Действие Регламента по защите персональных данных (GDPR)

GDPR

В данной статье мы рассмотрим, что включает в себя Регламент по защите персональных данных (GDPR), какие изменения в части процессов обработки он повлек за собой и повлек ли вообще, а также иные вопросы, связанные с вступлением Регламента в силу.

Потребовалось ли внедрение новых механизмов по обработке и предоставлению персональных данных и их защите? 

Персональные данные (далее ПДн) – вопрос, затрагивающий сферы работы как государственных органов, так и интересы бизнес-сообщества. Действия, связанные с ПДн, выходят на первый план в работе как государственных инстанций, так и коммерческих компаний. В современных условиях для трансграничной передачи ПДн  требуется наличие единого детализированного правового акта. Общий регламент по защите данных (англ. General Data Protection Regulation или GDPR) вступил в силу 25 мая 2018 года и закрепил определенные принципы обработки ПДн и установил определения следующим терминам: consent, personal data и иным положениям, основные из которых будут рассмотрены в данной статье.

Что такое GDPR?

General Data Protection Regulation – регламент о защите персональных данных, содержащий  правовые положения, которые могут применяться и за пределами Евросоюза (далее ЕС). Целями GDPR, обозначенными в статье 1 регламента, в том числе являются установление правил передачи и обработки ПДн, а также защиты ПДн субъектов (физических лиц), находящихся под юрисдикцией ЕС.

Рассмотрим подробнее ключевые положения GDPR, регулирующие правила обработки ПДн.

Consent (Согласие)

Это полученное подтверждение того, что определенное лицо ( субъект ПДн) согласно с правилами обработки его персональных данных.

Схематично соответствие согласия принципам GDPR можно отобразить в следующем виде: 

Да

  • Явно выражено и имеет признаки Consent
  • Дано свободно – выбор самого субъекта: чекбоксы, кнопка о согласии с обработкой и ознакомлением с правилами самой процедуры обработки и прочее
  • Конкретность – субъект видит, кто и в каком объеме обрабатывает сведения
  • Однозначность– субъект персональных данных проинформирован так, что не возникает вопросов по процедуре обработки данных,  то есть возможно предоставить выбор: Согласен/ Не согласен. Важно дать пользователю возможность отказаться. Также в отдельных случаях требуется подтверждения субъекта персональных данных достижения им определенного возраста

Нет

  • Субъект не согласен с обработкой данных. Соответственно, информация не должна более обрабатываться
  • При информировании о том, что на определенном ресурсе производится обработка персональных данных без указания целей обработки
  • Визуально для пользователя – вопрос о согласии с обработкой обозначен в виде какого-либо символа без расшифровки, не отражена «цель» обработки

При выявлении обстоятельств, связывающих компании в РФ с пользователями на территории ЕС, требуется организация определенного комплекса мер по соблюдению требований GDPR. 

Наличие согласия (consent) от субъекта персональных данных, причем у лица, чьи персональные данные обрабатываются. Согласие должно быть явно выражено. Кроме того, у субъекта персональных данных должна быть возможность отмены своего согласия. 

Если хотя бы один из ответов на перечисленные вопросы положительный, то в работе компании требуется учитывать требования GDPR.

Как в GDPR регламентировано получение согласия субъекта данных на их обработку?

Во-первых, добровольность согласия, что означает отсутствие принуждения субъекта данных к тому, чтобы дать согласие или, иными словами, возможность свободно сделать выбор между «дать согласие»‎ и «не дать согласие»‎. Кроме того, согласно GDPR, субъект может отозвать свое согласие обратно. Также Регламент предусматривает, что согласие должно быть выражено четко, что создает сложности с использованием «подразумеваемого согласия»‎.

Во-вторых, Регламент предусматривает четкое определение действия данного согласия: субъект должен знать, на что конкретно он соглашается и каковы пределы его согласия. Целью положения является минимизация (=исключение) прецедентов, связанных с неоднозначной формулировкой в формах получения согласия на обработку ПДн, то есть лицо, соглашающееся на обработку данных, получает полную, исчерпывающую информацию о том, для чего запрашиваются соответствующие сведения. 

