General Data Protection Regulation

С 25 мая 2018 года в Европейском Союзе начнет применяться новый Регламент (ЕС) 2016/679 по защите персональных данных (General Data Protection Regulation, GDPR). Новый Регламент приходит на смену старому документу по защите персональных данных — Директиве 95/46/ЕС, действие которой прекращается.

В отличие от Директивы,Регламент является документом прямого действия, т.е. находится «выше» национальных законодательств и является обязательным для выполнения для всех стран Евросоюза.

Новый Регламент нацелен на защиту прав Субъектов персональных данных и дает им больше возможностей, например:

• Право на доступ к данным. Субъект может требовать информацию о характере обработки своих данных, цели и месте обработки, право доступа к своим данным и право на исправление неправильных данных;

• Право не давать свое согласие на обработку ПДн в целях, непосредственно не связанных с целями обработки ПДн (например, для целей прямого маркетинга), или ограничивать обработку своих данных определенным образом; 

• Право на удаление (право на забвение). Субъект теперь имеет право требовать удаления своих данных не только из поисковых систем, но и от любого Оператора данных в условиях отзыва согласия и отсутствия других законных оснований для обработки ПДн;

• Право на перенос данных. Регламент предоставляет субъектам данных право потребовать у Оператора бесплатно предоставить ему копию всех обрабатываемых данные в структурированном и удобочитаемом виде или беспрепятственно передать данные другому Оператору в электронном виде.

Новый регламент расширяет перечень персональных данных, подлежащих защите. К персональным данным теперь относят не только идентификационные данные субъектов (ФИО, контактная информация, биометрические данные и т. д.), но и интернет-идентификаторы, такие как IP-адрес, cookie-файлы, RFID-идентификаторы и т. п.,а также генетическую информацию (ДНК, РНК). 

Принципы обработки персональных данных

Законность, справедливость и прозрачность. Данные должны обрабатываться на законных основаниях, справедливым и открытым образом в отношении субъекта данных. 

Ограничение цели. Данные должны собираться и использоваться для конкретных, ясных и законных целей, заявленным Оператором, и не должны в дальнейшем обрабатываться способом, несовместимым с этими целями.

Минимизация данных. Нельзя собирать больше данных, чем это необходимо для выполнения целей обработки. Необходимо стремиться к минимизации этого объема.

Точность. Обрабатываемые данные должны быть точны. Недостоверные данные должны быть уточнены или удалены.

Ограничение хранения.Личные данные должны храниться в форме, позволяющей идентифицировать Субъектов только в течение срока, необходимого для достижения целей обработки, не дольше. 

Целостность и конфиденциальность. При обработке данных должна быть обеспечена защита от несанкционированной или незаконной обработки, уничтожения и повреждения.

Регламент обязует Операторов уведомлять регулирующие органы (в ряде случаев и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения факта такого нарушения.

Кто попадает под новые требования?

Во-первых, организации, учрежденные в ЕС (включая представительства, дочерние подразделения зарубежных компаний). И во-вторых, любые иные организации, занимающиеся:

• предложением товаров или услуг субъектам из ЕС на платной или бесплатной основе (интернет-магазины,интернет-сервисы, операторы связи, туроператоры, банки и т. д. Определяющим признаком являются использование языка или валюты стран ЕС с возможностью заказывать товары или услуги на этом языке, либо упоминание потребителей/пользователей, находящихся в ЕС);

• Осуществляющие анализ действий в Интернете субъектов, находящихся в Евросоюзе (составление профиля пользователя, в том числе в целях принятия решений для анализа/прогнозирования их личных предпочтений, поведения, отношения к чему-либо или личностных характеристик. Сюда попадают интернет-магазины, поисковые системы, банки, сайты знакомств, социальные сети и иные подобные организации).

Основной нюанс в том, что действие нового Регламента экстерриториально и распространяется не только на организации стран ЕС, но и на иностранные организации, попадающие под условия, перечисленные выше. При этом надо понимать, что с появлением GDPR с трудностями столкнутся не только российские компании, а любые компании со всего света, которые хотят действовать в Европе и предлагать свои товары и сервисы европейцам. 

Ответственность за невыполнение

В соответствии с Регламентом налагаемые штрафы должны быть эффективными, соразмерными и оказывать сдерживающее воздействие. Штрафы, которые могут накладываться надзорными органами за нарушения, именно такие. Если нарушение незначительно,то штраф может составлять €10 млн или 2% годового оборота. Если же регулятор сочтет, что нарушение значительно – штраф может составить €20 млн, либо до 4% годового оборота компании (в зависимости от того, что больше).

Важно понять, попадает ли ваша организация под требования нового Регламента. Если у вас есть дочерние подразделения в ЕС, или вы обрабатываете ПДн жителей ЕС, или предлагаете им товары или услуги, рекомендуем предпринять следующие шаги:

1. провести инвентаризацию информационных активов и определить, какие категории ПДн вы обрабатываете;

2. описать потоки ПДн, циркулирующие в вашей компании, а также поступающие к вам и передаваемые вами;

3. выявить все компании, с которыми вы обмениваетесь ПДн, которым поручаете обработку или которые поручают обработку вам;

4. проанализировать законные условия, на которых вы используете персональные данные. Имеется ли у вас согласие пользователя? Можете ли вы показать, что данные обрабатываются с соблюдением баланса интересов?

5. проверить пользовательские соглашения. Регламент требует, чтобы информация в них была изложена четким и доступным языком;

6. подготовить политику и процедуры реагирования на утечку данных;

7. создать механизмы отчетности. Компания должна иметь четкие внутренние стандарты по мониторингу, оценке и минимизации процессов обработки и хранения данных;

8. определить, требуется ли назначение Инспектора по защите данных (Data Protection Officer) и представителя в ЕС;

9. привести документальное обеспечение в соответствии с требованиями;

10. привести в соответствие технические средства обработки ПД (шифрование, обезличивание, портативность данных и т. д.).

Мы готовы помочь! 

Для реализации требований нового Регламента, Softline предлагает юридический и технический аудит процессов обработки и обеспечения безопасности ПДн; оценку рисков нарушения конфиденциальности ПДн; разработку плана мероприятий и «дорожной карты» по приведению в соответствие требованиям; определение необходимых организационных и технических мер, процессов и контролей по защите ПДн; разработку необходимых организационно-распорядительных документов в части обработки и защиты ПДн; проведение оценки соответствия требованиям GDPR.