24/7

GDPR: новый уровень защиты персональных данных

31 мая : ru 11 2 июня : ru 2 3 июня : ru 2 всего: 18731.05.18

Технический прогресс не стоит на месте и позволяет информационным технологиям выходить на новый уровень. Потоки данных в прессе уже окрестили топливом будущего (“Fuel of the future”- The Economist), ведь они постепенно формируют новый бизнес, новые монополии, новую политику, новую инфраструктуру и совершенно новую экономику. Ценность данных, особенно, персональных, стремительно растет, а передовые IT компании уже разрабатывают новые источники дохода, связанные с использованием так называемой BigData.
 
Несомненно, что такой оборот потоков персональных данных должен быть урегулирован на правовом уровне. Регламентацию стоит направлять на усиление защиты персональных данных, так как нередко они используются в мошеннических целях. В конце концов, ключевым вопросом является предоставление самому владельцу персональных данных возможности беспрепятственно и эффективно их контролировать.
Европейский союз проделал колоссальную работу и представил миру свой новый современный Регламент по защите персональных данных – General Data Protection Regulation (GDPR), который вступает в силу 28 мая 2018 года. Теперь все государства-члены ЕС будут руководствоваться одним единственным нормативно-правовым актом, и приводить свое национальное законодательство в строгое соответствие с ним. Регламент обширный – принципы работы с персональными данными разъясняются достаточно детально.

Самая обсуждаемая (читай: шокирующая) особенность GDPR – его экстерриториальное действие.

Нормы GDPR должны соблюдаться всеми лицами, чья деятельность связана с предложением/реализацией товаров и услуг, мониторингом поведения субъектов данных, используя персональные данные граждан и резидентов ЕС. То есть, любое лицо (физическое или юридическое), которое собирает, а также обрабатывает такие персональные данные, обязано делать это по правилам Регламента, вне зависимости от того, зарегистрировано оно во Франции, Украине или Гондурасе.
Персональные данные в понимании Регламента это любые данные, по которым можно прямо или косвенно идентифицировать человека.
Именно человека, так как GDPR регулирует работу с данными именно физических лиц – граждан и резидентов ЕС. То есть юридические лица не являются субъектами данных.
А персональные данные действительно могут включать практически любые данные от имени и фамилии, паспортных данных до IP адресов, cookies-файлов.
Отдельной категорией выделены «чувствительные данные» (sensitive data): биометрические данные, информация о здоровье, религиозная принадлежность, политические взгляды и тому подобное.

GDPR в лицах: контролер, обработчик и другие…

Регламент выделяет следующих субъектов в сфере работы с персональными данными:
Субъект данных – это физическое лицо, гражданин/резидент ЕС, персональные данные которого обрабатываются.
Контролер – это физическое или юридическое лицо, орган государственной власти*, агентство, иной орган, который получает доступ к персональным данным субъектов данных, и определяет цель и способы их использования.
Обработчик – те же лица, только которые уже обрабатывают персональные данные от имени и по поручению контроллера. Конечно, контролер и обработчик могут быть одним лицом.
Инспектор по  защите данных – это лицо со специальными знаниями в области защиты персональных данных, которое должно быть назначено компаниями, вовлеченными в масштабную, систематическую обработку персональных данных или работающими с чувствительной категорией персональных данных. Кроме того, инспектор назначается государственными органами.
Представитель – это тоже лицо со специальными знаниями, ответственное за контроль работы с персональными данными, но которое назначается компаниями, учрежденными за пределами ЕС.
*Имеются в виду государственные органы стран-членов Европейского Союза. Экстерриториальное действие не затрагивает государственные структуры стран, не являющихся членами ЕС.

Принципиальные требования GDPR

Согласие субъекта данных
Согласию субъекта данных предшествует запрос потенциального контроллера. Такой запрос должен быть ясным, однозначным, изложенным простым языком, и обозначать цель использования персональных данных. Согласие должно быть выраженным. Всем известное подразумеваемое согласие (implied consent) тут не работает. То, что субъект данных согласился предоставить свои данные на обработку должно быть показано его активными действиями. Также должна предусматриваться возможность отозвать согласие в любой момент.
Право доступа
Субъект данных имеет право запросить у контролера предоставление сведений о его персональных данных, которые обрабатываются этим контролером: какие именно данные обрабатываются, где и с какой целью.
Право исправления
Субъекту данных должна обеспечиваться возможность вносить исправления в предоставленные контролеру данные.
Право на забвение
Отзыв согласия субъекта данных влечет за собой обязанность контролера уничтожить предоставленные таким субъектом персональные данные. Те же последствия влечет исчезновение цели для которой данные были получены.
Право на переносимость данных
Контролер обязан в любой момент по запросу субъекта данных обеспечить трансфер персональных данных этого субъекта к другому контролеру.
Защита данных по умолчанию
Регламент гласит: не нужно выжидать момент, когда вы станете непосредственно обрабатывать персональные данные. Потенциальные контролеры должны обеспечивать техническое и организационное соответствие еще до получения статуса контролера.

GDPR и украинский бизнес

Итак, учитывая экстерриториальное действие, GDPR может распространяться также на украинские компании. Это происходит в таких случаях:
• У компании есть филиал/представительство в ЕС;
• В процессе исполнения хозяйственных договоров и других соглашений с контрагентами из ЕС;
• Компания ведет деятельность, связанную с предложением товаров и услуг, доступных гражданам/резидентам ЕС. 
Если украинская компания является обработчиком данных, полученных от европейской компании, то включаются положения регламента, которые определяют трансфер персональных данных за пределы ЕС. В данном случае заключается договор о защите данных (Data Protection Agreement). Это типовое соглашение утвержденное Еврокомиссией. Документ описывает обязанности контроллера и обработчика в процессе использования персональных данных.

Вывод

Регламент по защите персональных данных разработан с учетом новых технологий и действительно идет в ногу со временем. Многие его требования и, в особенности, санкции (размер штрафа может достигать 20 миллионов евро или 4% от общего годового оборота компании за предыдущий год) вызывают дискуссии. Скорее всего, ответит на все вопросы только практика. С уверенностью можно сказать только то, что готовиться к соблюдению регламента нужно. Уже в ближайшем будущем рейтинг компании будет определяться не только качеством предоставления товаров/услуг, но и качеством защиты персональных данных клиентов.
 
Журнал "Столичный экспресс"

Авторы: Артур Ницевич, Валерия Иванова