Новые правила обработки персональных данных в ЕС: о чем нужно знать украинским компаниям?

В мае 2018 г. страны ЕС перешли на обновленные общие правила обработки персональных данных (General Data Protection Regulation — GDPR), установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г.). Регламент принят на замену рамочной Директивы о защите персональных данных 95/46/ЕС от 24 октября 1995 г. и является документом прямого действия во всех странах ЕС. Важно то, что действие GDPR не ограничено рамками ЕС — правила распространяются на все компании, которые занимаются обработкой персональных данных резидентов и граждан ЕС независимо от того, в какой стране расположена такая компания. Поэтому если украинская компания предоставляет услуги на европейском рынке и работает с персональными данными резидентов ЕС, то ей следует внимательно отнестись к GDPR. Ряд украинских IT-компаний уже внедрили у себя GDPR, и для того чтобы они поделились своим опытом с коллегами, IT-комитет Европейской Бизнес Ассоциации (ЕБА) организовал открытую встречу, которая состоялась 7 июня в офисе ЕБА.

Участников встречи от имени ЕБА поприветствовала Евгения Лугановская, координатор рабочей группы по поддержке бизнеса в зоне Операции объединенных сил (ООС) ЕБА. Она отметила, что новые правила обработки персональных данных в ЕС вызывают большой интерес со стороны компаний, работающих в Украине. IT-комитет ЕБА получил много запросов относительно GDPR. Поэтому было решено провести встречу со специалис­тами, чтобы представители компаний, занимающихся обработкой персональных данных, смогли получить ответы на свои вопросы из первых рук.

Владимир Бек, глава ІТ-комитета ЕВА, начал свое выступление с воображаемого диалога:

– Знаете ли Вы хорошего специалиста по GDPR?
– Да, знаю.
– А контакты можете дать?
– Нет.

«В этом весь GDPR. Мнения разнятся — то ли это лучшая практика, то ли попытка отстрелить себе ногу», — отметил эксперт. По словам спикера, IT-компании столкнулись с предпосылками внедрения GDPR около 5 лет тому назад, когда Норвегия ужесточила требования по работе с персональными данными. В то же время страны ЕС отмечали утечку персональных данных и в результате разработали и приняли новые правила. Судя по всему, США также возьмут их на вооружение.

Эксперт сообщил, что все компании, которые работают с персональными данными резидентов ЕС или планируют с ними работать, должны обязательно учитывать GDPR, поскольку за нарушение предусмотрены серьезные санкции.

Введение в GDPR

Анна Урусова, младший партнер компании Crowe LF Ukraine, сообщила, что с 25 мая 2018 г. в ЕС вступили в силу обновленные правила обработки персональных данных, установленные GDPR (Регламент ЕС 2016/679 от 27 апреля 2016 г.). Одним из самых важных моментов является то, что действие GDPR не лимитировано рамками ЕС, а распространяется на все компании, которые обрабатывают персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

Кроме того, данным документом ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR — штрафы достигают 20 млн евро или 4% от годового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

На данный момент Европейская комиссия приняла 9 руководящих указаний в сфере GDPR:

  • Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp 251 rev. 01);
  • Guidelines on Personal data breach notification under Regulation 2016/679 (wp 250 rev. 01);
  • Guidelines on the application and setting of administrative fines (wp 253);
  • Guidelines on Transparency under Regulation 2016/679 (wp 260) — adopted, but still to be finalized;
  • Guidelines on Consent under Regulation 2016/679 (wp 259) — adopted, but still to be finalized Guidelines on the Lead Supervisory Authority­ (wp 244 rev. 01);
  • Guidelines on Data Protection Officers (DPOs) (wp 243 rev. 01);
  • Guidelines on the right to «data portability» (wp 242 rev. 01);
  • Guidelines on Data Protection Impact Assessment (DPIA) (wp248 rev.01).

