Содержание
- 1 GDPR — регламент по защите персональных данных. Уже сегодня!
- 2 Чем страшны новые европейские правила обработки персональных данных (GDPR)?
- 3 С 25 мая вступил в силу Генеральный регламент о защите персональных данных (GDPR). Что это такое и что с ним делать?
- 4 GDPR – что это
- 5 Информация о GDPR на русском языке
- 6 Определения
- 7 Что такое GDРR, европейский закон о защите данных
GDPR — регламент по защите персональных данных. Уже сегодня!
Сегодня, 25 мая 2018, в Европейском Союзе вступает в силу General Data Protection Regulation (GDPR; рус. — Общий регламент защиты персональных данных).
GDPR регламентирует процесс обработки персональных данных и распространяет свое действие не только на компании из ЕС, но и на компании из других стран, в том числе из Беларуси.
Партнер международной юридической компании PETERKA & PARTNERS Наталия Аношка разобралась, что изменилось для белорусских компаний в сфере защиты персональных данных и на что следует обратить внимание, чтобы не нарушать GDPR.
КТО ОБЯЗАН СОБЛЮДАТЬ РЕГЛАМЕНТ?
Все компании, обрабатывающие персональные данные физических лиц находящихся на территории ЕС, и:
- предлагающие товары или услуги субъектам данных ЕС как на возмездной, так и на безвозмездной основе, или
- осуществляющие мониторинг субъектов данных ЕС.
Под действие GDPR могут попадать компании из различных индустрий, обрабатывающие персональные данные, в частности, такие как:
- разработчики онлайн-игр, мобильных приложений и интернет-магазины;
- финансовые, транспортные и фармацевтические компании;
- туристические, медиа и телеком-организации;
- и многие другие.
Справочно: обработка персональных данных включает в себя сбор, запись, организацию, структурирование, хранение, переработку или изменение, восстановление, использование, раскрытие посредством передачи, рассылку или иной способ предоставления для доступа, совмещение или комбинирование, ограничение, стирание или уничтожение информации.
КАКИЕ ШТРАФЫ ГРОЗЯТ ЗА НАРУШЕНИЕ РЕГЛАМЕНТА?
С сегодняшнего дня, каждая компания, обрабатывающая персональные данные и попадающая под действие GDPR, вне зависимости от ее размеров и направления бизнеса, обязана соблюдать требования о защите персональных данных. Несоблюдение GDPR может повлечь не только репутационные риски, но и серьезные административные штрафы за отдельные нарушения предусмотрен штраф в размере до 20 млн евро или 4% от годового оборота (процент может быть посчитан от оборота международной группы компаний, а не одного субъекта-нарушителя).
ЧТО ОТНОСИТСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ?
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»), например, имя, адрес электронной почты, местоположение человека, профессия, пол, здоровье, любые связанные с этим элементы данных.
GDPR подразделяет субъекта данных на:
ЧТО ОБЯЗАНЫ ДЕЛАТЬ КОМПАНИИ, ЧТОБЫ СОБЛЮДАТЬ GDPR ?
- Получать согласие на обработку:
Компания должна получить или обеспечить получение согласия субъекта данных на обработку персональных данных. При этом важным фактом является выражение согласия субъекта посредством ясного утвердительного действия, устанавливающего конкретное и однозначное указание на согласие. Согласие не может быть выражено в виде молчания, ранее проставленной галочки при посещении сайта или бездействия. Если обработка данных имеет несколько целей, то согласие нужно запросить для каждой из этих целей. Субъект данных должен иметь право легко предоставить и отозвать свое согласие.
Обработка «чувствительных» персональных данных:
Чувствительные персональные данные (расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения и т.д.) заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Их обработка без прямого согласия субъекта данных или в предусмотренных GDPR случаях запрещена.
- Обеспечить должный уровень защиты:
Для обеспечения безопасности обработки GDPR предлагает такой способ защиты как псевдонимизация, который означает обработку персональных данных таким образом, что персональные данные не могут быть соотнесены с конкретным субъектом данных без использования дополнительной информации.