Information obligations (Информационные обязательства)

Это функции, благодаря которым пользователю (здесь и далее 一 субъект) сообщается о том, что он вправе запрашивать информацию о своих персональных данных, включая:

  • Право знать – это оповещение пользователя о том, что будет проводиться обработка его данных;
  • Право забвения – это непосредственное направление запроса на удаление персональных данных;
  • Право доступа – это отправка запроса на уточнение переданных данных.

Personal data (Персональные данные)

Определяются статьей 4 GDPR как «Информация, относящаяся или определяющая физическое лицо прямо или косвенно. В частности, со ссылкой на имя лица или данными о документе, подтверждающими его личность, информации о его местоположении и сведения о каком либо из специфических признаке, например, вероисповедание, уровень дохода, самоидентификация и так далее»‎.

Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности.

Processor и Controller

GDPR регламентирует процесс обработки ПДн исходя из целей сбора самих данных, их содержания и пр.
Внимание следует обратить на то, что в процессе обработки выделяют «Контроллеров»‎ и «Процессоров»‎.

В чем различия между «Контроллером»‎ и «Процессором»‎?

Как «Контроллеры»‎, так и «Процессоры»‎ данных несут ответственность за персональные данные, которые они обрабатывают. Тем не менее, у них есть некоторые различные обязательства, поэтому важно знать, какой из них вы.
«Контроллер»‎ определяет цель обработки данных, в то время как «Процессор»‎ является тем, кто фактически обрабатывает (собирает) данные.

В ст. 25 Регламента установлено, что «Контроллер»‎ учитывая современное развитие техники, затраты на внедрение, а также характер, объем, контекст и цели обработки, в равной степени как и вероятность возникновения рисков, так и опасностей для прав и свобод физических лиц, возникающих при обработке, должен принимать соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только персональные данные, которые необходимы для каждой конкретной цели их обработки.

Такая обязанность распространяется на собранный массив персональных данных в части, касающейся их обработки, срока их хранения, а также к доступа к ним. В частности, такие меры должны обеспечивать, что по умолчанию доступ к персональным данным не будет предоставлен неопределенному числу физических лиц без подтверждения соглашающегося на обработку данных лица.

Собирающая («Процессор»‎/«Обработчик»‎) ПДн сторона согласно ст. 13, 14 GDPR проводит процедуру обработки данных, предоставляет пользователю определенные сведения о цели обработки и категории обрабатываемых данных, а также в ряде случае и информацию о «Контроллере»‎ (например, если от субъекта ПДн не получены личные данные). Также собирающая данные сторона должна известить пользователя о том, будут ли его данные передаваться третьим лицам.

Ст. 28 Регламента устанавливает, что обработка данных «Процессором»‎, должна регулироваться договором, либо иным правовым актом, установленным согласно правил Евросоюза или отдельного государства ЕС, который имеет обязательную силу для «Процессора»‎ в отношении «Контроллера»‎, и который определяет предмет и период, в течение которого осуществляется обработка, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права «Контроллера»‎.

Перечислим некоторые положения, которые должен включать в себя данный договор. Предусматривается, что «Процессор»‎:

  • обрабатывает персональные данные только на основании документально подтвержденных распоряжений «Контроллера»‎, в том числе в отношении передачи персональных данных третьей стране или международной организации, если только этого не требует право Евросоюза или право государств-члена, которое применяется к «Процессору»‎; в этом случае последний должен проинформировать «‎Контроллера»‎ об этих правовых требованиях до начала обработки, за исключением случаев, когда такое право запрещает подобное информирование по основаниям общественного интереса;
  • гарантирует, что лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательства соблюдать конфиденциальность, либо обязательства этих лиц соблюдать конфиденциальность, предусмотрены законом;
  • предпринимает все меры по безопасности, изложенные в ст. 32 Регламента;
  • по выбору «Контроллера»‎, удаляет или возвращает все персональные данные «Контроллеру»‎ по завершению предоставления услуг, связанных с обработкой, а также удаляет существующие копии, кроме случаев, когда право Евросоюза или право государства-члена требует хранения персональных данных и другие.

