Регламент ес 2016 679

Содержание

Введение

Генеральный регламент о защите данных является одной из самых обсуждаемых тем в настоящее время, и слухи о нем начинают активно распространяться. Например, существуют претензии, что переносимость данных применима во всех случаях или что персональные данные не могут обрабатываться за пределами Европейского союза (ЕС) или Европейской экономической зоны (ЕЭЗ). Неудивительно, что компании не уверены, как работать внутри компании или с поставщиками услуг.

Вам не о чем беспокоиться, когда вы ведете дела вместе с нами или когда Аккаунтор обрабатывает персональные данные. Пожалуйста, обратите внимание на наши приготовления к соблюдению требований GDPR, и каким образом это повлияет на заинтересованных лиц, таких как корпоративные клиенты, а также их представителей и сотрудников, персонал Аккаунтор или иных физических лиц

Регламент GDPR – О чем он

Генеральный регламент о защите данных (в народе GDPR) – новый закон, введенный Европейским союзом, который распространяется на использование персональных данных. Данный регламент вступил в силу в мае 2018 года.

Цель Регламента GDPR

GDPR – это шаг вперед в обеспечении прозрачности при обработке данных. Действие нового регламента распространяется на любую компанию независимо от ее расположения, в ЕС или за его пределами, обрабатывающую данные граждан ЕС. Данный регламент, главным образом, защищает персональные данные физических лиц, и его цель заключается в том, чтобы предоставить гражданам ЕС возможность контролировать свои персональные данные и изменить подход организаций по всему миру к конфиденциальности данных. Таким образом, GDPR закрепляет большое число существующих и новых прав физических лиц в отношении их персональных данных. Соответственно, это означает усиление прав граждан по контролю за использованием своих персональных данных.

Какие данные являются персональными?

К персональным данным относится любая информация, по которой можно прямо или косвенно идентифицировать физическое лицо. И неважно, относится данная информация лично к физическому лицу или его профессиональной или общественной деятельности.

Примеры персональных данных:

  • имя
  • фотография
  • электронная почта
  • голос или банковские реквизиты

Разные требования к различным заинтересованным лицам

Для организаций, таких как компании, государственные учреждения и объединения GDPR означает увеличение и ужесточение обязательств и требований при обработке персональных данных. Организации должны оценить свою возможность предоставлять данные с соблюдением требований GDPR по формату. Например, может потребоваться разработка функций форматирования для удовлетворения запросов доступа.

Что на практике должны делать организации?

  • Осуществлять более инициативный подход к управлению персональными данными
  • Определять, какие данные обрабатываются в ходе их деятельности
  • Определять, каким образом и где хранятся данные
  • Утвердить правомерно обоснованную политику в отношении способов сбора, управления и уничтожения данных
  • Включить вопросы защиты персональных данных в основу своей коммерческой деятельности
  • Осуществлять защиту персональных данных, находящихся в распоряжении
  • Принимать надлежащие меры защиты с учетом риска, который может возникнуть у физических лиц при обработке их персональных данных и т.д.

Роли Аккаунтор

Аккаунтор исполняет различные роли при обработке персональных данных в зависимости от специфики обработки.

Аккаунтор в роли Поставщика услуг

Процессор данных – организация, осуществляющая обработку персональных данных по поручению другого юридического лица. Будучи поставщиками услуг, как правило, мы обрабатываем персональные данные по поручению наших клиентов в качестве процессора данных, например, при предоставлении

  • услуг по расчету заработной платы
  • бухгалтерских услуг
  • ИТ-услуги внешнего размещения

Мы также предоставляем услуги программного обеспечения для наших клиентов, которые используются для обработки данных, при этом клиенты сами устанавливают программное обеспечение и работают с ним. В таком случае Аккаунтор не является процессором данным, поскольку он не имеет доступа к персональным данным, обрабатываемым таким программным обеспечением.

Относительно обеих ситуаций Аккаунтор не имеет независимых прав в отношении персональных данных, и мы должны следовать инструкциям, согласованным с нашими клиентами. Клиенты уполномочены принимать решения по средствам и целям обработки, и, таким образом, они выступают в роли контролера данных. Следовательно, клиенты несут ответственность за правомерность обработки.

Однако, при предоставлении услуг Аккаунтор является не только процессором, но также и контролером данных. В таком случае мы

  • Управляем нашими отношениями с клиентами и контролируем эти отношения
  • Контролируем оказанные услуги
  • Обрабатываем персональные данные представителей, руководящих работников наших клиентов и иных контактных лиц

Таким образом, мы отвечаем за обработку в качестве контролера данных.

Аккаунтор в роли Работодателя

Мы обрабатываем персональные данные наших сотрудников в трудовых отношениях. При этом Аккаунтор является контролером данных, который несет ответственность за правомерность обработки независимо от того, осуществляется обработка внутри компании или внешним процессором данных. То же самое относится и к временно наемным работникам.

Кроме того, Аккаунтор может приобретать для своих сотрудников тесно связанные с трудовыми отношениями услуги, где обрабатываются персональные данные.

Практический пример такой ситуации:

Аккаунтор может приобретать услуги по здравоохранению на рабочем месте. В связи с этим в отношении обрабатываемых персональных данных Аккаунтор не является ни контролером, ни процессором данных. Компания всего лишь несет затраты в рамках трудовых отношений, но не вправе осуществлять контроль за персональными данными или принимать решения по ним.

Следовательно, поставщик медицинских услуг является контролером данных.

Как компания Аккаунтор подготовилась к GDPR?

Мы признали и установили на раннем этапе, что GDPR окажет существенное влияние на наши услуги и процессы. Мы разработали мероприятия, чтобы убедиться в выполнении корректных действий и наличии достаточных ресурсов для обеспечения соблюдения GDPR. Поэтому в 2016 году мы запустили в рамках группы проект по GDPR для внедрения установленных требований в нашу повседневную деятельность.