Чем страшны новые европейские правила обработки персональных данных (GDPR)?
25 мая в ЕС заработают новые правила обработки персональных данных. Называются они «Общим регламентом по защите данных». Или кратко: GDPR. Этот регламент придёт на смену рамочной Директиве о защите персональных данных 95/46/ЕС от 24 октября 1995 года.
Одно из главных отличий нового документа — экстерриториальность, то есть он действует не только в странах ЕС, но и на все компании и организации, обрабатывающие данные граждан Союза.
Что это такое?
GDPR — это документ, где прописаны основные нормативы по работе с персональными данными граждан ЕС и защите.
В нём, например, указано, что персональными данными субъекта являются любые данные человека, по которым, прямо или косвенно, можно узнать этого гражданина. В документе прописан довольно длинный перечень этих данных.
Среди них есть имя, данные о местоположении, личный ID человека, и определённые онлайн-идентификаторы. Вот последнее тут — самое интересное. По сути, это данные, что остаются от пользователя после посещения любого интернет-ресурса, включая cookie, айпишники и т.д.
Также появляется группа особых или конфиденциальных персональных данных. Сюда входит информация о состоянии здоровья, генетические и биометрические данные, информация о расовом и этническом происхождении, сексуальных предпочтениях; политические, религиозные и философские взгляды и т.д..
Что со всем этим делать?
Новый регламент значительно расширяет права субъекта персональных данных, то бишь, обычного гражданина ЕС.
Во-первых, пользователь может запросить любую информацию, связанную с его личными данными. Например, узнать, какие третьи стороны имеют к ней доступ, или время обработки его данных. Также он вправе узнать, откуда организация получила его данные или потребовать прекратить обработку его персональных данных.
Во-вторых, известное «Право на забвение» прописывается и в GDPR: любой пользователь имеет право потребовать удалить о себе всю инфу, если это не противоречит свободе слова и/или общественным интересам.
В-третьих, субъект персональных данных вправе потребовать предоставить свои данные третье стороне. Эта штука называется «Правом на переносимость данных» и в подобных регламентах появляется впервые.
На основе этого в GDPR сформулированы шесть принципов обработки персональных данных.
- «Законность, справедливость и прозрачность»: пользователь должен понимать цели, методы и объёмы обработки персональных данных.
- «Ограничение цели»: данные должны собираться только для обозначенных компанией целей. Например, интернет-магазин «всё для домашних пивоваров» собирает данные о возрасте только для того, чтобы понять, что его клиенты — совершеннолетние.
- «Минимизация данных»: данные не должны собираться сверх нормы. Например, интернет-магазину не зачем знать, откуда покупатель родом.
- «Точность»: по требованию пользователя неточные и недостоверные сведения о нём должны быть удалены.
- «Ограничение хранения»: личные данные пользователя не должны храниться дольше, чем того требует цель их хранения. Например, в документе подчёркивается, что архивизация, несущая историческую ценность, позволяет хранить личные данные продолжительное время.
- «Целостность и конфиденциальность»: компании, хранящие данные пользователей, должны обеспечить их защиту.
Регламент прописывает и процедуру согласия пользователя на обработку данных. И тут появляется интересный пункт: если у пользователя не было выбора, то это не считается согласием. Стоящие по умолчанию галочки согласия на обработку персональных данных тоже не котируются.
Согласие ребёнка на обработку его персональных данных должно сопровождаться согласием родителей. Каждая из стран ЕС по-своему определяет возраст родительской авторизации: где-то это до 13 лет, а где-то — до 16.
Также организации, подпадающие под действие GDPR, должны уведомлять регулятор о взломе персональных данных не позднее чем через 72 часа после того, как стало известно о проникновении.
Europos Parlamentas (Фото: Reuters / Scanpix)
Кто попадает под действие GDPR?
В документе прописаны определения субъекта личных данных — это непосредственно гражданин ЕС, чьи данные обрабатываются. А вот субъектов обработки персональных данных тут целых два:
- Controller — лицо, определяющее цели и средства обработки персональных данных;
- Processor — это оператор. От имени контролирующего лица он осуществляет обработку персональных данных.