Third countries (Третьи стороны)

Введения данного обозначения в GDPR связано с тем, что обработка данных может выходить за пределы как организации, обрабатывающей данные («процессор»), так и за пределы самого государства.

В GDPR предусмотрена возможность передавать данные клиента третьим лицам при определенных условиях. Третья сторона, то есть сторона, которой передают информацию, имеет соответствующий требованиям GDPR уровень защиты ПДн.

Считаем немаловажным упомянуть о том, что субъект данных имеет право на отправку персональных данных непосредственно от одного контроллера другому контроллеру, если это технически возможно.

Data Protection Officer (Уполномоченный по защите ПДн)

Регламент по защите ПДн устанавливает определенные механизмы внутреннего, субсидиарного  контроля, за процессом обработки данных – Уполномоченного по защите.

Уполномоченный по защите персональных данных должен обладать определенными профессиональными качествами, в том числе, экспертный уровень знаний в сфере  защиты данных и нормативной практики.

Data Protection Officer может являться сотрудником «Контроллера»‎ или «Процессора»‎, или осуществлять задачи на основании договора об оказании услуг. Если говорить более обще, то должность обязательна в предусмотренных случаях:

  • обработка осуществляется публичным учреждением или структурой, за исключением судов, при исполнении своих поручений;
  • основная деятельность контроллера или процессора состоит в действиях по обработке, которые по своему характеру, объёму и/или цели, требуют масштабного, регулярного и систематического мониторинга субъектов данных;
    P.S. На данный момент Регламентом не определена формулировка «масштабного мониторинга»‎, что на взгляд автора статьи может отсрочить обязательное внедрение таковой должности в компаниях, обрабатывающих данные.
  • основная деятельность контроллера или процессора заключается в широкомасштабной обработке особых категорий данных, согласно указанным в статье 9 и 10 персональным данным о наказуемости и нарушениях.

О классификации ПДн мы писали в статье Выделенные серверы в защищенном сегменте ЦОД.

Сотрудник на этой должности следит за соответствием деятельности по обработке ПДн положениям GDPR, чтобы гарантировать недопущение следующих типов утечки данных:

  • информировать и консультировать сотрудников контроллера или процессора, осуществляющих обработку, относительно их обязанностей, согласно настоящему регламенту, а также иным положениям Союза или государства-члена ЕС о защите данных;
  • контролировать соблюдение настоящего регламента, иных положений Союза или государства-члена ЕС о защите данных, а также политику контроллера или процессора по защите персональных данных, включая распределение обязанностей, информирование и обучение сотрудников, привлеченных к действиям по обработке, и с ними связанными ревизиями;
  • давать советы по запросу относительно оценки воздействия на защиту данных и контролировать ее осуществление согласно статье 35;
  • сотрудничать с надзорным учреждением;
  • выступать в роли контактного лица для надзорного учреждения по вопросам обработки, включая указанные в статье 36 предварительные консультации и, в соответствующем случае, консультировать по любому другому вопросу.

В число задач уполномоченного по защите ПДн входит оценка соответствия процедуры обработки ПДн правилам GDPR, а также составление рекомендаций по улучшению самого процесса обработки информации о пользователях.

10 распространенных методов, провоцирующих утечку данных

Encryption (Безопасность и конфиденциальность)

Одним из основных принципов обработки ПДн, установленным различными актами и подтвержденным Регламентом, является безопасность. Обеспечение безопасности ПДн включает в себя защиту от несанкционированной обработки, уничтожения или повреждения ПДн, а также обеспечение конфиденциальности данных. В целях предотвращения нарушений при обработке данных Регламент предусматривает в том числе применение набора технических способов трансформации ПДн в определенный код.

Об утечках ПДн следует сообщать в течение 72 часов в единый надзорный орган – DPA. Субъекты ПДн, которых это коснулось, должны быть оповещены, если ожидаются негативные последствия. Однако, если данные были соответствующим образом зашифрованы или обезличены, и эта защита не была взломана, то оповещать субъектов ПДн не следует. Службы безопасности должны будут убедиться в том, что все ПДн были надлежащим образом зашифрованы или обезличены и определить, явилась ли утечка данных событием, требующим отчетности. 

