19.03.2018, 14:57
Количество просмотров 192

Майские тезисы GDPR – новые подходы к защите персональных данных в Евросоюзе

В мае 2018 года вступает в действие закон Евросоюза 2016/679, более известный под аббревиатурой GDPR (General Data Protection Rule), который регулирует защиту персональных данных (ПДн) жителей ЕС.
Майские тезисы GDPR – новые подходы к защите персональных данных в Евросоюзе

О специфике требований этого документа и его влиянии на рынок рассказывает Павел Есаков, эксперт по системам аутентификации компании CompuTel System Management.

Закон призван заменить директиву более чем 20-летней давности 95/46/ЕС, которая до момента вступления его в силу регулировала защиту персональных данных в странах Евросоюза. Быстрый рост количества онлайн-сервисов и участившиеся случаи утечки персональных данных потребовали корректировки законодательства – что привело к замене директивы, которая является своего рода рекомендательным документом, на закон.

Тем не менее, все имеющиеся контракты и договоренности в области сбора и обработки персональных данных, которые были достигнуты в рамках директивы 95/46/ЕС, остаются в силе и не требуют пересмотра.

Основная цель нового закона декларируется как обеспечение свободного перемещения персональных данных в пределах Евросоюза одновременно с защитой прав и свобод граждан – в том числе, безопасность их персональных данных.

Закон GDPR регулирует полностью или частично автоматизированную обработку персональных данных в тех случаях, если собранные данные сводятся (или планируются к сведению) в единую систему хранения (или часть такой системы).

Заметим, что под действие закона подпадают сбор и обработка персональных данных не только компаниями, учрежденным на территории Евросоюза (хотя сам процесс обработки данных может осуществляться ими и вне территории ЕС), но структурами, учрежденными вне Евросоюза, если последние предлагают гражданам Евросоюза товары или услуги (независимо от того, принимают ли они за них платежи), или в случае проведения этими структурами мониторинга поведения граждан Евросоюза.

Закон также распространяет свое действие на тех территориях вне Евросоюза, где он признается в силу международных обязательств.

GDPR дает определения терминам, которые применяются в тексте закона, например, подробно описывает, что такое персональные данные, персональные биометрические и генетические данные, определяет понятие компании, которая собирает персональные данные и организации, которая их обрабатывает, разъясняет, что является информированным согласием на обработку данных и все другие понятия, которые используются в тексте документа.

Ключевые принципы GDPR

В главе второй GDPR описываются принципы, которые должны быть положены в основу обработки персональных данных (законность, разумность и прозрачность):

  • Обработка данных должна вестись в законных целях;
  • Сбор данных должен соответствовать заявленным целям и задачам и должна быть исключена дальнейшая обработка данных с целями, которые не были заявлены при сборе данных – допустима только обработка в интересах общества, для архивных целей или исторических исследований (ограничение цели);
  • Сбор данных должен быть ограничен объемом, необходимым для выполнения заявленных целей (минимизация данных);
  • Собранные данные должны быть, при необходимости, актуальными, при этом должны быть предусмотрены меры для исправления и удаления без задержки (точность данных);
  • Персональные данные не должны храниться дольше, чем это необходимо для выполнения заявленных задач сбора и обработки (ограничение срока хранения);
  • Обработка данных должна осуществляться способом, который гарантирует надлежащий уровень безопасности от неавторизованной обработки, и гарантирует защиту от случайной потери данных, их искажения или неавторизованного или незаконного доступа к данным (целостность и конфиденциальность).

Закон подробно описывает условия, которые должны выполняться для получения информированного согласия субъекта персональных данных. Так, если согласие на обработку является частью какого-либо документа, то оно должно быть выделено из общего текста и быть представлена в понятной и доступной форме.

Субъект персональных данных должен иметь право отозвать свое согласие на обработку в любой момент, что не влияет на законность обработки данных до момента отзыва. Отдельно описаны правила получения информированного согласия на обработку персональных данных для тех случаев, где может иметь место обработка персональных данных детей в возрасте до 16 лет.

Имеется статья, запрещающая обработку некоторых категорий персональных данных (расовая принадлежность или этническое происхождение, политические мнения, религиозные или философские убеждения, принадлежность к профсоюзным организациям, генетическая информация, биометрические данные, которые позволяют однозначно определить носителя данных, а также данные о состоянии здоровья или о сексуальной ориентации) и ситуации, в которых обработка таких персональных данных возможна.

