Что такое gdpr в европе
Информация о GDPR на русском языке
GDPR (General Data Protection Regulation)
Основные цели GDPR
Основные термины
Права граждан
GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:
Персональные данные
Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).
Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.
То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.
Примеры персональных данных:
А также особо охраняемые данные:
Принципы обработки данных по GDPR
Сфера действия GDPR
Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).
Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.
Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).
Соответствие требованиям GDPR
Несоблюдение норм GDPR
Утечка персональных данных
Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.
Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.
Всё о GDPR для российских компаний
Страны Евросоюза приняли Регламент — General Data Protection Regulation, чтобы защитить личные данные граждан.
Постановление Евросоюза состоит из одиннадцати глав, которые включают:
Генеральный регламент Евросоюза не должен рассматриваться как препятствие для экономики. Международный документ служит инструментом укрепления доверия потребителей. Особенно — на фоне участившихся в последнее время скандалов, связанных с масштабными утечками баз данных.
Общий регламент по защите данных вступил в силу 25 апреля 2016 года. Однако до 25 мая 2018 г. вводился переходный период для подготовки компаний к работе в новых условиях.
Начиная с 25 мая 2018 года молчаливого согласия на операции с личными данными уже недостаточно. Регламент усложнил работу компаний, возложив на них ряд обязательств:
В то же время GDPR предоставил гражданам широкие привилегии в определении судьбы собственных личных данных.
Страны, на которые распространяется GDPR
Постановление Европарламента о защите персональных данных обязательно не только для стран Евросоюза.
Область применения постановления определена в первых статьях GDPR. Практически все отрасли и фирмы подчиняются действию правил, как только начинают взаимодействовать с приватными сведениями о людях, находящихся в ЕС.
Поэтому компании, которые не входят в ЕС, должны соблюдать GDPR при условии, что они в той или иной форме действуют в ЕС и обрабатывают соответствующие данные.
По этой причине Регламент должен расцениваться как актуальный правовой акт для компаний из США, Европы и Азии.
На кого распространяются положения GDPR
Соблюдение цифровой конфиденциальности обязательно для компании из любой страны мира, если она:
Новые правила относятся не только к крупным компаниям с многомиллионными оборотами, которые обрабатывают тысячи данных о клиентах. GDPR влияет на каждую компанию, независимо как от места нахождения, так и от размера капитала или иных характеристик.
Одно из важных нововведений заключается в том, что теперь каждая компания, которая обрабатывает данные от граждан ЕС, независимо от местоположения сервера, должна придерживаться строгих правил.
Любая компания, которая представлена в интернете и отслеживает поведение пользователей, размещает формы обратной связи с клиентами, отправляет рекламные электронные письма, заключает договоры, предлагает услуги или товары с реализацией на территории ЕС, обязана соблюдать новые требования.
По правилам GDPR новым условиям обязаны подчиняться не только коммерческие компании. В равной мере эта обязанность возложена на организации, которые не занимаются коммерцией, а также на органы государственной власти.
Соблюдение новых требований актуально и для владельцев сайтов, размещенных на европейских серверах или имеющих отношение к ЕС в любом виде.
Принципиальные условия по GDPR
Конфиденциальная информация может обрабатываться только в соответствии с принципами, утверждёнными Европарламентом:
Государство вправе установить меньший возраст для указанных целей, но не менее 13 лет.
Ответственность за соответствие требованиям GDPR несёт контролёр.
Права граждан
Политика Европейского Союза защищает основные права человека. В первую очередь, право на информационное самоопределение. Личная информация не может произвольно обрабатываться и должна строго охраняться от несанкционированного доступа.
Регламент закрепляет за пользователями:
При получении личной информации не от самого гражданина, контролёр обязан предоставить информацию субъекту в разумный срок, но не позднее месяца с момента получения.
Каждый может сделать запрос контролёру, чтобы узнать, обрабатываются ли его конфиденциальные данные, в каких целях и получить к ним доступ.
Персональные данные по GDPR
Персональные данные — это вся информация, которая позволяет идентифицировать личность:
Общие данные. Любая информация, которая относится к человеку: адрес, возраст, место рождения; номер телефона.
Физические характеристики лица. Пол; цвет и особенности кожи; цвет волос и глаз; рост, размер одежды.
Онлайн-данные. IP-адрес, данные о местонахождении, адрес электронной почты, данные аккаунта.
Идентификационные данные. Идентификационный номер налогоплательщика, номер водительского удостоверения; номер социального страхования; номер медицинской страховки; номер документа, удостоверяющего личность.
Характеристики собственности. Наличие автомобиля и номерные знаки; права на недвижимость; записи в земельной книге, регистрационные данные.
Банковские реквизиты. Номера счетов; банковских карт; данные о средствах на счёте; кредитная информация.