Мы улучшили нашу культуру конфиденциальности, разработав общие принципы комплексной конфиденциальности, начиная от Политики конфиденциальности, утвержденной нашим Советом директоров, а также проекты соответствующих инструкций, руководств и внедрили их в нашу повседневную деятельность. Высшее руководство Аккаунтор четко придерживается всех мероприятий по усилению ответственного делового поведения, включая реализацию GDPR. Каждое наше подразделение отвечает за осуществление защиты персональных данных в своей деятельности, принимая во внимание действующие требования к защите данных и сферу нашей деятельности. Данный процесс также включает в себя документацию, информирование персонала и тренинги, а также изменения процессов и систем в существующих операциях. Будут пересмотрены существующие договоры и внесены требуемые изменения при необходимости.

Ответственный за защиту данных и иные лица, отвечающие за защиту данных

Мы назначили во всех наших подразделениях и компаниях лицо, отвечающее за защиту данных. Кроме того, мы назначили ответственного за защиту данных на уровне группы, который усилил наши ресурсы по защите данных и соответствующий проект, оказывая поддержку и консультируя подразделения в их деятельности по защите данных. Ответственный за защиту данных

  • Разрабатывает и обеспечивает осуществление защиты данных
  • Информирует и инструктирует руководство об их обязанностях
  • Следит за соблюдением действующего законодательства

Совместно с другими выделенными ресурсами все наши подразделения при необходимости выполняют требования GDPR в связи с реализацией собственных проектов и мероприятий. Нашему исполнительному директору докладывают о ходе выполнения проекта GDPR.

Общие принципы конфиденциальности, документация и внутренние тренинги

Мы разработали общие принципы конфиденциальности в рамках всей группы, начиная от Политики конфиденциальности, и постепенно перешли к разработке подробного руководства и толкований, в частности, по

  • правам физических лиц,
  • оценке воздействия на защиту данных и
  • действующему согласию.

Подразделения могут воспользоваться инструментами и методами группы для обеспечения соблюдения их поставщиками требований GDPR или для проведения оценки воздействия на защиту данных. Шаблоны новых договоров готовы к использованию в продажах и закупках.

Кроме того, мы задокументировали наши операции по обработке данных в различных организациях в соответствии с требованиями. Например, для того чтобы закрыть пробелы между существующими операциями по обработке данных, была подготовлена подробная схема действий для каждого подразделения, а также определены соответствующие требования.

У нас также постоянно проводятся тренинги для соответствующих заинтересованных лиц в каждом подразделении для разъяснения Регламента GDPR и лучшего понимания связанных с ним обязательств. Определенный учебный материал по GDPR был подготовлен для всех сотрудников Аккаунтор в соответствии с их обязанностями.

Реализация GDPR по подразделениям

Однако, у нас в Accountor Group очень разные подразделения и компании. Поскольку каждое подразделение отвечает за свои собственные мероприятия по реализации, то они находятся на разных этапах реализации в зависимости от, помимо прочего, их организационной структуры и зрелости. Например, некоторые подразделения сейчас пересматривают договоры с клиентами, а некоторые еще находятся на стадии планирования. Некоторые подразделения в настоящее время проводят оценку воздействия на защиту данных существующих операций по обработке, в то время как некоторые подразделения все еще определяют свой внутренний процесс для этого.

Несмотря на то, что требуются еще некоторые мероприятия, мы двигаемся высокими темпами. Мы работаем над улучшением нашей политики прозрачности. Наша цель заключается в

  • описании реализации защиты данных в наших Положениях о конфиденциальности и уведомлениях,
  • оформлении документации для обеспечения доступности прозрачной информации по обработке персональных данных как для наших корпоративных клиентов, так и для частных лиц.

Также подразделения ведут работы по совершенствованию систем для внедрения прав физических лиц в каждую систему. Ведется регулярный контроль за выполнением мероприятий, о чем сообщается высшему руководству.

Информационная безопасность

Поскольку попытки несанкционированного доступа ужесточаются, это означает, что необходимо постоянно контролировать нашу систему безопасности для того, чтобы защитить и оградить себя от прогрессирующих угроз. В отношении информационной безопасности осуществляется процесс по усилению наших ресурсов информационной безопасности на уровне группы. Перед началом обработки и при необходимости после нее оцениваются воздействия и риски обработки персональных данных таким образом, чтобы защита данных была встроена и обеспечивалась во всех операциях.

Кроме того, мы планируем включать меры по обеспечению защиты данных в наши продукты и услуги на самых ранних этапах разработки. В настоящее время мы формируем общие принципы управления информационной безопасностью на уровне группы для охвата всех бизнес-операций и подразделений. Также готовится общегрупповой процесс контроля происшествий, для чего проводится тестирование потенциального инструмента.

Проводятся регулярные проверки деятельности по защите данных, и по ней оформляется надлежащая документация. Наша цель, безусловно, заключается в соблюдении требований GDPR

  • во всех указанных операциях в наших системах, процессах и необходимой документации
  • в существующих инструкциях и руководствах
  • своевременно до вступления Регламента в силу в мае 2018 года.

Коммерческие услуги по GDPR

Консультация

MyGDPR

Мы также предоставляем различные услуги нашим клиентам для удовлетворения требований, возникающих вследствие защиты данных и GDPR. Особенно они касаются малых и средних предприятий.

С помощью инструмента Accountor myGDPR мы можем помочь вам обозначить ваш текущий статус в вопросах защиты данных, после чего проконсультировать по необходимым изменениям в ваших процессах, договорах и методах работы, чтобы удовлетворять требованиям GDPR. Accountor myGDPR состоит из службы сопоставления, функционирующей при помощи инструмента, вспомогательного консультационного сервиса по сопоставлению (план соответствия GDPR) и удобного в использовании инструмента Software-as-a-Service (перевод с англ. — программное обеспечение как услуга) для самостоятельного использования для оценки необходимых задач и платформы для документации.