Под действие GDPR попадают различные субъекты обработки персональных данных, если они работают с гражданами ЕС.
Грубо говоря, у вас есть интернет-магазин. Часть ваших покупателей находится в странах ЕС. Туда вы осуществляете доставку. Помимо этого, ваш сайт базируется на локальных доменах высшего уровня (Польша — .pl, Чехия — .cz и т.д.), вы принимаете местную валюту и у вас сайт на языке граждан ЕС. В этом случае вам необходимо пересмотреть свою политику обработки персональных данных.
Скорее всего, вам придётся назначить в Европе Data Protection Officer (DPO) — лицо, ответственное за защиту данных. Это лицо может быть привлечено к ответственности за нарушения контролирующего лица.
Или вы являетесь хозяином отеля или гостиницы в городе, где будут проходить матчи Чемпионата мира по футболу. Вы работаете с персональными данными своих гостей, а среди них могут оказаться и граждане ЕС.
Всё это означает, что вы обрабатываете персональные данные граждан ЕС, а значит GDPR — регламент, о котором вам нужно беспокоиться.
Чем грозит нарушение директивы?
Штрафами. Суммы самые разные. От 10 до 20 млн. евро (или от 2 до 4% от глобального дохода компании). Всё зависит от вида нарушения. Также может быть сделан выговор, если контролирующий орган посчитает, что нарушения незначительны.
Если вы не уверены, подпадает ли деятельность вашей организации под действие GDPR, мы рекомендуем вам проконсультироваться с юристами и предпринять все необходимые требования.
С 25 мая вступил в силу Генеральный регламент о защите персональных данных (GDPR). Что это такое и что с ним делать?
Генеральный регламент о защите персональных данных (GDPR) был разработан и принят Европейским парламентом и Советом ЕС в апреле 2016 года. Регламент вступил в силу 25 мая 2019 года после двухлетнего переходного периода. Документ дает право и инструменты гражданам 28 стран ЕС для полного контроля над своими персональными данными. Казалось бы, при чем здесь Россия, которая не только не входит в ЕС, но и имеет со многими странами Европы напряженные отношения? Действуют санкции и контрсанкции, поэтому соответствие GDPR, по идее, должно волновать мало компаний. Но это только в теории. Оказывается, общий регламент по защите данных GDPR затрагивает многие российские организации, а также граждан. Разберемся, с чем это связано.
Что такое GDPR?
Регламент о защите персональных данных граждан ЕС похож на российский Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных». Оба документа предусматривают:
- Прозрачность сбора персональных данных: организации и граждане-операторы обязаны собирать данные на законных основаниях, с согласия их владельцев и объяснять, как планируют их использовать.
- Ограничение цели сбора данных: персональные даные граждан можно собирать и хранить только в строго установленных и озвученных владельцу целях.
- Ограничение объема персональных данных заявленными целями.
- Управление данными и возможность их отзыва владельцем. Гражданин имеет право запрашивать у оператора, какими сведениями о нем он располагает, а также потребовать удалить всю эту информацию.
- Безопасность использования и хранения: собранную о гражданах информацию нельзя передавать третьим лицам. Оператор обязан обеспечить защищенность хранения, без возможности утечки. Раскрывать данные без согласия их владельцев запрещено.
- Ограничение сроков хранения и обработки заявленными целями.
Но в ЕС пошли немного дальше РФ: в GDPR персональные данные являются объектом контроля со стороны уполномоченных органов. По регламенту для каждого обработчика может быть назначен отдельный контролер, который взаимодействует с оператором-обработчиком. Именно эти два субъекта должны обеспечить необходимые средства для обеспечения постоянной конфиденциальности и своевременного восстановления доступа к персональным данным в случае природного или технического инцидента. Кроме того, в их обязанности входит уведомлять надзорные органы об утечке персданных в течение 3 суток с момента выявления такой утечки, а также информировать об этом субъект данных. В российском законе такой обязанности у операторов нет, они просто обязаны самостоятельно и быстро устранить утечку. Кроме того, в ЕС обработчики данных должны отчитываться об их хранении и использовании.