Ценностные суждения о личности. Характеристики, рекомендации, отзывы.
Приведённый перечень не полон. Однако и он позволяет понять, что к защищаемой информации относятся любые сведения, хоть как-то относящиеся к личности.
Состав персональных данных, принятый в Евросоюзе, значительно шире, чем, например, в России.
Как соответствовать требованиям?
Даже небольшой бизнес или веб-сайт, на котором предусмотрена регистрация или рассылка читателям бюллетеней, должен следовать GDPR, чтобы не нарушить европейское законодательство.
Чтобы соответствовать требованиям Регламента, компаниям необходимо придерживаться правил:
Другие сведения (e-mail — чтобы рассылать рекламу, дата рождения – для поздравительных писем) для исполнения договора не нужны.
Чтобы получить данные о личности, без которых выполнить обязательства нельзя, согласие клиента не требуется.
Сбор необязательных для договора сведений возможен только в согласия клиента.
На обработку персональных данных, которые не предусмотрены трудовым контрактом, требуется согласие.
Ответственность за невыполнение GDPR
С мая 2018 года к началу 2020 года было выявлено 160 тысяч нарушений и взыскано штрафов на сумму 114 млн евро.
В 2020 году компании продолжают нести экономические потери в виде штрафов из-за невыполнения Регламента:
Ещё около трёхсот компаний оштрафованы в 2020 году на разные суммы.
Штрафы — не единственный вид наказания за нарушения. В арсенале надзорных органов, таких как ICO (Управление комиссара по информации), имеются и другие процедуры:
Вывод
Генеральный регламент стандартизирует деятельность компаний, которые предлагают онлайн-услуги, обрабатывают данные посетителей веб-сайта или данные зарегистрированных пользователей.
Положение компаний, которые не учитывают в деятельности обновлённые правила сбора конфиденциальной информации, находится под угрозой. Ответственность за нарушения может оказаться компании не по силам и разрушить бизнес.
Только включение правил GDPR в рабочие процессы позволит организации стабильно продолжать предпринимательскую деятельность.
“Cтрашилка” о GDPR
В мае 2018 года в Европе вступают в силу обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation).
Все компании, которые обрабатывают (как внутри, так и за пределами ЕС) персональные данные граждан европейских стран, обязаны соблюдать требования этого документа. Сфера действия новых правил GDPR распространяется на все 28 стран ЕС. Этот документ заменит существующие законы о защите персональных данных в европейских странах. С учетом того, что новые правила GDPR будут применяться экстерриториально, их соблюдение будет обязательным для российских компаний, имеющих присутствие в ЕС. То есть для любого российского бизнеса, собирающему и обрабатывающему персональные данные хотя бы одного гражданина страны-члена ЕС.
По мнению Александра Бодрика, сертифицированного специалиста по управлению информационной безопасностью корпоративных и облачных ландшафтов, GDPR содержит существенное число требований, например, только обеспечение переносимости всех персональных данных (data portability) может вылиться в миллиардные затраты в масштабах страны. Российский бизнес казалось бы имеет альтернативу — просто не предлагать гражданам ЕС свои услуги в России, но как минимум два класса российских компаний точно подпадут под GPDR:
«Нормы GDPR конкретно коснутся тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины», – отмечает Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт» и заместитель председателя подкомитета по платежам и информационной безопасности ТПП РФ.
«К примеру, система «Платон», в которой зарегистрировано около 2 млн личных кабинетов, сразу подпадает под действие GDPR. В сфере внимания окажутся и те, кто намерен предоставлять свои товары и услуги в странах Европейской экономической зоны: использует для их описания европейские языки, ведет заметный (агрессивный) маркетинг в ЕЭЗ, осуществляет мониторинг поведения европейцев, анализируя его с целью подготовки прогнозов, выявления предпочтений и т. п.»
Текст GDPR и официальные разъяснения
Есть так же заявление от Роскомнадзора, процитирую:
«Консультативный совет при Уполномоченном органе по защите прав субъектов персональных данных в 2018 году планирует представить предложения по правовому статусу «обезличенных» данных, а также по возможной корректировке законодательства о персональных данных в контексте реализации программы «Цифровая экономика».
Соответствующие решения приняты Советом на последнем заседании в 2017 году, состоявшемся в Роскомнадзоре.
В ходе заседания члены Консультативного совета обсудили новые требования Европейского союза, закрепленные Общим регламентом по защите данных (General Data Protection Regulation, GDPR), устанавливающим порядок обработки персональных данных. В ноябре на VIII Международной конференции «Защита персональных данных» руководитель Роскомнадзора Александр Жаров отметил, что требования Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России, поскольку Российская Федерация не является участницей международных договоров с ЕС. На них распространяется действие только российских законов в этой сфере в соответствии с общепринятыми международными принципами обработки персональных данных.»