Докладчик сообщила, что Регламент ЕС 2016/679 от 27 апреля 2016 г. (далее — Регламент) доступен на сайте Верховной Рады Украины.

Кому готовиться к GDPR? Спикер обратила внимание на то, что Регламент распространяется на 3 категории субъектов, а именно:

  • организации, учрежденные в ЕС. Регламент применяется к организациям, учрежденным в ЕС и осуществляющим обработку персональных данных или контролирующим такую обработку в контексте своей деятельности в ЕС, независимо от того, где именно осуществляется такая обработка;
  • организации, осуществляющие обработку данных в связи с предложением товаров или услуг в ЕС. В комментариях к Регламенту разъясняется, что пассивный доступ к сайту или контактным данным организации недостаточен. Необходимо, чтобы организация прямо предусматривала возможность реализации товаров или услуг в ЕС. Например, путем использования языка соответствующей страны ЕС, в том числе при оформлении заказа, прямого упоминания европейских потребителей на сайте или путем принятия платежей в соответствующей валюте;
  • организации, осуществляющие мониторинг поведения субъектов данных, поскольку действия совершаются на территории ЕС. Под таким мониторингом предлагается понимать отслеживание поведения субъектов данных в сети Интернет, включая последую­щую обработку персональных данных для составления профилей, особенно для принятия решений в отношении таких субъектов или анализа и прогнозирования их поведения и предпочтений.

С точки зрения территориального действия GDPR, эксперт выделила следующие нюансы. GDPR требуется в следующих случаях:

  • компания расположена в ЕС;
  • компания находится не в ЕС, но субъект данных находится в ЕС, обработка персональных данных связана с предоставлением товаров или услуг, или обработка персональных данных связана с мониторингом поведения на территории ЕС.

В других случаях соблюдения GDPR не требуется.

А. Урусова привела основные термины Регламента.

Персональные данные (personal data) — это любая информация, относящаяся к идентифицированному или идентифицируемому физичес­кому лицу (субъект данных), которая позволяет прямо или косвенно его определить. К такой информации в том числе относятся имя, данные о местоположении, онлайн-идентификатор или один или несколько факторов, характерных для физической, физиологической, генетичес­кой, умственной, экономической, культурной или социальной идентичности этого физичес­кого лица. Определение широкое и достаточно четко дает понять, что даже IP-адреса могут быть персональными данными.

Обработка (processing) означает любую операцию или набор операций, которые совершаются с персональными данными или набором персональных данных, с использованием автоматизированных средств и без таковых, в числе которых сбор, запись, организация, структурирование, хранение, переработка или изменение, поиск и выборка, экспертиза, использование, раскрытие посредством передачи, рассылка или иной способ предоставления для доступа, группировка или комбинирование, отбор, стирание или уничтожение.

Контролер (controller) — это физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.

Обработчик (processor) — это физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролера.

Особая категория персональных данных — данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах, генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации.

Инспектор по защите данных (Data Protection Officer — DPO) — лицо, которое обес­печивает соблюдение требований GDPR и сотрудничает с надзорным органом. Назначается контролером и обработчиком в случаях:

  • обработки, осуществляемой органом власти;
  • регулярного систематического мониторинга субъектов данных в крупных масштабах;
  • масштабной обработки особых категорий персональных данных и данных об уголовной истории.

Представитель контролера или обработчика в ЕС — физическое или юридическое лицо, находящееся в ЕС, которое специально уполномочено в письменной форме контролером или обработчиком и представляет контролера или обработчика в отношении обязательств, вытекающих из GDPR. Представитель может не назначаться в отношении:

  • обработки, которая является единичной, не охватывает в больших масштабах обработку особых категорий данных либо обработку персональных данных, связанных с уголовными приговорами и правонарушениями, а также обработки персональных данных, которая едва ли обернется рисками для прав и свобод физических лиц; или
  • обработки, осуществляемой органом государственной власти или учреждения.

