@softlinegroup.com.

Для подготовки расчета услуг по данной теме вы можете заполнить наш опросный лист.

Отзывы клиентов

ООО «Сентинел Кредит Менеджмент»–Алексей Бойков

Работая с персональными данными, наша компания уделяет большое внимание соблюдению требований государственных регуляторов. Обеспечение конфиденциальности клиентской информации для нас является основополагающим принципом ведения бизнеса. Благодаря проекту, реализованному специалистами Softline, у нас есть как техническая, так и правовая база для нашей дальнейшей деятельности.