Требования GDPR и последствия их несоблюдения
Новый Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR) вносит ряд изменений в правила, регулирующие защиту персональных данных, включая некоторые обязанности:
Штраф может не применяться. Он должен быть действенным, соразмерным и вразумляющим, может быть наложен в дополнение или вместо других мер.
Требования действующего российского законодательства, в контексте возможных коллизий с нормами Регламента GDPR
Представляется, что настоящее время преждевременно анализировать возможные коллизии между нормативными требованиями действующего российского законодательства, и нормами Регламента GDPR. Это связано, прежде всего, с тем, что, предполагается принятие целого ряда разъяснительных и директивных документов применения Регламента GDPR Рабочей группой WP29. Во-вторых, несмотря на непосредственное действие Регламента GDPR в государствах-членах Евросоюза, на государства-члены возложена обязанность «трансформировать» национальное право к требованиям Регламента GDPR, включая «переходные положения». В-третьих, после мая 2018 г. начнет формироваться национальная правоприменительная (судебная, административная) практика. Кроме того, т.к. Регламент GDPR непосредственно будет применяться Судом справедливости Евросоюза (European Court of Justic), после мая 2018 г. также начнет формироваться практика Суда справедливости.
В действующем российском законодательстве в регулировании отношений в сфере персональных данных системообразующим актом является Федеральный закон «О персональных данных» от 27.07.2006 № 152- ФЗ, с поправками Федерального закон № 242-ФЗ 2015 г. (далее – «ФЗ РФ о персональных данных»). В этой связи целесообразно обратить внимание на то, что Регламент GDPR и ФЗ РФ о персональных данных имеют различное действие в пространстве, по кругу лиц, и во времени.
Обобщенно можно сказать о том, что Регламент GDPR и российское законодательство, регулирующее сферу персональных данных, имеют самостоятельную территориальную и «юрисдикционную» сферу применения; при этом некоторая общность подходов регулирования не дает основания сделать вывод относительно их «гармонизации».
В практическом плане для российских компаний, деятельность которых связана со сферой персональных данных, ориентированных на пользователей в Евросоюзе, имеющих договорно-правовые обязательства с контрагентами Евросоюза, – это означает «двойное обременение».
Какой подход следует избрать по мнениям экспертов?
Так как формирование практики выстраивания процессов обработки и хранения персональных данных по требования GDPR находится на начальной стадии, мы рекомендуем решить вопросы соответствия требованиям российского законодательства в области обработки и хранения ПДн (152-ФЗ и 242-ФЗ). По законам РФ допускается привлечение лица, отвечающего за обработку ПДн по поручению оператора. Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Поэтому по GDPR облако, где также хранятся персональные данные, будет являться процессором данных, а оператор ПДн — контроллером.
В случае, если в сфере защиты персональных данных по 152-ФЗ и 242-ФЗ сделано всё необходимое, следует начинать процесс адаптации к нормам GDPR.
«Для начала ИТ-директору полезно написать красочную «страшилку» и отправить руководству», – рекомендует Аитов. Адаптация к нормам GDPR – это огромная и длительная работа, которая ляжет на службы ИТ, ИБ, корпоративных юристов.
Европейцы от контроля за нормами GDPR отступать не намерены, и огромные штрафы появились неслучайно. Обстановка в мире непростая: поводы со стороны GDPR могут быть использованы в том числе для «наказания» крупных отечественных представителей бизнеса – конкуренцию никто не отменял. Однако неприятности могут возникнуть у компании любого размера.
«Игнорировать GDPR будет сложно всем»: что нужно знать о новом регламенте
Исполнительный директор Digital Contact
25 мая вступает в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными в Европейском союзе.
Ольга Кутейникова, исполнительный директор Digital Contact, отвечает на шесть самых распространенных вопросов о GDPR.
1. Что такое GDPR
Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.
Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.
Принципы GDPR:
2. Кого коснется
GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.
3. Почему мне это нужно знать
Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.
4. Что грозит тем, кто не выполняет требования
За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.
Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.
5. Что нужно сделать прямо сейчас
Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.
Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.
6. Где почитать больше по теме
Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.
GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка
В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.
Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.
Кто в зоне действия GDPR?
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.
Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:
Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.
Должна ли такая организация соблюдать GDPR?
Да.
Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что:
Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.
Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).
Мониторинг может включать:
Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.
Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.
Что подразумевается под персональными данным в GDPR?
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.
Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).
6 принципов обработки данных по GDPR
Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:
1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Ключевые требования
Уведомление о случаях нарушения GDPR
Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.
Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.
Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).
Права субъекта данных (физического лица)
GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.
В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.
Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.
Право на переносимость данных
Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.
Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).
Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.
Согласие на обработку
GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.
Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.
Особая защита детей
Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).
Назначение ответственного за защиту персональных данных
Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.
В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.
Что делать?
Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).
Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.
Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).
Вывод
GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.