Ранее шифрование в основном было направлено на защиту портативных устройств. Обеспечение соответствия положениям GDPR, скорее всего, приведет к повышению спроса на шифрование данных.

Fines/Penalties 

Каждое государство ЕС согласно ст. 54 Регламента должно на законодательном уровне создать Надзорный орган, функцией которого в том числе будет и рассмотрение вопроса о наложении штрафов за нарушение Регламента.

При выявлении нарушений установленных правил предусмотрены штрафы, которые призваны «быть справедливыми» и «мотивировать» компании, обрабатывающие ПДн, осуществлять процедуру обработки согласно правилам GDPR. Административные штрафы взыскиваются в зависимости от обстоятельств каждого конкретного случая.

Перечислим некоторые аспекты, установленные ст. 83 Регламента, которые влияют на принятие решения в наложении административного штрафа и решения о размере административного штрафа, в каждом отдельном случае:

  • характер, тяжесть и продолжительность нарушения, принимая во внимание характер, объем и цели соответствующей обработки, также как и количество затронутых субъектов данных, а равно и размер ущерба, понесенного ими;
  • умышленный или неосторожный характер нарушения;
  • любые меры, предпринятые Контроллером или Процессором, для смягчения ущерба, полученного субъектами данных;
  • степень ответственности Контроллера или Процессора, принимая во внимание технические и организационные меры, осуществляемые ими 
  • наличие иных нарушений условий Регламента Контроллером или Процессором;
  • степень сотрудничества с надзорным органом для того, чтобы устранить нарушения и смягчить возможные неблагоприятные последствия нарушений;
  • категории персональных данных, затронутых нарушением;
  • способ, посредством которого надзорному органу стало известно о нарушении, в том числе, уведомил ли Контроллер или Процессор об этом нарушении, и если да, то как;
  • любые иные отягчающие или смягчающие факторы, применимые к обстоятельствам дела, например, полученные финансовые выгоды или избежание потерь, прямо или косвенно связанных с нарушением.

Если Контроллер или Процессор умышленно или по неосторожности, по тем же самым или связанным с обработкой данных, нарушают несколько положений Регламента, то общий размер административного штрафа не должен превышать размер, установленный для самого тяжкого нарушения.

К примеру, нарушения с учетом перечисленных выше положений правил обработки установленных в ст. 8,11, 25-39 и 42 и 43 Регламента должны подпадать под административные штрафы в размере до 10 000 000 Евро, или применительно к хозяйствующему субъекту, в размере до 2% от годового оборота хозяйствующего субъекта за весь предыдущий финансовый год, в зависимости от того, какая сумма больше.

Иные штрафы предусмотрены за нарушения правил обработки, установленных, например, ст. 5, 6, 7 и 9 Регламента, подпадают под административные штрафы в размере до 20 000 000 Евро или применительно к хозяйствующему субъекту в размере до 4% от годового оборота за весь предыдущий финансовый год, в зависимости от того, какая сумма больше.

Нарушения предписаний надзорного органа, в соответствии со Статьей 58 (п.2), должны, в соответствии с параграфом 2, подпадать под административные штрафы в размере не более 20 000 000 Евро или, применительно к хозяйствующему субъекту, в размере до 4% от годового оборота хозяйствующего субъекта за весь предыдущий финансовый год, в зависимости от того, какая сумма больше.

Внимания заслуживает положение, утверждающее, что в случае, когда правовая система государства-члена ЕС не предусматривает административные штрафы, процедура наложения штрафа рассматривается в судебном порядке по инициативе надзорного органа государства члена ЕС, при этом гарантируя, что средства правовой защиты являются эффективными и обладают аналогичным эффектом как и административные штрафы, налагаемые Надзорными органами. Во всяком случае, налагаемые штрафы должны быть эффективными, пропорциональными и должны оказывать сдерживающее воздействие. 

Штрафные санкции зависят от степени тяжести нарушения. В статье  84 GDPR присутствуют следующие виды штрафов:

  • штрафы за нарушения национальных правил. Страны ЕС должны устанавливать и регламентировать порядок применения ограничений в правилах охраны ПДн;
  • административные штрафы за нарушения, выявленные внутренними проверками. Устанавливаются внутренним законодательством страны.