При этом раньше в ЕС действовала директива N 95/46/ЕС «О защите физических лиц при обработке персданных и о их свободном обращении», на смену которой и пришел GDPR. Его главное отличие от упраздненной директивы состоит в экстерриториальности и наднациональности, то есть если раньше все ограничивалось границами ЕС, то теперь требования должны фактически соблюдаться по всему миру, в том числе и в России.
Кого в РФ коснутся требования GDPR?
Действовать в РФ, как и по всему миру, GDPR начал 25 мая 2019 года. Именно с этой даты все российские организации, индивидуальные предприниматели и просто граждане, имеющие дело с персональными данными лиц, проживающих на территории Европейского Союза, обязаны следовать нормам этого регламента, чтобы избежать ответственности. К таким операторам персональных данных граждан ЕС, в часности, можно отнести:
- компании и ИП, которые имеют дочерние предприятия или филиалы на территории ЕС;
- организации и ИП, которые оказывают различные услуги в интернете (реализуют путевки, предоставляют услуги по бронированию номеров в отелях, содержат онлайн-кинотеатры, продают программное обеспечение и т.д);
- оказывают услуги мобильной связи в европейском роуминге;
- собирают персональные данные пользователей в мессенджерах, социальных сетях и других подобных сервисах.
Видео (кликните для воспроизведения). |
Таким образом, соблюдать регламент будут обязаны не только организации, ведущие внешнеэкономическую деятельность, но и многие, даже небольшие компании, фактически работающие только в РФ, но ведущие бизнес в интернете. Поэтому всем им необходимо проверить свои базы данных с персональными данными пользователей и выяснить, есть ли среди них граждане Евросоюза. Если такие обнаружатся, то регламент нужно соблюдать. Правда, назначать представителя на территории ЕС для отчетности и взаимодействия с контролером нужно не всем обработчикам. Такая обязанность возникает только у тех из них, которые ведут бизнес непосредственно на территории ЕС, например имеют там магазин или офис для оказания услуг.
Надо отметить, что поскольку требования GDPR, что делать оператору и контролеру, являются более жесткими, чем российские, не исключено, что регулятор персданных в РФ (Роскомнадзор) захочет привести отечественные нормы в соответствие с европейскими. Это добавит хлопот российским операторам, но упростит соблюдение требований регламента, которые перестанут отличаться.
Ответственность за несоблюдение GDPR
Если компания или предприниматель проигнорирует требования регламента, то ей придется заплатить штраф, размер которого составляет до 4% от годового мирового оборота за предыдущий финансовый год или до €20 млн — в зависимости от того, что окажется больше. Конечно, взаимодействие у РФ с ЕС по привлечению организаций к ответственности минимальное, скорее всего, решение о взыскании штрафа с российской организации в пользу Евросоюза не будет исполнено на территории России. Однако в ЕС такая организация-нарушитель получит статус нон грата, то есть не сможет работать, пока не исполнит наложенное взыскание. Поэтому, если компания намерена вести бизнес в Европе, требования GDPR придется соблюдать.
Кстати, несоблюдение российского Федерального закона N 152-ФЗ также грозит операторам немалым штрафом. Его размер по статье 13.11 КоАП РФ составляет до 75 000 рублей, что конечно, намного меньше, чем €20 млн, но все равно бьет по карману.
GDPR – что это
Мы оказываем услуги по проверке соответствия процедур обработки персональных данных Общему регламенту по защите данных Европейского Союза (General Data Protection Regulation, GDPR), составляем всю необходимую документацию, работаем с технической стороной начиная с реализации принципа “Privacy by design”.
GDPR требует адаптации бизнес-процессов к новым правилам и даже кадровых корректировок внутри компании клиента, поэтому для успешной работы по GDPR compliance необходимо тесное и активное взаимодействие с должностными лицами клиента, ведение переписки, переговоров, и даже проведение совещаний в процессе оказания услуги.
