Уже больше месяца, как вступил в силу европейский регламент по защите персональных данных GDPR (General Data Protection Regulation).

Евросоюз перешел на новые правила обращения с персональными данными, а GDPR касается любой работы с персональными данными, в том числе сбора, хранения и передачи. Собирать и обрабатывать персональные данные с 25 мая можно только с согласия пользователя, при этом оно должно быть явным. Какие еще особенности предусматривает данный регламент разбирала старший юрист ЮКК «Де-Юре», адвокат Алена Берназ.

GDPR предусматривает:

  • упорядочивание работы с персональными данными пользователей ЕС;
  • механизм защиты;
  • взаимодействие между компанией, пользователем и регулирующими органами.

General Data Protection Regulation (GDPR) Concept Illustration -

В ст.2 ЗУ «О защите персональных данных» указано, что персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Однако GDPR рассматривает в качестве персональных — любые данные, прямо или косвенно позволяющие установить личность. То есть не только имя, фамилию, телефонный номер или e-mail, но и cookie-файлы и данные систем интернет-статистики или рекламы.

Важно отметить, что существуют некоторые типы данных, относящихся к категории особых или конфиденциальных персональных данных. Это информация, содержащая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические и биометрические данные, которые могут быть использованы для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или ориентации.

На кого распространяется

GDPR распространяется на любую компанию, предлагающую находящимся на территории ЕС пользователям товары или услуги или ведущую мониторинг их действий. Под последнее условие подпадают любые компании, имеющие сайт, посещаемый пользователями с территории ЕС.

И все-таки концентрация GDPR на крупнейших участниках рынка.

Если компания использует собственную систему веб-аналитики, стоит либо закрыть доступ для пользователей из европейских сетей, либо привести процесс работы с персональными данными в соответствие с новой нормой.

Согласие

GDPR требует, чтобы персональные данные обрабатывались на законных основаниях, — таким основанием может быть либо заключенный контракт, либо согласие субъекта на их обработку.

Это согласие должно быть дано явным образом, написано простым, понятным для пользователя языком, а также содержать четкое и подробное описание того, какие именно данные, с какой целью, каким образом и в течение какого времени собираются и обрабатываются.

С 25 мая каждый сайт на который может зайти пользователь из стран ЕС обязан получить согласие на обработку его персональных данных.

Наличие коммуникации

Одно из действительно новых требований — создание в каждой компании коммуникации (contact point) с субъектом персональных данных, который, в соответствии с главой 3 документа, должен иметь право:

  • отозвать данное ранее согласие на их обработку;
  • запросить и получить свои данные, имеющиеся у конкретной организации, собирающей данные в своих интересах;
  • получить информацию о целях и результатах их обработки;
  • удалить эти данные или внести в них изменения при обнаружении неточностей.

В случае, если обрабатываются так называемые «анонимизированные» данные, которые не позволяют напрямую идентифицировать человека при повторном обращении (например интернет-статистика), без этого можно обойтись. Но если обработка включает регистрацию пользователя, наличие такой точки коммуникации становится строго обязательным.

Ответственность

В случае несоблюдения требований GDPR существует риск штрафов за нарушение нормы в размере 20 млн. евро.  или 4% от годового оборота нарушителя для глобальных компаний. Зависит от того какая сумма будет больше.

Согласно условий существует два механизма выявить нарушение GDPR:

  1. Жалоба. Например, пользователь получает рассылку, на которую он не подписывался, и подает жалобу. Такая практика и сейчас достаточно сильно распространена среди европейских пользователей.
  2. Проверка, которая может пройти внезапно. Чтобы провести проверку, в некоторых случаях достаточно просто пройти путь пользователя по сайту, что легко можно сделать удаленно и без вашего участия.

Каждая компания по условиям GDPR теперь обязана назначить ответственное лицо за сбор и обработку персональных данных (DPO — data protection officer).

Компания также должна иметь офис или письменно назначенного представителя на территории ЕС, реквизиты которого указываются в согласии на обработку данных.

Именно на адрес этого представителя будут направляться документы как от субъектов данных (например письменный отзыв согласия), так и от регулятора — скажем, извещение о поступивших жалобах или грядущих проверках.

Важно: этот офис или адрес представителя обязательно должен получать данные извещения.

Международным компаниям имеет смысл выделить подразделение, занимающееся обработкой персональных данных, в отдельную компанию, чтобы затруднить применение штрафных санкций ко всему обороту.

Отчетность

Процесс обработки персональных данных должен фиксироваться – протоколы (ст. 30). Пока только в компаниях размером более 250 человек, и речь идет только об описании каждой группы используемых данных, целей их обработки и факта передачи третьим лицам.

Защита данных

GDPR вводит минимально обязательный перечень средств обеспечения безопасности персональных данных, среди которых — обязательное шифрование, а также средства обеспечения постоянной конфиденциальности и целостности данных.

То есть хранить в текстовом формате пароли после 25 мая еще можно, а вот имя и фамилию пользователя — уже нет.

В GDPR нет четких предписаний, какие security controls применять, но архитектура должна быть построена по принципу Data protection by design and by default (Art. 25 GDPR) Данный принцип включает сюда следующие технические требования:

  • Фаервол, VPN Access, двухфакторная аутентификация, strict authorization, шифрование бэкапов
  • Шифрование данных (HTTPS, IPSec, TLS, PPTP, SSH; whole disk, database encryption и т.д.)
  • Реализовать функциональность, позволяющую пользователю удалить, изменить или ограничить доступ к своим данным.

72 часа для уведомления об утечках

В случае обнаружения утечки персональных данных необходимо через офис или представителя в ЕС сообщить регулятору об этом, по какой причине, какие данные и в каком объеме утеряны и какие меры принимаются по смягчению возможных неблагоприятных последствий утечки.

Право выбора

По-настоящему ярким нововведением GDPR — является право пользователя на возражение против результатов автоматической обработки данных, создания профилей и принятия на их основании решений.

Дальнейшие действия

Полное соответствие GDPR потребует перестройки не только процессов, но и систем компании — внедрения систем защиты, контроля и протоколирования обработки персональных данных, что займет немало времени и потребует значительных инвестиций.

Начать можно с таких ключевых вещей:

  1. Подготовить ряд документов и политик (data protection policy, privacy notice, data retention policy), а на их основе — согласие. Все на английском языке.
  2. Выберите офис или представителя на территории ЕС и назначьте DPO.
  3. Установить систему защиты данных от утечек.
  4. Внести изменения во все контракты в соответствии с GDPR.
  5. Проверить всех контрагентов на соответствие GDPR.

 И на последок оставлю ссылку на краткую презентацию GDPR на англ.языке:

 https://ec.europa.eu/justice/smedataprotect/index_en.htm

 

 Старший юрист ЮКК «Де-Юре», адвокат Алена Берназ.