Data Protection Impact Assessment (DPIA) — оценка влияния процессов обработки данных на права и свободы владельцев данных, которая проводится в случае высокого риска для прав и свобод физических лиц. Цель DPIA — описать риски, дать им оценку и управлять ими, а также продемонст­рировать соответствие GDPR. DPIA, в частности, но не исключительно, проводится в случаях:

  • систематической и широкой оценки поведения, которая базируется на автоматической обработке данных;
  • масштабной обработки особых категорий персональных данных и данных об уголовной истории;
  • регулярного систематического мониторинга публично доступных сфер в крупных масш­табах и другое.

Среди ключевых аспектов GDPR спикер обратила внимание на 6 принципов обработки данных.

Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объемах обработки персональных данных следует излагать максимально доступно и просто.

Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).

Минимизация данных. Нельзя собирать личные данные в большем объеме, чем это необходимо для целей обработки.

Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).

Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.

Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Обработка является правомерной, только если:

  • субъект данных дал согласие на обработку его/ее персональных данных для одной или нескольких конкретных целей;
  • обработка необходима для исполнения договора, в котором субъект данных является одной из сторон, либо для принятия мер по требованию субъекта данных до заключения договора;
  • обработка необходима для соблюдения правовых обязательств, субъектом которых является контролер;
  • обработка необходима для защиты жизненных интересов субъекта данных либо иного физического лица;
  • обработка необходима для выполнения задачи, осуществляемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
  • обработка необходима для целей обеспечения законных интересов контролера или третьего лица, за исключением случаев, когда такие интересы не принимают во внимание интересы или основные права и свободы субъекта данных, которые требуют защиты персональных данных, в частности в случаях, когда субъектом данных является ребенок.

GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Политика конфиденциальности должна быть простой и понятной. Пользователю нужно объяснить, зачем компании его данные, как они будут использоваться и храниться.

Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контролер должен иметь возможность продемонстрировать это.

Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка).

Что важно знать о правах физических лиц, находящихся в ЕС, если ваш бизнес работает с их персональными данными? В этом контексте докладчик отметила следующие права.

Право быть проинформированными — субъект персональных данных должен быть проинформирован о том, как собираются и используются данные о нем.

Право доступа к своим данным — компания несет обязательство предоставлять доступ к персональным данным субъекту персональных данных.

Право на исправление — право на исправление или дополнение данных, если они не соответствуют действительности или неполные.

Право на «забвение» — право человека запросить удаление персональной информации о себе, если нет весомых оснований для продолжения использования этих данных, если обработка неправомерна, субъект данных отозвал свое согласие в порядке, предусмотренном GDPR.

Право ограничить обработку — право ограничить обработку персональных данных компанией, при этом прямо разрешает хранение данных.

Право на перенос данных (right to data portability) — компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.

Право «быть против» — право на возражения против использования персональных данных в научных/исторических исследованиях, прямом маркетинге, социально-демографическом профилировании и других активностях.

Права защиты от «автоматизированных» решений — субъект данных имеет право не подчиняться решению, основанному исключительно на автоматизированной обработке, которое порождает правовые последствия, касающиеся его/ее или аналогичным образом в значительной степени влияют на него/нее.

Что касается ответственности за нарушение GDPR, то на сегодня ЕС предусматривает 2 категории штрафов. Первая категория предусматривает штраф в размере 10 млн евро или 2% от годового дохода за нарушение обязанностей контролера и обработчика, представителя контролера или обработчика, органа сертификации, органа мониторинга.

Вторая категория предусматривает штраф в размере 20 млн евро или 4% от годового дохода за нарушение основных принципов обработки данных, прав субъекта данных, порядка передачи данных за пределы ЕС, обязательств стран — членов ЕС, определенных в главе IX Регламента, требований контролирующих органов, указанных в статьях 58 (1) и 58 (2).