Возможная ответственность за несоблюдение GDPR
За несоответствие правилам GDPR возможны:
- Штрафы до 20 миллионов евро или до 4% от годового мирового оборота группы компаний.
- Взыскание компенсаций по судебным обращениям субъектов персональных данных.
- Взыскание убытков, предъявляемых в порядке регресса со стороны контрагентов в связи с несоблюдением положений GDPR и договорных обязательств по защите персональных данных.
- Убытки в связи с внезапным расторжением договоров с европейскими партнерами или партнерами иных юрисдикций, на которых распространяется действие Регламента.
- Убытки в связи с невозможностью своевременно заключить договор с европейским контрагентом или контрагентом иной юрисдикции, на которого распространяется действие Регламента, из-за несоответствия компании требованиям GDPR.
- Иные предпринимательские риски.
GDPR и 152-ФЗ
Компаниям, которые привели процедуры по обработке персональных данных в соответствие с российским федеральным законом № 152-ФЗ и на которых одновременно распространяется действие GDPR, следует пройти как минимум первоначальный аудит.
GDPR имеет более высокие требования к обработке персональных данных по сравнению с российским законом, хотя некоторая документация и технические решения могут совпадать. Не исключено, что могут потребоваться изменения начиная с этапа проектирования базы данных, и заканчивая заключением дополнительных соглашений с контрагентами или даже разработкой новых.
Этапы работы по GDPR
Работа GDPR compliance проводится в несколько этапов.
- Проверка применимости GDPR к компании, группе компаний.
- Изучение структуры компании, группы компаний, вычитка связывающих компании договоров, изучение технических инструментов, используемых для обработки персональных данных и их защиты
- Оценка несоответствия, определение планов работ по приведению деятельности компании в соответствие с требованиями GDPR.
- Реализация мероприятий по приведению деятельности компании в соответствие с требованиями GDPR.
- Консультационная или абонентская поддержка.
К кому обратиться?
Соответствие требованиям GDPR потребует от компании не только реализации технических решений. Намного больше работы придётся проделать в организационной и юридической сфере.
Отличный технический эксперт по IT-безопасности не возьмет полную ответственность за соответствие требованиям GDPR, так как необходимые для этого технические меры могут составлять всего 5% от всего объема работ.
Специалист, работающий в сфере GDPR compliance, должен иметь компетенции на стыке юридических и технических знаний, а также обладать навыками управления.
Центр цифровых прав специализируется на отраслевых аспектах современного законодательства, наши специалисты технически и юридически грамотны, имеют опыт работы с компаниями по защите персональных данных.
Информация о GDPR на русском языке
GDPR (General Data Protection Regulation)
- Регламент (EU) 2016/679 (Русская версия, English version)
- Директива (EU) 2016/680 (Русская версия, English version)
Основные цели GDPR
- защита персональных данных
- защита прав и свобод людей в защите их данных
- ограничение перемещения персональных данных в рамках Евросоюза
- далее
Основные термины
- Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
- Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
- Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
- DPO (Data Protection Officer) — сотрудник по защите персональных данных.
Права граждан
GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:
- более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
- право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
- право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
- право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.
Персональные данные
Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).
Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.
То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.
Примеры персональных данных:
- имя, фамилия
- номер паспорта или ИД удостоверения
- дата и место рождения
- место проживания, регистрация, прописка
- е-мейл, телефон, или другая контактная информация
- ИП-адрес и патаметры соединения
- дата и время посещения ресурса, история и параметры посещений, включая название браузера.
- раса и национальность
- политические взгляды
- вероисповедание
- сексуальная ориентация
- биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
- данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
- генетические данные – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы
Принципы обработки данных по GDPR
Сфера действия GDPR
Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).
Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.
Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).
Соответствие требованиям GDPR
- Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
- Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
- Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома. Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
- Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
- Ведение необходимой отчетности, согласно положениям GDPR.
Несоблюдение норм GDPR
Утечка персональных данных
Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.
Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.
Определения
Основные термины и аббревиатуры
- персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу; идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности;
- субъект данных — идентифицированное или потенциально идентифицируемое физическое лицо.