Перечисленные в статье 58 инстанции, ответственные за введение в действие Регламента, являются специализированными организациями правовой системы ЕС, что не может быть ассоциировано с распространением влияния данных организаций на правовые процессы вне ЕС. При выявлении нарушений правил, установленных GDPR, компаниям, обрабатывающими и собирающими персональные данные, вменяются как предупреждения, так и финансовые штрафы.

Самые громкие случаи нарушения GPDR

Privacy By Design & by Default (Обеспечение конфиденциальности)

Рассмотрим два положения как взаимосвязанные понятия.

Обеспечение конфиденциальности предполагает, что при обработке ПДн конфиденциальность сведений должна сохраняться на всех этапах. 

Конфиденциальность by design предполагает обеспечение конфиденциальности данных с  использованием технических инструментов.
Технические инструменты для обеспечения конфиденциальности могут различаться от целей обработки, к примеру псевдонимизация, шифрование и так далее.
На текущий момент, способы и инструменты обеспечения конфиденциальности определяются «Процессором»‎, в перспективе видится, что оптимизировать данную процедуру может проработка стандартов и определенных правил.

В системе обработки должны быть установлены настройки режима по обеспечению конфиденциальности обрабатываемых данных. Конфиденциальность по умолчанию предполагает, что лицо, чьи данные обрабатываются, предоставляет свое согласие на обработку информации и подтверждает «пределы» объема сведений, которые возможно «обрабатывать»/использовать. 

У пользователя есть право на запрос удаления всех данных о нём. В течение календарного месяца с момента получения запроса все сведения должны быть удалены.

Как это касается российских компаний

Положения GDPR распространяются на компании, находящиеся вне территории ЕС. Это влияет на бизнес-процессы в некоторых российских компаниях. Для определения того, касается ли регламент GDPR деятельности компании, следует ответить на следующие вопросы:

  • Имеет ли сайт компании языковую версию хотя бы одного из государств Евросоюза?
  • Позволяет ли сайт компании оставлять ПДн на сайте пользователям, находящимся на территории ЕС?
  • Указаны ли цены услуг в валюте государств-участников ЕС? 
  • Предлагаются ли товары или услуги лицам, находящимся на территории ЕС?
  • Производится ли мониторинг данных о деятельности субъектов, находящихся в ЕС?

В статьях 12-22 GPPR перечислены права лиц, чьи данные обрабатываются. Некоторые права из списка могут привести к необходимости внесения корректировок во внутренние регламенты в российских компаниях.

К примеру, если на сайте российской организации регистрируется субъект, чьи данные будут «обрабатываться»‎ и данное лицо находится на территории ЕС, то российским компаниям требуется «определять»‎, действительно ли определенное лицо находится в ЕС, что требует наличие определенных технических мощностей.

GDPR a
Сайт компании asos.com

Ряд организаций на коммерческой и безвозмездной основе предлагают содействие в организации и аудите компаниям на предмет соответствия требованиям GDPR, например, некий шаблон документа, на который стоит ориентироваться при проработке собственных инструментов в зависимости от целей обработки ПДн:

  • WordPress.org предоставляет возможность скачать плагины, позволяющие «обработать»‎ данные и получить согласие субъекта на саму обработку;
  • На сайте itgovernance предлагают скачать шаблоны по информированию лиц об обработке их персональных данных.

Больше количество руководств по применению опубликовано под эгидой европейских правоустанавливающих институтов – к примеру, директива по обработке ПДн при предоставлении услуг онлайн.

После вступления в силу GDPR у Международной организации по стандартизации (International Organization for Standardization, ISO) обновились параметры обеспечения требований к системе управления информационной безопасностью

Отдельный вопрос организации деятельности компаний касается хранения данных и передачи информации третьим лицам. Предполагается, что ПДн делятся на категории. Для хранения различных категорий данных требуются различные меры и способы сбора и обработки. Например, медицинские и врачебные сведения должны подвергаться шифрованию, а научные и исторические – нет.