Инструмент Accountor myGDPR оказывает вам поддержку в проведении самостоятельной оценки соблюдения требований GDPR, интерпретирует результаты анализа текущего состояния, определяет приоритетность выявленных задач по соблюдению GDPR и составляет по ним план действий. Кроме того, данный инструмент позволяет вам оценить и задокументировать соответствие операций и процессов, включая связанную с ними документацию, Регламенту GDPR, а также определить необходимые задачи для повышения вашего соблюдения требований GDPR в тех областях, где выявлены пробелы.

Если Вы хотите получить дополнительную информацию по нашим услугам GDPR, сообщите об этому Вашему контактному лицу в Аккаунтор, и мы свяжемся с Вами.

Контакты

Мы признательны за Ваше обращение к нам. Если у Вас возникли вопросы по защите данных или Регламенту GDPR, пожалуйста, свяжитесь с нами. Ваш запрос будет направлен соответствующему лицу, и мы свяжемся с Вами в максимально короткие сроки.

По вопросам общего соблюдения и деятельности на уровне группы, пожалуйста, пишите на privacy@accountorgroup.com

По вопросам локальных мероприятий по реализации или статуса реализации, пожалуйста, обращайтесь в наше подразделение или компанию, с которой Вы работаете: pavel.antonov@accountor.ru

По вопросам коммерческих услуг, предоставляемых нами в отношении GDPR, пожалуйста, обращайтесь: daniil.berlizov@accountor.ru or givi.enukidze@accountor.ru

Общие сведения

Мы находимся в процессе формирования позиции надежной, ответственной и этичной компании по отношению к нашим клиентам, партнерам, сотрудникам, руководителям и другим заинтересованным лицам во всех наших действиях. Аккаунтор – профессиональный поставщик услуг, который берет на себя ответственность по соблюдению действующих законодательных норм, а также любых правил и решений, предписанных компетентными органами. По этой причине мы придерживаемся положений о защите данных, принятых на национальном уровне и на уровне ЕС, официальных рекомендаций и руководств, решений, предписанных компетентными органами. Кроме того, все наши процессы и политики опираются на действующее законодательство. Это также относится к обработке персональных данных независимо от способа обработки.

FAQ

На кого распространяется действие Регламента GDPR?

Действие Регламента GDPR распространяется не только на организации, находящиеся на территории ЕС, но также и на организации, находящиеся за пределами ЕС, если они предлагают товары или услуги субъектам данных ЕС или контролируют их работу. Под его действие попадают все компании, которые обрабатывают и хранят персональные данные субъектов данных, проживающих в ЕС, независимо от местонахождения компании.

В чем заключается разница между процессором данных и контролером данных?

Контролер – это организация, которая определяет цели, условия и средства обработки персональных данных, а процессор – это организация, обрабатывающая персональные данные по поручению контролера.

Общие термины и определения относительно Регламента GDPR?

  • Контролер данных: организация, которая определяет цели, условия и средства обработки персональных данных
  • Оценка воздействия на защиту данных: инструмент, используемый для выявления и уменьшения рисков конфиденциальности у организаций с помощью анализа обрабатываемых персональных данных и применяемой политики для защиты данных
  • Процессор данных: организация, обрабатывающая персональные данные по поручению контролера
  • Субъект данных: физическое лицо, чьи персональные данные обрабатываются контролером или процессором
  • Нарушение персональных данных: нарушение режима безопасности, ведущее к случайному или несанкционированному доступу, уничтожению, нецелевому использованию и т.д. персональных данных
  • Персональные данные: любая информация, имеющая отношение к физическому лицу, по которой можно прямо или косвенно идентифицировать физическое лицо
  • Обработка: операция, совершаемая с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, использование, запись и т.д.

Когда необходимо выполнять оценку воздействия на защиту данных?

Данная оценка анализирует необходимость и соразмерность обработки данных для управления рисками в отношении субъектов данных и обеспечивает надлежащую защиту их прав. Регламент GDPR требует проведения данной оценки только для операций по обработке данных с высоким уровнем риска.

Документ показан в сокращенном демонстрационном режиме!

Получить полный доступ к документу

Вход для пользователей Стань пользователем

Доступ к документу можно получить: Для зарегистрированных пользователей:
Тел.: +7 (727) 222-21-01, e-mail: info@prg.kz, Региональные представительства

Для покупки документа sms доступом необходимо ознакомиться с условиями обслуживания
Я принимаю Условия обслуживания
Продолжить

  • Корреспонденты на фрагмент
  • Поставить закладку
  • Посмотреть закладки

Регламент № 2016/679 Европейского парламента и Совета Европейского Союза
О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС

(Общий Регламент о защите персональных данных) <**>

(г. Брюссель, 27 апреля 2016 года)

(Действие Регламента распространяется на Европейское экономическое пространство)

Европейский Парламент и Совет Европейского Союза,

руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 16 Договора,

на основании предложения Европейской Комиссии,

после передачи проекта законодательного акта национальным парламентам,

на основании заключения Европейского комитета по экономическим и социальным вопросам <*>,

___________________

<*> ОЖ N С 229, 31.07.2012.

на основании заключения Комитета регионов <*>,

___________________

<*> ОЖ N С391, 18.12.2012.

действуя в соответствии с обычной законодательной процедурой <*>,

___________________

<*> Позиция Европейского Парламента от 12 марта 2014 г. (еще не опубликована в ОЖ) и позиция Совета ЕС при первом чтении от 8 апреля 2016 г. (еще не опубликована в ОЖ). Позиция Европейского Парламента от 14 апреля 2016 г.

принимая во внимание следующие обстоятельства:

(1) Защита физических лиц при обработке персональных данных является основным правом. Статья 8(1) Хартии Европейского Союза об основных правах («Хартия») и Статья 16(1) Договора о функционировании Европейского Союза (TFEU) предусматривают, что каждый человек имеет право на защиту относящихся к нему персональных данных.