- контроллер – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и способы такой обработки определены правовыми актами Союза или Государства-члена ЕС, то контролёр или частные критерии для его назначения критерии могут быть предусмотрены правовыми актами Союза или Государства-члена ЕС;
- процессор — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени контроллера;
- получатель – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которой раскрываются персональные данные, вне зависимости от того, является ли она третьим лицом или нет. Однако публичные учреждения, которые могут получать персональные данные в связи с конкретным расследованием, в соответствии с правовыми актами Союза или государства-члена ЕС, не считаются получателями; указанная обработка данных, проводимая публичными учреждениями соответствует применимым правилам защиты данных, согласно целям обработки;
- третья сторона – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, не являющаяся субъектом данных, контролёром и лицами, которые при непосредственном подчинении контролёру или процессору, уполномочены проводить обработку персональных данных;
- несанкционированный доступ к личным данным – нарушение безопасности, в результате которой происходит случайное или незаконное уничтожение, утрата, преобразование, неразрешённое разглашение или доступ к обрабатываемым персональным данным (передача, хранение или иной способ обработки);
- представитель – физическое или юридическое лицо, ведущее предпринимательскую деятельность в Союзе, которое в письменной форме назначается контролёром или процессором, в соответствии со статьёй 27, которое представляет контролера или процессора, в связи с их соответствующими обязанностями, предусмотренными настоящим регламентом;
- согласие субъекта данных – любое свободно данное, конкретное, сознательное и однозначное указание на пожелания субъекта, которыми он или она путем уведомления или чёткого подтверждающего действия даёт согласие на обработку своих персональных данных;
- трансграничная обработка является или:
- обработкой персональных данных, которая проводится в связи с действиями, осуществляемыми контролёром или процессором в Европейском Союзе в местах предпринимательской деятельности более, чем в одном Государстве-члене ЕС, если контролёр или процессор осуществляет предпринимательскую деятельность более, чем в одном государстве-члене; или
- обработкой персональных данных, которая происходит в связи действиями, осуществляемыми контролёром или процессором в единственном месте ведения предпринимательской деятельности, но которая оказывает существенное воздействие или может оказывать существенное воздействие на субъекты данных в нескольких Государствах-членах ЕС.
-
Компетентный орган — это
любой государственный орган, компетентный для предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение их угроз; или
любой другой орган или сущность государства-члена ЕС, наделенная полномочиями осуществлять деятельность в целях предупреждения, расследования, обнаружения, преследования за уголовные преступления или исполнения уголовных наказаний, включая защиту от и предотвращение угроз общественн ой безопасност и ;
- DSR (Data Subject Rights ) — Права субъекта данных
- DSR Запрос (DSR Request) — Официальный запрос субъекта данных контроллеру с целью совершения какого-либо действия над его или ее персональными данными.
- DPO (Data Protection Officer) — Сотрудник по защите данных и взаимодействия с субъектами данных и надхорными органами.