Что делать для имплементации GDPR?

Этап 1. Подготовительный. Определение объема персональных данных, которые обрабатываются (реестр данных). Аудит рисков, связанных с обработкой персональных данных — GAP ANALYSIS. Разработка плана действий по имплементации GDPR. Анализ влияния на защиту данных при обработке данных с высоким рис­ком (Data Protection Impact Assessment).

Этап 2. Подготовка документации по защите персональных данных: политика конфиденциальности, политика о защите персональных данных, политика хранения и архивирования данных, форма согласия на обработку персональных данных, обязательные корпоративные правила (BCR), если компания входит в группу компаний, и т.д.

Этап 3. Осуществление организационных и технических мер по имплементации требований Регламента:

  • организационные: приведение в соответствие с разработанной документацией и Регламентом процедуры обработки данных, согласование обязательных корпоративных правил с надзорным органом, оформление письменного документа с представителем в ЕС, назначение ответственного лица, назначение DPO и т.д.;
  • технические: программы по управлению соответствием GDPR, ограничение доступа к персональным данным, псевдонимизация, цифрование данных, программы, удаляющие данные по истечении срока хранения, и т.д.

Требования к Soft

Андрей Стражинский, директор по маркетингу и продажам компании SoftElegance, рассказал, как GDPR влияет на разработку программного обеспечения и что получают пользователи.

Спикер отметил, что, с точки зрения GDPR, важно четко пояснить пользователю, кто и зачем собирает и обрабатывает его персональные данные, в том числе кууки (англ. Cookie). Эти сведения должны быть легкодоступными. Если дополнительно происходит сбор данных с других ресурсов, то об этом тоже необходимо сообщать, указывая, с каких ресурсов и для чего.

После того как пользователь ресурса получил детальную информацию о том, кто и для чего осуществляет сбор и обработку его персональных данных, сервис должен предоставить ему возможность ознакомиться с собранными персональными данными. То есть когда пользователь заходит в свой профайл, он может увидеть все сведения о нем, которые ресурс собрал, и имеет право их скачать. На сегодня возможность скачивания собственных персональных данных предоставляют, например, такие ресурсы, как Facebook или Google.

Важный момент GDPR — пользователю необходимо предоставить возможность удалить свои персональные данные и осуществлять их импорт/экспорт. Спикер отметил, что импорт/экспорт — то есть обмен данными между системами, которые осуществляют их сбор и обработку, — весьма трудная задача для программиста. На сегодня в Регламенте говорится о том, что пользователь должен иметь возможность синхронизировать данные. В связи с этим Европейская комиссия предложила IT-индустрии выработать универсальный механизм для синхронизации персональных данных.

Также GDPR предполагает возможность анонимизации данных. То есть если данные невозможно удалить, то пользователю нужно обеспечить возможность анонимности. Это касается, например, финансовых отношений.

Кроме того, система должна быть спроектирована таким образом, чтобы пользователь имел возможность исправить ошибки в его персональных данных.

Пользователь обязательно должен дать согласие на обработку персональных данных. Это означает, что перед тем, как начать сбор персональных данных, система должна предоставить пользователю информацию о том, кто и зачем собирает данные, а затем запросить согласие на их обработку.

Пояснения, которые касаются вопросов обработки персональных данных, должны быть четкими и доступными для понимания пользователя. Если речь идет о сервисе для детей, то пояснения по поводу обработки персональных данных должны быть понятны ребенку.

Отдельный вопрос — утрата или утечка персональных данных. О том, что произошла утрата или утечка персональных данных, пользователю необходимо сообщить в течение 72 ч, причем с помощью автоматической рассылки. Компании, расположенные в ЕС, должны передавать информацию об утрате или утечке персональных данных также путем автоматической рассылки в надзорный орган. В целом же Регламент требует, чтобы компания прилагала максимум усилий для обес­печения сохранности персональных данных.