В GDPR  для лиц, чьи ПДн обрабатываются, предусмотрены следующие права:

  • на информацию, то есть всегда возможно уточнить, какие именно данные обрабатываются;
  • на доступ, то есть всегда можно запросить доступ к обрабатываемым персональным данным самому лицу;
  • право на исправление;
  • право на согласие на обработку;
  • право на возражение, то есть возможность сообщить о том, что лицо против обработки своих данных;
  • право на возражение на автоматизированную обработку данных;
  • право на забвение, то есть возможность удалить свои данные;
    Субъект данных должен иметь право потребовать от Контроллера полностью удалить персональные данные, касающихся его/ее немедленно.Получив таковое требование, Контроллер обязан удалить все персональные данные и ссылки на них без неоправданной задержки, в том случае, если применимо одно из следующих оснований:
    • персональные данные больше не нужны для целей, для которых они были собраны или обработаны иным образом;
    • субъект данных отозвал свое согласие, на основании которого, согласно пункту, осуществлялась обработка, а также если отсутствует иное правовое основание обработки;
    • субъект данных возражает против обработки, и отсутствуют правовые основания, имеющие преимущественную силу;
    • персональные данные были обработаны неправомерно;
    • персональные данные должны быть удалены в соответствии с правовыми обязательствами, вытекающими из права Евросоюза или права государства-члена, действие которых распространяется на Контролера;
    • персональные данные были собраны в связи с предложением услуг информационного общества.
  • право запросить перенести данные, то есть передать их другому обработчику.

Согласно GDPR для соблюдения перечисленных прав субъектов у компаний, обрабатывающих информацию, должны быть внедрены технические механизмы, позволяющие реализовать перечисленные права лиц.

При «передаче»‎ своих персональных данных лицу требуется понимать, что он, при совершении определенных действий, соглашается с «обработкой»‎ предоставленных сведений. Таковое понимание технически может быть выражено в заполнении обязательных полей в анкете, либо проставление галочек в чекбоксах, в которых содержится либо полное описание процедуры «обработки»‎, либо ссылки на документы, в которых описан порядок обработки персональных данных.

В качестве примера можно рассмотреть процедуру регистрации на facebook.

GDPR f1

Также возможно «выведение»‎ определенных всплывающих окон, оповещающих, к примеру, что будут сохраняться cookie файлы лица.

GDPR f2

Кому хорошо от принятия закона

Для операторов обработки данных GDPR можно расценивать как положительную тенденцию, связанную с минимизацией количества «анонимных»‎ (фейковых) клиентов, регистрирующихся для распространения нелегального контента.

Наряду с усилением требований по защите персональных данных у оператора появляется возможность установления условий, невыполнение которых не позволит пройти регистрацию лицам, использующим фейковые данные.

Лица, чьи данные подвергаются «обработке»‎, получают более явные сведения о том, какие именно данные обрабатываются и как именно.

У операторов обработки появляется необходимость модернизации своих технических площадок. Требуется привести свою инфраструктуру к соответствию требованиям GDPR. Кроме того, Регламент в качестве «мотивирующих» мер по его соблюдению устанавливает штрафные санкции.

Заключение 

Регламент по трансграничной обработке ПДн, распространяющегося вне зоны действия инстанций, утвердивших данные правила, помимо защиты ПДн также унифицирует правовые принципы взаимодействия участников процесса обработки данных. При этом GDPR не содержит правовых механизмов, которые явно определяют алгоритмы контроля и вынесения решений о нарушении положений Регламента, наложения штрафов на участников процесса, не подпадающих под зону влияния надзорных инстанций за пределами ЕС.

GDPR способствовал развитию правовых и технических аспектов по сбору, обработке и хранению ПДн. Модернизация затрагивает не только компании, собирающие и обрабатывающие ПДн, но и надзорные органы. По прошествию времени становится видно, что механизм наложения штрафов еще требует проработки, что несомненно также повлияет на распространение требований соблюдения GDPR для внутрикорпоративных политик компаний.

Настоящая статья подготовлена сотрудником компании по собственной инициативе после анализа большого количества материалов о GDPR. Автор не претендует на экспертную оценку рассматриваемых положений Регламента. Автор не рассматривает (не анализирует) политику компании Selectel в отношении обработки и защиты персональных данных.