(2) Принципы и правила защиты физических лиц при обработке их персональных данных вне зависимости от гражданства или места жительства лица должны соответствовать основным правам и свободам, в частности, праву на защиту персональных данных. Целью настоящего Регламента является содействие формированию пространства свободы, безопасности и правосудия и экономического союза, содействие экономическому и социальному прогрессу, укреплению и сближению экономик в рамках внутреннего рынка, а также содействие благосостоянию физических лиц.

(3) Целью Директивы 95/46/ЕС Европейского Парламента и Совета ЕС <*> является гармонизация положений о защите основных прав и свобод физических лиц при обработке данных, а также гарантия свободного движения персональных данных между государствами-членами ЕС.

___________________

<*> Директива 95/46/ЕС Европейского Парламента и Совета ЕС от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (ОЖ N L281, 23.11.1995, стр. 31).

Джейн Финлейсон-Браун ( Jane Finlayson-Brown),
Ванне Пеммелаар (Wanne Pemmelaar)

После четырех с лишним лет обсуждения новая рамочная система защиты персональных данных в ЕС была принята 8 апреля 2016 года в форме регламента – Общего регламента по защите персональных данных, General Data Protection Regulation (GDPR).
GDPR заменит действующую Директиву о защите персональных данных и будет непосредственно применяться во всех странах-участницах Евросоюза без необходимости в разработке имплементирующего национального законодатель­ства. Регламент будет введен в действие 25 мая 2018 года. Вместе с тем, Регламент будет иметь немедленный эффект, поскольку он содержит ряд весьма обременительных для организаций обя­зательств, реализация которых потребует времени.

Данное законодательство привлекло массу внимания уже начиная с 2012 года, когда соответствующая законодательная инициатива впервые была вынесена Еврокомиссией на обсуждение. Законо­проект даже влиял на решения, принимаемые Судом Евросоюза. Организации во всех странах ЕС и за его пределами испытывали все большие неудобства из-за прогрессирующей дисгармонии между законами стран-участниц Евросоюза по защите персональных данных, несмотря на растущие потоки данных через границы. GDPR хотели принять как можно быстрее, даже если это означало бы, что урегулирование некоторых деталей пришлось бы отложить на потом. И законодатели Евросоюза не стали тянуть время. Принятие GDPR знаменует собой новую веху в законодательстве ЕС о защите персональных данных.

Чтобы помочь организациям подготовиться к новому законодатель­ству, Рабочая группа Статьи 29 (WP29), состоящая из представителей органов по защите данных (далее Data Protection Authorities, DPA) стран-участниц ЕС, разрабатывает разъяснения по различным аспектам GDPR. Первые разъяснения об инспекторах защиты данных, принципе единого окна и новом праве портативности персональных данных были приняты 5 апреля 2017 года, и в течение 2017 года выйдет еще ряд разъ­яснений.

В настоящей статье мы осветим ряд значимых моментов GDPR.

«Теперь, с принятием GDPR, будущее защи­ты персональных данных в ЕС прояснилось и началась подготовка к внедрению нового регламента».

Дэвид Смит (David Smith), специальный консультант Allen & Overy

«…Значительный шаг по направлению к Единому цифровому рынку».

Андрус Ансип (Andrus Ansip), вице-президент Европейской Комиссии по Единому цифровому рынку

«Расширение территориального охвата GDPR обеспечит более сбалансированное взаимодействие между контролерами дан­ных в ЕС и за его пределами».

Найджел Паркер (Nigel Parker) – партнер, Allen & Overy

Что вам необходимо знать

РАСШИРЕНИЕ ТЕРРИТОРИАЛЬНОЙ ЮРИСДИКЦИИ

GDPR распространяется на организации за пределами ЕС, чья дея­тельность по обработке персональных данных связана с предложением товаров и услуг (даже безвозмездным) субъектам данных в ЕС или с мониторингом их поведения на территории ЕС. Многим таким организа­циям потребуется назначить представителя в ЕС.

В преамбуле содержится ряд полезных разъяснений. «Предложение товаров и услуг» – это больше, чем просто доступ к веб-сайту или адресу электронной почты. Свидетельством такого предложения может быть использование языка или валюты, традиционно используемых в одной или нескольких странах-участницах ЕС, при наличии возможности заказывать товары/услуги в этой стране или странах и/или осуществлять мониторинг клиентов или пользова­телей на территории ЕС. «Мониторинг поведения» происходит, к примеру, при отслеживании поведения пользователей в Интернете с помощью методов, позволяющих профилирование пользователя с целью принятия решений о нем или прогнозирования его личных предпочтений и т.п.

На практике это означает, что компания за пределами ЕС, ориен­тированная на потребителей в странах ЕС, в будущем подпадет под действие GDPR. Сейчас это не так.

ОТЧЕТНОСТЬ И КОНСТРУКЦИОННО ЗАЛОЖЕННАЯ КОНФИДЕНЦИАЛЬНОСТЬ

GDPR налагает на контролеров данных очень обременительные обязанности.

В частности, они обязаны:

  • вести определенную документацию,
  • выполнять оценку воздействия обработки персональных данных на права субъектов данных для более рискованных видов обра­ботки (составление списков таких видов операций возлагается на DPA),
  • внедрить защиту данных на конструкционном уровне и по умол­чанию, например, используя подход минимизации данных.

ИНСПЕКТОРЫ ПО ЗАЩИТЕ ДАННЫХ

В определенных обстоятельствах обработчики и контролеры дан­ных будут обязаны назначить инспектора по защитe данных (Data Protection Officer, DPO) в рамках своей программы отчетности. Назначение инспектора обязательно в следующих случаях:

  • обработка данных осуществляется госорганом,
  • основная деятельность контролера или обработчика заключается в такой обработке, которая по своей сути, масштабу или целям требует крупномасштабного, регулярного и систематического мониторинга субъектов данных, или
  • основная деятельность организации заключается в крупномас­штабной обработке специальных категорий данных.