Еще один существенный момент — отказ от обработки персональных данных. Иными словами, человек, который ранее дал согласие на сбор и обработку персональных данных, должен иметь возможность в любое время отказаться от этого. И тогда его персональные данные удаляются.

Также в системе должны храниться данные о времени получения согласия и отказа на обработку персональных данных.

Юридические аспекты

Иванна Погребняк, директор юридического департамента компании AltexSoft, отметила, что для того чтобы компания соответствовала требованиям GDPR, необходимо выполнить все технические и юридические требования, касающиеся новых правил хранения и обработки персональных данных. Поэтому компания должна оценить риски и устранить их.

Для начала компании следует понять — она процессор или контролер, или процессор и конт­ролер одновременно. То есть для начала необходимо проанализировать свой бизнес, а также третьи стороны, с которыми компания сотрудничает. Кроме того, необходимо оценить, какие именно персональные данные собирает и обрабатывает компания и для чего.

Пользователь, зайдя на сайт, должен понимать, какие данные собираются и что с ними происходит. Это означает, что политика конфиденциальности, размещенная на сайте, должна содержать информацию о том, с какой целью осуществляются сбор и обработка персональных данных. Если, например, речь идет об интернет-магазине, то в политике конфиденциальности должно быть указано, что персональные данные собираются с целью дальнейшей рассылки информации о товарах и услугах. Если же компания собирает персональные данные для получения статистических данных, то в политике конфиденциальности надо указать, что персональные данные будут использоваться для статистического анализа. Если для анализа данных компания обращается к услугам третьей стороны, то и об этом необходимо уведомить пользователя — он должен знать, кто еще получит дос­туп к его персональным данным.

При внедрении GDPR компания также должна выяснить, что является правовой основой для обработки персональных данных. Это может быть согласие на обработку или договор. Если речь идет о договоре, то это означает, что персональные данные могут использоваться только для выполнения условий договора. Если после выполнения договора компания начнет присылать пользователю письма с предложением своих услуг, то это будет считаться нарушением GDPR.

Алексей Столяренко, старший юрист Baker & McKenzie, выразил уверенность в том, что рано или поздно GDPR распространится и на Украину. «Нам придется с этим жить. Поэтому компании, которые работают с персональными данными, должны хорошо разбираться в GDPR», — отметил спикер.

В контексте имплементации требований GDPR в Украине А. Столяренко напомнил, что ряд положений Соглашения об ассоциации между Украиной и ЕС предписывают нашей стране обеспечить надлежащий уровень защиты персональных данных. Надлежащий уровень защиты и есть GDPR.

Первые шаги в этом направлении уже сделаны. Кабинет Министров Украины принял план действий по выполнению Соглашения об ассоциации между Украиной и ЕС. Документ предусматривает, что Украина должна была имплементировать GDPR в украинское законодательство до 25 мая 2018 г. Пока что это условие не выполнено, но, по мнению юриста, вероятнее всего, в течение 2 ближайших лет следует ожидать активных действий в направлении внедрения GDPR. В плане действий Правительства указано, что будет усиленно ведомство, отвечающее за соблюдение правил работы с персональными данными, на сегодня это Департамент по защите персональных данных при Государственном уполномоченном по правам человека. Это ведомство будет усилено за счет расширения штата и полномочий, в частности, оно получит право осуществлять соответствующие проверки бизнеса.

«Когда Украина имплементирует GDPR, то сможет получить статус страны, которая обес­печивает адекватный уровень защиты персональных данных. И европейские компании смогут без дополнительных предостережений передавать данные для их обработки в Украине. То есть у нашей страны есть шанс стать хабом для обработки персональных данных резидентов ЕС», — подытожил спикер.

Елена Приходько,
фото автора

Коментарі

Коментарі до цього матеріалу відсутні. Прокоментуйте першим

Добавить свой

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*

Інші статті розділу


Останні новини та статті