Права субъекта ПДн

Глава III закона подробно описывает права субъекта персональных данных, среди которых особого внимания заслуживают несколько пунктов:

  • Право носителя ПДн получать в ясной и понятной форме следующую информацию:
  • Контактные детали оператора ПДн или его представителя;
  • Контактные детали офицера по защите ПДн (если таковой имеется);
  • Цели обработки ПДн и основание для этого процесса;
  • Получатели ПДн, если такие имеют место;
  • Получатели ПДн, если таковые находятся за пределами Евросоюза, основание для передачи данных, наличие или отсутствие соответствующего решения комиссии, используемы меры безопасности и каким образом можно получить информацию о применяемых мерах.

Помимо вышеупомянутой информации, оператор данных обязан предоставить информацию о следующих моментах:

  • времени хранения данных, или о критерии, определяющие время хранения;
  • праве носителя данных на ограничение обработки данных, исправление своих персональных и удаление данных, а также право на их получение в компактном виде;
  • праве на отзыв информированного согласия на обработку данных
  • праве на подачу жалоб в надзорный орган;
  • наличии системы автоматического принятия решений, включая создание профиля с приведением логики работы такого механизма и результатам такого профилирования;

  • праве субъекта ПДн на исправление данных, включая:

  • право на ограничение обработки
  • право на перенос данных;
  • право на отказ от автоматической обработки и профайлинга;
  • право на удаление данных (так называемое право на забвение, или right to be forgotten) – на этом праве следует остановиться более подробно.

Право на забвение в европейской редакции

Так, оператор ПДн, равно как и организатор сбора персональных данных обязан без промедления удалить персональные данные при выполнении любого из нижеперечисленных условий:

  • Данные более не нужны для выполнения целей, заявленных при сборе (обработке) данных;
  • Отозвано информированное согласие носителя персональных данных, и нет других законных оснований для обработки;
  • Персональные данные обрабатывались незаконно.

Если оператор ПДн сделал данные публичными и обязан на основании требования субъекта удалить данные, то оператор, основываясь на доступных технологиях и стоимости реализации, должен принять разумные меры (включая технические) для уведомления всех организаций, получивших от оператора эти данные, о необходимости их удаления, включая ссылки на них. Право на забвение может быть ограничено, если:

  • Нарушаются права на свободу слова и получение информации
  • Обработка данных проводится в соответствии с законодательством Евросоюза или конкретной страны-члена Евросоюза;
  • Обработка ведется в целях охраны здоровья или в целях статистики, и выполнение требования на удаление данных не позволяет достичь указанных целей;
  • Обработка ведется для открытия, ведения или защиты в судебных разбирательствах.

Закон также описывает ситуации, при которых на права субъекта персональных данных могут быть наложения ограничения, и приводит перечень этих ситуаций.

Обязанности операторов ПДн

Закон подробно описывает обязанности организатора сбора персональных данных и операторов персональных данных по обеспечению безопасности персональных данных, требуя от этих организаций адекватных усилий на всех этапах обработки и сбора данных.

До начала обработки ПДн оператор обязан оценить риски, возникающие в процессе обработки и провести предварительные консультации с надзорным органом. Надзорный орган вправе запросить дополнительную информацию о мерах по обеспечению безопасности персональных данных вправе потребовать дополнительное время (до 6 недель) для оценки предлагаемых мер безопасности.

Одним из требований закона является регистрация всех действий оператора персональных данных (в тексте закона приведен полный перечень всех вопросов, требующих регистрации в письменном или электронном виде). Исключение предусмотрено для организаций, если число сотрудников не превышает 250 человек, и только при условии, что не ведется обработка специальных категорий персональных данных. Все записи должны быть предоставлены в надзорный орган по его требованию.

Обо всех случаях утечки персональных данных оператор обязан сообщить в надзорный орган не позднее 72 часов с момента нарушения.

Передача данных третьей стороне (в международные организации и страны, не являющиеся членами Евросоюза) возможна только при условии, что комиссия Евросоюза приняла решение о том, что третья сторона обеспечивает адекватный уровень защиты данных. При отсутствии решения комиссии процессор может передать персональные данные третьей стороне только при наличии системы адекватной безопасности и твердых положений законодательства о защите персональных данных на территории третьей стороны.

Закон предусматривает такие меры, как проведение сертификации системы обеспечения безопасности данных. Проведение сертификации возлагается на аккредитованные организации, список которых публикуется надзорным органом каждой страны – члена Евросоюза. Время действия сертификации не должно превышать 3 года с возможностью продления при условии, что организация продемонстрировала необходимый уровень безопасности. В тоже время закон указывает на то, что сертификация является лишь элементом для демонстрации соответствия требованиям безопасности. Сертификация проводится на добровольной основе, но наличие сертификата не снимает с оператора персональных данных ответственности за инциденты с хищением персональных данных.

Как и кем будет контролироваться исполнение закона?