DPO должен обладать достаточной экспертной квалификацией, определяемой характером операций по обработкe данных, за кото­рые инспектор будет отвечать.

DPO может быть сотрудником организации или работать с ней по сервисному контракту. Группа организаций или определенные группы государственных учреждений могут назначить одного DPO (при условии его доступности для всех участников). Руководящие положения WP29, опубликованные в апреле 2017 года, разъясняют некоторые аспекты GDPR в отношении DPO, включая то, что DPO в принципе должен находиться на территории ЕС и быть непосред­ственно подчинен высшему уровню руководства организации.

РОЛЬ ОБРАБОТЧИКОВ ДАННЫХ

Одним из важнейших нововведений GDPR является то, что у об­работчиков данных впервые появились прямые обязанности. Сюда относятся следующие обязанности: вести письменный реестр операций по обработке персональных данных, выполненных от имени и по поручению каждого контролера; назначить, если требуется, инспектора по защите данных; назначить при определенных обсто­ятельствах представителя в ЕС (если у обработчика нет представи­тельства в ЕС); уведомлять контролера об обнаруженных утечках персональных данных без необоснованной задержки. Положения о трансграничной передаче данных также распространяются на об­работчиков, включая теперь формально признанные для обработ­чиков данных «Обязательные корпоративные правила» (Binding Corporate Rules, BCR).

Новый правовой статус обработчиков данных наверняка повлияет на то, как вопросы защиты данных будут отражаться в договорах поставки и других коммерческих соглашениях.

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОБРАБОТКУ

Согласие должно быть дано свободно, быть конкретным, информиро­ванным и однозначным. Запросы на получение согласия должны быть отделены от других условий, а также изложены четким и понятным языком.

Согласие на обработку персональных данных должно быть настолько же легко отозвать, как и предоставить. Для специальных категорий дан­ных согласие должно быть явно выраженным. Контролер данных обя­зан быть в состоянии предоставить доказательства получения согласия. Согласие, полученное в соответствии с текущим законодательством, может считаться действительным при условии, что оно отвечает новым требованиям.

Продолжается дискуссия о том, является ли согласие допустимым правовым основанием для обработки данных в случаях, когда между субъектом данных и контролером данных существует значительное неравенство. GDPR утверждает, что при оценке добровольности согла­сия необходимо учитывать, в частности, то, поставлено ли исполнение договора в зависимость от предоставления согласия субъектом на обра­ботку его данных, которые для исполнения этого договора не нужны. Данное требование может, в частности, повлиять на предоставление ус­луг электронной коммерции. Кроме того, страны-участницы ЕС вправе устанавливать дополнительные требования к использованию согласия в контексте трудовых отношений. Преамбула разъясняет, что согласие не считается добровольным, если субъект данных не имеет подлинного и свободного выбора либо возможности отказать в предоставлении со­гласия или отозвать согласие без ущерба для себя.

«Многие компании уже сейчас пересматри­вают свои процессы и процедуры, чтобы обеспечить соблюдение GDPR».

Найджел Паркер (Nigel Parker) – партнер, Allen & Overy

При обработке персональных данных в целях прямого маркетинга субъект данных имеет право заявить возражение против обра­ботки, и субъекта необходимо недвусмыслен­но поставить в известность о наличии такого права.

Другой темой, вызвавшей жаркие споры, стали требования к согласию родителей на оказание детям услуг информационного об­щества. Достигнутый компромисс (страны-у­частницы смогут снизить возраст ребенка, когда согласие родителей не требуется, с 16 до 13 лет) приведет к возникновению разнобоя в применимых требованиях, и компании, рабо­тающие сразу в нескольких странах Евросо­юза, скорее всего выберут самый высокий из стандартов. Однако в преамбуле сказано, что согласие родителей не требуется для оказания превентивных или консультационных услуг, предлагаемых непосредственно ребенку.

ИНФОРМАЦИЯ О ДОБРОСОВЕСТНОЙ ОБРАБОТКЕ ДАННЫХ

Контролеры данных по-прежнему обя­заны предоставлять субъектам данных прозрачную информацию об обработке, причем в момент сбора персональных дан­ных. Существующие формы уведомлений об обработке должны быть пересмотрены, поскольку требования GDPR гораздо более детализированы по сравнению с действу­ющей Директивой. Например, по новым правилам уведомление должно содержать более обширную информацию, а также ста­вить субъекта данных в известность о его правах (таких как право на отзыв согласия) и о сроке хранения данных.

Контролерам потребуется привести свои формы уведомлений в соответствие с новы­ми требованиями и представить информа­цию понятно и в легкодоступном формате.

УВЕДОМЛЕНИЯ ОБ УТЕЧКАХ ДАННЫХ

Контролеры данных обязаны сообщать DPA о большинстве утечек данных, без неоправданной задержки – по возможно­сти в течение 72 часов после обнаружения утечки. При несоблюдении этого срока тре­буется предоставить мотивированное обо­снование. В некоторых случаях контролер данных также обязан без неоправданной задержки уведомить об утечке субъектов данных.

Руководящие положения WP29 по уве­домлениям об утечках данных ожидаются во второй половине 2017 года.

На первый взгляд, эта норма обремени­тельна и для контролеров данных, и для DPA. Однако в ряде отраслей организа­ции уже обязаны сообщать об утечках дан­ных. Например, британское Управление по защите данных (UK ICO, Information Commissioner’s Office, прим. ред.) уже тре­бует организации уведомлять обо всех «се­рьезных» утечках.

Регламент также содержит пороговый уро­вень: уведомлять DPA не обязательно, если вероятность возникновения риска для прав и свобод граждан в результате утечки дан­ных невелика. Пороговым уровнем для уве­домления субъектов данных является нали­чие «высокого риска» для их прав и свобод. Хотя пороговые уровни смягчат нагрузку на организации, связанную с введением этого обязательства, все компании будут в любом случае обязаны внедрить внутренние про­цедуры реагирования на инциденты с пер­сональными данными.