Персональные данные
- обработка — любая операция или набор операций, которые выполняются над персональными данными или над наборами персональных данных, автоматическими или не автоматическими средствами. Такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, просмотр, использование, раскрытие (путем передачи, распространения или иначе, делая их доступными), выравнивание или комбинирование, ограничение, удаление или уничтожение;
- ограничение обработки – маркировка сохраненных персональных данных в целях ограничения их обработки в будущем;
- профилирование – любая форма автоматизированной обработки персональных данных, которая заключается в использовании персональных данных с целью вычисления конкретных личных аспектов, связанных с физическим лицом, в частности, для анализа или прогноза аспектов, относящихся к трудовым достижениям, экономической ситуации, здоровью, личным желаниям, интересам, надежности, поведению, местонахождению или перемещению указанных лиц;
- псевдонимизация – обработка персональных данных, которая проводится таким образом, что персональные данные больше не могут быть связаны с конкретным субъектом данных без использования дополнительной информации, при условии, что дополнительная информация содержится отдельно, и к ней применяют технические и организационные меры обеспечения того, чтобы персональные данные не были связаны с идентифицированным или идентифицируемым физическим лицом;
- картотека – любой структурированный набор персональных данных, которые доступны по определенным критериям. Система может быть централизованной или децентрализованной, распределенной функционально или географически;
- генетические данные – персональные данные, относящиеся к унаследованным или приобретенным генетическим признакам физического лица, которые предоставляют уникальную информацию о физиологии или здоровье указанного физического лица и которая вытекает, в частности, из анализа биологического образца соответствующего физического лица;
- биометрические данные – персональные данные после специфической технической обработки, относящиеся к физическим, физиологическим или поведенческим признакам физического лица, которые позволяют провести или подтвердить уникальную идентификацию указанного физического лица, например, изображение человеческого лица или дактилоскопические данные;
- данные о здоровье – персональные данные, связанные с физическим или психическим здоровьем физического лица, в том числе с предоставлением услуг по уходу за здоровьем, которые отражают информацию о состоянии его здоровья;
Предприятия и организации
- предприятие – физическое или юридическое лицо, осуществляющее хозяйственную деятельность, вне зависимости от его юридического статуса, в том числе партнёрства или объединения, регулярно ведущих хозяйственную деятельность;
- группа предприятий – контролирующее предприятие и подконтрольные ему предприятия;
- обязывающие правила предприятия – политики защиты персональных данных, строго соблюдаемые контролёром или процессором, осуществляющим предпринимательскую деятельность в Союзе на территории государства-члена ЕС, относительно передачи или многократной передачи персональных данных контролеру или процессору в одной или нескольких третьих странах в группе предприятий или в группе предпринимательских обществ, вовлечённых в совместную экономическую деятельность;
- основное место предпринимательской деятельности:
- в отношении контролера, места предпринимательской деятельности которого находятся более, чем в одном Государстве-члене ЕС, основным его местонахождением является Союз, если только решения о целях и способах обработки персональных данных не принимаются в другом месте нахождения контролера в Союзе, и у данного другого места предпринимательской деятельности не имеется полномочия на выполнение такого рода решения – в таком случае, основным местом предпринимательской деятельности считается то место предпринимательской деятельности, в котором приняты такие решения;
- в отношении процессора, места предпринимательской деятельности которого находятся более, чем в одном государстве-члене ЕС, основным его местонахождением является Союз или, если у процессора нет главного управления в Европейском Союзе, – в месте предпринимательской деятельности в Европейском Союзе, где происходят основные действия по переработке, в связи с действиями в местах предпринимательской деятельности процессора, поскольку к процессору относятся предусмотренные настоящим регламентом конкретные обязанности;
- «международная организация» – организация и ее подчиненные структуры, являющиеся субъектами международного публичного права, или любой другой структурой, созданной по соглашению между двумя или более странами или на его основе.
Надзор
- «надзорное учреждение» – независимое публичное учреждение, созданное государством-членом ЕС с учётом Статьи 51;
- «соответствующее надзорное учреждение» – надзорное учреждение, отвечающее за обработку персональных данных на основании:
Что такое GDРR, европейский закон о защите данных
В мае 2018 года Европейский Союз (ЕС) постановил, что все компании в Союзе, а также те, которые используют данные граждан ЕС, должны следовать Общим положениям по защите данных (General Data Protection Regulation, сокращенно GDРR). Это законодательство было введено в действие в интересах защиты пользовательских данных и ограничения использования их компаниями без ведома и согласия пользователей. Закон направлен на то, чтобы передать все личные данные обратно в руки граждан, тогда как раньше они находились под неизменным контролем компаний, которые их собрали.
N.B. Этот закон затрагивает страны ЕС и Европейской экономической зоны (ЕЭЗ). В Европейскую экономическую зону входят страны ЕС, а также Норвегия, Лихтенштейн и Исландия.
Что такое GDPR
Кратко о GDPR
Требования GDPR
GDPR устанавливает ответственность и подотчетность корпораций, определяя, что компании могут или не могут делать с персональными данными; требования сообщать о нарушениях в течение 72 часов; устанавливает стандарты шифрования, требуя четкого согласия пользователей; определяет, как долго могут храниться данные, и требования защиты данных по дизайну и по умолчанию. В соответствии с GDPR, некоторые организации должны выбрать ответственного сотрудника по защите данных (Data Protection Officer). Этот сотрудник отвечает за управление данными в данной организации и служит основным контактным лицом с регулирующими органами. Новые требования обращают большое внимание на то, как компании общаются с потребителями, а также как они управляют данными, которые хранят.