Контроль за исполнением закона возлагается на надзорные органы, которые создаются в рамках каждой из стран-участниц Евросоюза. Они обладают широким кругом полномочий, включая право приостанавливать работу операторов и организаторов сбора ПДн. Надзорные органы должны поощрять и способствовать созданию кодексов поведения операторов данных, обеспечивая правильное применения закона с учетом специфики разных типов организаций и масштабов их деятельности. Кодекс поведения в обязательном порядке проходит согласование с надзорным органом страны–участника Евросоюза, а если данный кодекс предполагается использовать в нескольких странах, то он в обязательном порядке представляется на следующий уровень структуры надзорных органов.

Следующим уровнем в иерархии надзорных органов является Европейский Совет по защите данных, который является наиболее полномочным органом по всем вопросам выполнения требований законодательства по защите персональных данных. Надзорные органы могут назначать независимые организации для мониторинга исполнения кодекса поведения операторов ПДн.

Как и надзорные органы, учрежденные в каждой из стран Евросоюза, данная организация, помимо обязанностей по контролю положений закона о защите персональных данных, имеет право на проведение расследований, связанных с нарушением требований GDPR. При Европейском Совете по защите персональных данных предусмотрено учреждение секретариата и постоянно действующей комиссии, работающей на постоянной основе под руководством Совета по защите данных.

Отдельная глава закона посвящена защите прав субъектов персональных данных. Любой субъект может передать жалобу в надзорный орган по месту жительства, месту работы или месту предполагаемого нарушения его прав в рамках GDPR. По факту данного обращения надзорный орган обязан предоставить информацию о получении жалобы, процессе рассмотрения и возможности судебного разбирательства.

Если надзорный орган не в состоянии, с точки зрения субъекта персональных данных, выполнить свои обязанности по удовлетворению обращения субъекта, то последний вправе обратится в суд по месту регистрации надзорного органа. Правом обращения в суд также обладают любые ассоциации и организации, которые связаны с защитой персональных данных в интересах общества.

Любое лицо, которое понесло материальные и иные потери в результате нарушения закона о защите данных, имеет право на получение компенсации от организатора сбора данных или оператора персональных данных.

Выплата компенсаций субъекту персональных данных не освобождает от уплаты административных штрафов, которые налагаются надзорным органом за нарушение данного закона.

Административный штраф, налагаемый надзорным органом, должен принимать во внимание все привходящие обстоятельства и должен быть эффективным и соразмерным тяжести нарушения.

Если рассматривается наложение нескольких административных штрафов на одного и того же оператора (организатора сбора персональных данных, органа по сертификации) то общая сумма не может превысить максимальный из начисленных штрафов.

Сколько будет стоить нарушение GDPR? 

А теперь, пожалуй, самое интересное. Итак, сумма штрафа может составлять до 10 млн евро или 2% от общемирового оборота компании за предыдущий финансовый год (выбирается большее значение) за нарушение следующих статей:

  • статей 8, 11, 25 -39, 42-43 на стороне оператора ПДн и организатора сбора данных;
  • статей 42-42 на стороне органа по сертификации.

Но и это еще не предел – до 20 млн евро (или 4% от общемирового оборота за предыдущий финансовый год) составит сумма штрафа за нарушение:

  • общих принципов обработки данных (статьи 5, 6, 7 и 9);
  • прав субъекта персональных данных (статьи 12-22);
  • условий передачи данных третьей стороне (статьи 44-49);
  • невыполнение требования о приостановлении обработки данных со стороны надзорного органа.

Характерно, что невыполнение указания надзорного органа (статья 58(2)) также приведет к штрафу до 20  млн евро.

Если законодательство страны – члена Евросоюза не предусматривает наложение административных штрафов, то надзорный орган должен обратиться в судебные органы.

Такие размеры административных штрафов создают предпосылки для операторов принять необходимые меры для соответствия требованиям регулятора.

Нельзя не отметить, что закон является технологически нейтральным. В то же время существенно изменился подход к обеспечению безопасности: от попыток обеспечить безопасность персональных данных путем ограничения доступа к ним законодатель перешел к методам, которые призваны обеспечить защиту собственно данных: присвоение псевдонимов субъектам персональных данных и шифрованию персональных данных.

Данный закон требует существенных обновлений в системе безопасности персональных данных, требуя как новых технических решений, так и проведения целого ряда организационных мероприятий для операторов персональных данных.

Закон также требует корректировки ряда законодательных актов Евросоюза, связанных с обработкой данных для решения задач государственного управления.

О том, какие последствия вступление в силу GDPR может повлечь для российского бизнеса, мы поговорим с экспертами в последующих материалах, посвященных данной теме.

 

Новости в вашей почте
mail

PLUSworld в соцсетях:
telegram
vk
dzen
youtube
ЕЩЁ НОВОСТИ