ШТРАФЫ

GDPR устанавливает многоуровневые санк­ции за нарушения законодательства о за­щите данных, позволяющие DPA назначать штрафы за некоторые нарушения в размере, достигающем наибольшей из двух цифр: 4% годового мирового оборота организации или 20 миллионов евро (в частности, за нарушение требований к международной передаче дан­ных или основных принципов обработки, та­ких как условия для получения согласия). Дру­гие нарушения могут повлечь за собой штраф в размере 2% годового мирового оборота или 10 миллионов евро (опять же берется большая из двух цифр). Текст включает список обстоя­тельств, принимаемых во внимание при опре­делении размера штрафа (таких как характер, тяжесть и продолжительность нарушения).

Процентный штраф налагается на «пред­приятия» («undertakings»), причем в преам­булу в последний момент было добавлено разъяснение, что термин «предприятие» трак­туется в соответствии с положениями статей 101 и 102 Договора о функционировании Ев­ропейского Союза.

Высокие штрафы уже безусловно привлека­ют внимание высшего руководства организа­ций.

ПРИНЦИП ЕДИНОГО ОКНА

Механизм единого окна является одним из ключевых элементов GDPR. Ожидалось, что он позволит компаниям, действующим сразу в нескольких странах ЕС, подпадать под надзор только одного «ведущего DPA». Однако на деле механизм оказался гораздо сложнее, так как проводит различие между внутринациональ­ной и трансграничной обработкой данных.

Для ситуаций, подпадающих под принцип единого окна, вводятся сложные процедуры по координации и сотрудничеству между на­циональными DPA.

Чтобы позволить частным лицам обращать­ся за решением дел локально, GDPR содержит подробную систему сотрудничества между так называемым ведущим DPA и другими «компе­тентными DPA», которая позволяет адекватно разрешать местные и срочные дела. WP29 опу­бликовала разъяснения о том, как определить ведущее DPA. Как принцип одного окна будет работать на практике и не приведет ли он к практике поиска удобной юрисдикции, пока неизвестно.

ОТМЕНА УВЕДОМЛЕНИЙ DPA

Приятным изменением для контролеров данных стала отмена обязанности уведомлять DPA об обработке данных или получать разре­шения DPA. Цель этого изменения — снизить административную и финансовую нагрузку на контролеров данных, хотя в результате DPA некоторых стран будут вынуждены искать но­вые источники финансирования.

Вместо обязанности уведомлять DPA кон­тролеры данных теперь несут ответственность за операции по обработке персональных дан­ных. Например, контролеры данных обязаны внедрить эффективные процедуры и меха­низмы для более рискованных операций с данными (например, с использованием новых технологий) и провести оценку последствий обработки для защиты персональных данных («data protection impact assessment», PIA), что­бы определить вероятность и тяжесть рисков, особенно при крупномасштабной обработке. Усилия, которые для этого потребуются, и по­тенциальные штрафы за несоблюдение скорее всего перевесят преимущества, предоставлен­ные уменьшением административной нагруз­ки в связи с отменой уведомлений. Кроме того, вводится новое требование заблаговременно обращаться в DPA за консультацией в случае, если PIA выявит наличие высоких рисков для безопасности данных при их обработке в от­сутствие мер по снижению этих рисков. Если по мнению DPA обработка приведет к нару­шению GDPR, DPA может предоставить пись­менные рекомендации, а при необходимости и использовать правоприменительные пол­номочия. Требование о консультации с DPA создает неопределенность для контролеров, так как они должны будут оценить результаты PIA и принять решение, обращаться ли за кон­сультацией.

НОВЫЙ ЕВРОПЕЙСКИЙ СОВЕТ ПО ЗАЩИТЕ ДАННЫХ

Независимый Европейский совет по защи­те данных (European Data Protection Board, EDPB) заменит WP29. Он будет состоять из руководителя Европейской службы по защите данных и старших представителей националь­ных DPA Евросоюза. Роль Совета заключается в публикации заключений и руководящих по­ложений, обеспечении единообразного при­менения GDPR и отчетности перед Евроко­миссией. Также Совет играет ключевую роль в механизме единого окна.

ОБЯЗАТЕЛЬНЫЕ КОРПОРАТИВНЫЕ ПРАВИЛА (BCR)

GDPR прямо признает обязательные корпо­ративные правила («binding corporate rules», BCR) для контролеров и обработчиков как способ для законной трансграничной пере­дачи данных в рамках одной корпоративной группы. BCR должны быть юридически обя­зательны для всех членов группы, осущест­вляющих совместную экономическую дея­тельность, распространяться на всех членов группы и применяться каждым членом груп­пы, включая их сотрудников. BCR должны непосредственно наделять субъектов данных юридически закрепленными правами. Поло­жения GDPR включают четкий перечень тре­бований к BCR.

Многие считают BCR «золотым стандар­том», и в дальнейшем они, вероятно, приобре­тут все большую популярность для передачи данных в рамках корпоративной группы.

МЕЖДУНАРОДНАЯ ПЕРЕДАЧА ДАННЫХ

Тех, кто надеялся на полный пересмотр этой области, ждет разочарование, поскольку GDPR содержит практически тот же самый ин­струментарий. Трансграничная передача дан­ных будет облегчена благодаря отмене требо­ваний по предварительному одобрению DPA операций по передаче данных, основанных на признанных механизмах по обеспечению адекватной защиты прав субъектов данных, например, типовых контрактах, одобренных Еврокомиссией или DPA. С другой стороны, GDPR отменит такое удобное основание для передачи данных как самостоятельная оценка организацией, ныне используемое как отдель­ное основание для передачи данных только в нескольких странах Евросоюза и которым, очевидно, пожертвовали в целях унификации.

