Eng
Поиск
Написать нам
8 (495) 956-29-92
Заказать звонок
8 (495) 956-29-92
Сеть региональных офисов
Поиск
Eng
Яковлев и Партнеры

GDPR

7 июля 2018
:
Специализация: IT-проекты, Коммерческая тайна. Режим конфиденциальности

     25 мая 2018 вступил в силу Общий регламент о защите персональных данных (General Data Protection Regulation) во всех государствах-членах Евросоюза c целью гармонизировать законы о конфиденциальности персональных данных в Европе. Одной из главных особенностей данного Регламента можно обозначить территорию его действия. Потенциально – это весь мир. Но обо всём по порядку, для начала определимся - что подразумевается в GDPR под «персональными данными»? 



     Статья 4 (1) GDPR: «Персональные данные» (personal data) – означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор) или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица.


Такая широкая, но в то же время достаточно конкретизированная трактовка «персональных данных» позволяет внести ясность в понимание «нашумевшего» термина.


     Для физических лиц такое толкование гарантирует защиту любого вида информации, которую лицо предоставит обработчику, будь то непосредственно идентификационные данные (номер паспорта, свидетельства социального страхования, водительского удостоверения и т.д.), либо же иные данные раздельно или в совокупности, по которым можно идентифицировать лицо (логины, место работы/учёбы, пол, возраст, уровень заработной платы и т.д.) 


     Для обработчиков и контролёров, столь конкретное перечисление признаков персональных данных, упростит процесс категоризации обрабатываемых данных.
         

     Приведенный ниже схема-рисунок 1 наглядно демонстрирует в каких случаях будет применяться GDPR. 

GDRP_1.png

Рисунок 1

Статья 3 закрепляет территориальную сферу применения Регламента, которую можно разделить на две части в зависимости от того, где находится обработчик или контролёр:

1. Регламент применяется ко всем учреждаемым контролёрам или обработчикам в Евросоюзе, независимо от того, где осуществляется обработка (в Евросоюзе или нет).

2. Регламент применяется к обработке персональных данных субъектов персональных данных, находящихся в Евросоюзе, обработанных контролёром или обработчиком, которые не учреждены в Евросоюзе, когда деятельность по  обработке связана с:

    - предложением товаров или услуг, вне зависимости от того, требуется ли оплата от этого субъекта данных в Евросоюзе; или

    - мониторингом их действий, поскольку такие действия совершаются на территории Евросоюза.

При этом в статье 23 декларативной части Регламента приводится положение, которое разъясняет факт применимости GDPR к российским компаниям:

«…Чтобы определить, предлагает ли такой контролёр или обработчик товары или услуги субъектам данных, находящихся в Евросоюзе, следует установить очевидность того, что контролёр или обработчик намеревается предлагать услуги субъектам данных в одном или нескольких государствах-членах Евросоюза. Исходя из того, что сама по себе доступность веб-сайта контролёра, обработчика или посредника в Евросоюзе, адреса электронной почты или иных контактных данных, либо использование языка, обычно используемого в третьей стране, в которой учреждён контролёр, являются недостаточными для установления подобных намерений, признаки, среди которых использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Евросоюзе, могут делать очевидным то, что контролёр намерен предлагать товары или услуги субъектам данных в Евросоюзе».

     Таким образом, российская компания должна соблюдать требования Регламента, если она обрабатывает персональные данные лиц, находящихся на территории ЕС, при этом не имеет значение ни гражданство, ни резидентство субъекта данных. Однако, как видно из положений статьи 23 декларативной части Регламента, сам по себе факт обработки персональных данных лиц, физически находящихся на территории Евросоюза не приводит к тому, что GDPR должен автоматически применяться к российским обработчикам, если обработка носит «спонтанный» или «кратковременный» характер. К примеру – турист из России, находясь на территории одного из государств Евросоюза, заказывает товар в российском интернет-магазине.

     Следовательно, при намерении российской компании привести свою деятельность в соответствие с требованиями GDPR, анализу должны подлежать не факты осуществлении запроса с устройства с «европейскими» ip-адресами, а «намерения» компании предлагать товар или услуги лицам, находящимся на территории Евросоюза или мониторинг деятельности таких лиц.

Вывод:

     На данный момент пока не сформирована практика обращения уполномоченного контролирующего органа стран Евросоюза к обработчикам и контролёрам персональных данных из третьих стран, поэтому для таких лиц остаётся неясным вопрос применимости к ним Регламента. Если сравнить положения GDPR и ФЗ «О персональных данных» о принципах обработки ПД, то они вполне соотносимы, и для российских компаний  и индивидуальных предпринимателей глобально новых требований не предъявляется.

     Пункт 7 ст. 5 гласит: «Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом».

     С помощью краткой схемы на Рисунке 2 вы сможете определить применим ли Общий регламент о защите персональных данных к вашей деятельности. 

GDRP_2.png

Рисунок 2

Что делать в случае утечки данных, руководствуясь механизмами, указанными в GDPR?

     В Регламенте уделяется большое внимание утечке персональных данных – её предупреждению, последствиям и действиям, которые необходимо произвести контролёру и обработчику персональных данных в случае её возникновения. 

     Правило 72 часов: в соответствии с требованиями GDPR у обработчика/контролёра есть всего 72 часа, чтобы собрать всю необходимую информацию об утечке, и сообщить о ней соответствующий компетентный надзорный орган. Это правило подразумевает, что каждый обработчик и контролёр должен иметь внутренний документ, регламентирующий действия в случае утечки персональных данных.

     Что должно быть предпринято и определено в случае выявления утечки:

В статье 33 GDPR также указывается, какую информацию (минимум) должно включать уведомление:


    - характер нарушения;

    - наименование и реквизиты инспектора по защите персональных данных или иного лица, от которого может быть получена более подробная информация о природе и характере утечки;

    - вероятные последствия утечки персональных данных;

    - меры, предпринятые или предполагаемые к принятию контролёром в ответ на утечки персональных, в том числе, в необходимых случаях, меры по смягчению возможных неблагоприятных последствий таких утечек.

Также, по возможности, рекомендуется выявить следующую информацию: 

    - какое лицо получило доступ, к какой информации и когда;

    - пользователей, чьи данные были неправомерно получены третьим лицом;


Порядок взаимодействия обработчика, контролёра и компетентного надзорного органа представлен в табличном виде на Рисунке 3:

   GDRP_3.png

Рисунок 3

     Следует также отметить, что GDPR предполагает, что несколько контролёров может осуществлять деятельность совместно, и в статье 26 Регламента приведены основные требования к такому взаимодействию:

     «В том случае, если два или более контролёров совместно определяют цели и средства обработки ПД, они являются контролёрами, действующие совместно. Они должны открытым способом определить свои соответствующие функциональные обязанности, в частности в отношении соответствующих обязанностей по предоставлению информации. Такая договоренность, должна надлежащим образом отражать соответствующие роли и взаимоотношения контролёров, действующих совместно по отношению к субъектам данных. Существенные условия договоренности должны быть доступны для субъектов данных».

     Учитывая, что основное бремя взаимодействия с компетентным надзорным органом по большей степени ложится на контролёра обработки персональных данных, рассмотрим порядок уведомления контролёром компетентного надзорного органа в случае общего нарушения системы защиты информационной инфраструктуры обработчика / контролёра, который представлен на Рисунке 4: 

GDRP_4.png

Рисунок 4