GDPR обеспечивает контроль над личными данными пользователей ЕС. Данные, рассматриваемые в соответствии с новым набором правил, включают в себя имена, IP-адреса (местоположение), изображения, адреса электронной почты, домашние адреса, деятельность в социальных сетях, банковскую информацию и медицинскую информацию. Данные положения предоставляют пользователям право запрашивать копию своих данных, право на отказ в любое время предоставлять свои данные и право требовать, чтобы их личные данные были удалены, хотя последнее не является универсальным правом.
Соблюдение GDPR
Регулирование
Данное положение применимо для любой организации, управляющей персональными данными граждан ЕС. Сюда входят компании в Соединенных Штатах и в других странах за пределами Европейской экономической зоны, имеющие доступ к данным европейских потребителей.
В 2018 году GDPR становится более всеобъемлющим сводом правил, который гармонизирует нормы в Европейском союзе и Европейском экономическом пространстве. Это упрощает нормативный ландшафт для компаний, снижая общие затраты на его соблюдение. По мнению некоторых экспертов, это может сделать ЕС более конкурентным рынком (другие аналитики предсказывают, что этот закон может слишком сильно ограничивать рынок и оставить ЕС позади других регионов в глобальной экономике).
Официальный текст GDPR
Сроки реализации
Защита данных в Великобритании
Защита данных в США
Компании, которые не готовы соответствовать политике, изложенной в GDPR, как, например, фирма Instapaper, принадлежащая Pinterest, временно заблокировали доступ для пользователей ЕС, чтобы избежать штрафов. Другие компании подготовились к новому закону, установив на своих сайтах новую опцию – кнопку при входе на сайт, кликая на которую пользователь соглашается на использование своих персональных данных.
Штрафы за несоблюдение
Facebook и GDPR
Facebook является одной из компаний, не соответствующих GDPR, и может столкнуться с существенным штрафом. Facebook и другие платформы социальных сетей, такие как Instagram, используют предварительно установленное согласие пользователей. GDPR же требует, чтобы у потребителя были четкие права и возможности для отказа от предоставления доступа к персональным данным.
Компания Facebook заявляет, что, в соответствии с новым законом, ведет абсолютно прозрачную политику с пользователями в плане того, как используются их данные, и дает им полный контроль над ними. Facebook также заявляет, что ее представители встречаются с регулирующими и директивными органами, экспертами по вопросам конфиденциальности данных для обеспечения соответствия требованиям GDPR и аналогичных законов о конфиденциальности.
Google и GDPR
Компания Google имеет значительное влияние в Европейском Союзе и оказалась вовлеченной в расследование за нарушения GDPR. Подобно Facebook, Google использует опцию предварительного согласия. Если компания будет признана виновной, потенциальный штраф может достигнуть 4 млрд. евро (5,2 млрд. долларов США).
Видео (кликните для воспроизведения). |
Однако, Google утверждает, что работает над тем, чтобы полностью соответствовать закону, ссылаясь на свой аудит и процесс сертификации сторонних сайтов, извлекающих данные пользователей в качестве примера. Компания также практикует «прозрачность данных» и информирует пользователей о том, как их данные используются для рекламы.
Источники
Гонюхов, С.О.; Зинченко, В.И. Азбука милиционера; Красноярск: Горница, 2013. — 382 c.
История и методология юридической науки. — М.: ИВЭСЭП, 2014. — 564 c.
Головистикова, А.; Дмитриев, Ю. Проблемы теории государства и права. Учебник; М.: Эксмо, 2012. — 832 c.
Имею высшее образование по специальности: юрист по финансово-правовому профилю. Мой стаж работы в юридической компании составляет 12 лет. Очень рад Вас видеть на своем сайте!