Также дополнены положения о согласи субъекта: экспортеры данных, полагающиеся на согласие для передачи данных за пределы ЕС, должны будут внимательно следить за тем, чтобы субъекты данных были надлежащим образом поставлены в известность о рисках такой передачи.

В качестве новой дерогации добавлена кон­цепция законных интересов, но сфера ее при­менения невелика. Она может использоваться там, где международная передача является разовой, касается только нескольких субъек­тов данных, необходима для осуществления веских законных интересов (не перекрытых правами субъекта данных) и только если кон­тролер оценил все обстоятельства и применил необходимые меры защиты. Также при этом требуется проинформировать DPA. Трудно представить себе практическую пользу этой дерогации. К облегчению многих, полный за­прет на передачу данных иностранным госор­ганам без разрешения DPA не дожил до окон­чательной редакции.

ПРАВА СУБЪЕКТОВ ДАННЫХ

Одной из главных целей Европейской Ко­миссии при разработке новой рамочной системы защиты данных было повышениe защиты прав граждан. Этот мотив четко про­слеживается в усилении прав субъектов дан­ных. В частности, это право лица требовать информации об обработке его персональных данных, право доступа к данным при опреде­ленных обстоятельствах и право исправления неправильных данных. Также имеется право ограничить определенную обработку и право возражать против обработки своих персональ­ных данных для целей прямого маркетинга.

Граждане могут также потребовать возврата своих персональных данных в структуриро­ванном виде и распространенном формате для облегчения их передачи другому контролеру (так называемая портативность данных). В не­давней инструкции WP29 разъяснено, как сле­дует толковать и реализовать это право. Ин­струкция указывает, что контролеры данных, передающие обработку данных на аутсорсинг или осуществляющие ее совместно с други­ми контролерами, должны четко оговорить в контрактах обязанности каждой из сторон при реагировании на запросы лиц о переносе их данных, а также обязаны внедрить соответ­ствующие процедуры.

Огромную известность, особенно после решения Европейского суда по иску Google против Испании, стало так называемое право на забвение, или право на удаление данных. В определенных ситуациях, таких как отзыв согласия, при отсутствии других законных ос­нований для обработки, субъект данных мо­жет потребовать от контролера немедленно удалить свои персональные данные. Также предусмотрена обязанность принять разум­ные меры к информированию третьих сторон о том, что субъект данных потребовал удале­ния любых ссылок на такие данные и любых их копий. На практике это будет часто трудно­осуществимо.

Отметим, что контролер данных обязан реа­гировать на такие информационные запросы в течение месяца, с возможностью продлить этот срок для особо сложных запросов. Кон­тролерам данных потребуется внедрить четкие процедуры для выполнения этих обязательств.

Информация должна предоставляться бес­платно, за исключением случаев, когда запрос является «явно необоснованным или чрезмер­ным».

Что дальше?

Регламент 2016/679 вступил в силу 25 мая 2016 года и будет введен в действие 25 мая 2018 года. С этого момента текущая Директива 95/46/EC потеряет силу. Сей­час, когда компании начали процесс пере­хода к новым требованиям, страны Евро­союза оценивают влияние регламента на национальное законодательство о защите данных.

«Уровень риска, связанный с GDPR, поставил вопросы защиты данных на повестку советов директоров».

Джейн Финлесон-Браун (Jane Finlayson-Brown) – партнер, Allen & Overy

Хотя GDPR будет непосредственно при­меняться в странах-участницах Евросою­за, национальные законы потребуется мо­дифицировать для урегулирования таких аспектов, как позиция DPA, отраслевые положения, переходные нормы, или для принятия дополнительных положений в ситуациях, предусмотренных GDPR.

Первые национальные законопроекты уже опубликованы, например, в Герма­нии, Нидерландах и Польше.

МНОГИЕ КОМПАНИИ СЕЙЧАС ЗАДАЮТСЯ СЛЕДУЮЩИМИ ВОПРОСАМИ:

Какие новые обязанности по GDPR примени­мы к их организации?

Каковы различия между существующими требованиями и новыми стандартами?

Какие изменения нужно осуществить для выполнения требований GDPR, в какой срок, в каком порядке и с какими затратами?

Восемь шагов по подготовке

1. Подготовьтесь к утечкам данных

Внедрите четкие политики и отработанные процедуры для обеспечения того, чтобы вы могли быстро отреагировать на любую утечку данных и при необходимости своевременно оповестить о ней.

2. Создайте систему отчетности

Если требуется назначить инспектора по защите данных, сделайте это. Разработайте четкие документы, определяющие политику организации в отношении обработки персо­нальных данных и демонстрирующие соот­ветствие требуемым стандартам. Создайте культуру мониторинга, пересмотра и оценки операций по обработке данных, направлен­ную на минимизацию объема обработки и хранения данных и оснащенную защитными механизмами. Проверьте, что ваш персонал обучен и понимает свои обязанности. Также потребуется провести оценку рисков конфи­денциальности с возможностью аудита, чтобы выявить все рискованные операции по обра­ботке данных и принять меры к устранению конкретных проблем.

3. Внедрите защиту данных на конструкционном уровне

Конфиденциальность частной жизни должна быть заложена в любой новый про­дукт или операцию по обработке с самого начала. О ней необходимо думать сразу, чтобы обеспечить структурированную оцен­ку и систематическую проверку. Внедрение конфиденциальности на конструкционном уровне поможет и продемонстрировать вы­полнение требований закона, и предоставит компании конкурентные преимущества.

4. Проанализируйте, на каких правовых основах вы используете персональные данные

Пересмотрите ваши операции по обработ­ке данных. Полагаетесь ли вы, например, на согласие субъектов данных или же можете продемонстрировать наличие законного интереса в обработке данных, не перекры­ваемого интересами субъекта данных? Ком­пании часто считают, что для обработки дан­ных им необходимо согласие субъектов. Но согласие — лишь один из множества способов обеспечить законность обработки, причем не всегда лучший (поскольку согласие мож­но отозвать). Если вы полагаетесь на согла­сие субъектов данных, проверьте, адекватны ли ваши документы и формы на получение согласия и является ли согласие доброволь­ным, конкретным и информированным. Бремя доказательств ляжет на вас.

5. Проверьте ваши уведомления о защите данных и политики конфиденциальности

GDPR требует, чтобы предоставляемая ин­формация была изложена четко и простым языком. Ваши политики должны быть про­зрачными и легкодоступными.

6. Помните о правах субъектов данных

Будьте готовы к тому, что субъекты дан­ных станут пользоваться своими правами по GDPR, в том числе правом портативности данных и правом на забвение. Если вы хра­ните персональные данные, проверьте за­конность оснований для их хранения – имен­но на вас ложится бремя доказательства того, что ваши законные основания перекрывают интересы субъектов данных. Также будьте готовы к встрече с гражданами, имеющими крайне завышенное представление о своих правах.

7. Если вы поставщик, проверьте, не появились ли у вас новые обязанности обработчика

GDPR налагает на обработчиков прямые обязанности, которые вы должны понять и учесть в своих политиках, процедурах и кон­трактах. Также вероятно, что ваши заказчи­ки потребуют от ваших услуг соответствия ужесточенным требованиям нового Регла­мента. Проверьте, адекватна ли ваша дого­ворная документация, а для действующих контрактов – кто несет расходы по внесению необходимых изменений в оказание услуг в связи с изменением законодательства. Если услуги по обработке данных вам оказывает третья сторона, очень важно определить и документально закрепить обязанности сто­рон.

8. Трансграничная передача данных

При любой международной передаче дан­ных, в том числе в рамках корпоративной группы, важно иметь законные основания для передачи персональных данных в юрис­дикции, не обеспечивающие адекватный уровень защиты данных. Эта проблема не нова, но теперь, когда вам грозит штраф в размере 4% годового мирового оборота или 20 миллионов евро, последствия несоблю­дения требований закона могут быть очень серьезными. Возможно, вам имеет смысл подумать о разработке обязательных корпо­ративных правил для облегчения передачи данных внутри группы.

Примечания:

В контексте GDRP под защитой данных подразумевается защита персональных данных граждан. Далее в статье при исполь­зовании «защита данных» мы будем под­разумевать защиту персональных данных (прим. ред.)

Европейское законодательство по защите персональных данных определяет двух основных субъектов – «контролеров» и «обработчиков»:

«Контролер» означает физическое или юридическое лицо, официальный ор­ган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; в случае, когда цели или средства обработки определяются на­циональным законодательством или зако­нами, или нормами Сообщества, контролер или особые критерии его назначения могут устанавливаться национальным законом или законом Сообщества.

«Обработчик» означает физическое или юридическое лицо, официальный орган, агентство или иной орган, который обраба­тывает персональные данные по поруче­нию контролера. (прим. ред.)

Москва. 25 мая. INTERFAX.RU — Общий регламент ЕС о защите данных (General Data Protection Regulation, GDPR), регулирующий распространение и использование личных данных европейцев, вступает в силу 25 мая, говорится в сообщении, распространенном на официальном сайте, посвященном принятому закону.

В соответствии с нормами регламента, теперь пользователи из ЕС имеют право знать, как именно используются персональные данные, которые они предоставляют о себе в интернете.

Новые правила являются экстерриториальными и распространяются на операторов, обрабатывающих персональные данные европейцев как в 28 странах — членах ЕС, так и за пределами союза. В случае использования данных пользователей в нарушение регламента предусмотрен штраф вплоть до 20 млн евро.

В тексте документа отмечается, что «изменения необходимы для более серьезной и последовательной защиты персональных данных в рамках Евросоюза», что имеет значение как для рядового потребителя, так и для обеспечения конкурентоспособности и прозрачности на внутреннем рынке ЕС.

Общий регламент был принят Европарламентом и Советом ЕС 27 апреля 2016 года и вступил в силу только сейчас. Ранее защита персональных данных регулировалась директивой 95/46/ЕС, а также национальными нормами стран — членов ЕС. Таким образом, регулирование этой сферы отличалось в каждом из государств Евросоюза.

Западные СМИ отмечают, что такие компании, как Facebook и Microsoft использовали существовавший пробел в европейском законодательстве и размещали свои штаб-квартиры в тех странах, которые обеспечивали защиту персональных данных пользователей в ограниченном объеме. Вступление в силу GDPR делает это невозможным.

Изменения в европейском законодательстве получили как позитивную, так и негативную реакцию со стороны общественности, бизнеса и политиков. По сообщению немецкой радиостанции Deutsche Welle, канцлер Германии Ангела Меркель считает некоторые нормы регламента слишком жесткими. По мнению канцлера, закон не должен привести к нарушению обращения с личными данными.

«Работа с большим объемом данных, так называемый Big Data Management, является важным экономическим фактором и играет центральную роль в развитии страны» — приводит радиостанция слова Меркель.

«Граждане ЕС получат определенный контроль над своими данными. Это главное положение норм защиты данных, которое должно быть очень позитивно оценено», — заявил в интервью радиостанции эксперт в области цифровых технологий Ларс Егер.

Между тем, BBC передает, что ряд американских сайтов оказались временно недоступными для пользователей из ЕС из-за вступления в силу нового регламента. Так, это коснулось сайтов изданий Chicago Tribune, New York Daily News, Los Angeles Times. О том, когда сайты станут вновь доступными для европейских пользователей, пока неизвестно.

В марте 2018 года вокруг Facebook разгорелся скандал, когда стало известно, что компания Cambridge Analytica через свое приложение в соцсети собирала данные пользователей. Предполагается, что компания могла получить данные в общей сложности 87 млн пользователей соцсети, 2,7 млн из которых были из Евросоюза.