GDPR: требования, как подготовится
GDPR: требования, как подготовится
«1990-е гг. стали свидетелями настоящего взрыва интернет-технологий. Сегодня Большой Брат невозможен, зато настоящей проблемой стали «маленькие братья» — сплетники, мелкие мошенники, желтая пресса и даже корпорации, которые собирают в сети данные, пытаясь определить наши личные вкусы и предпочтения.»
К. Митио — Физика будущего.
Европейский союз в связи с глубокой интеграцией интернета в жизнь обычных людей всерьез взялся за защиту персональных данных в сети. Европарламент принял решение усовершенствовать свою нормативную базу и принял новый документ взамен Директивы 95/46/ЕС о защите персональных данных. General Data Protection Regulation усиливают защиту личной информации граждан и устанавливают ответственность для тех, кто допустил утечку информации.
С вступлением в силу GDPR персональные данные пользователей к своей ценности прибавят еще и ответственность, их необходимо правильно собирать, хранить, использовать, удалять и переносить по просьбе субъекта данных (человек, которому принадлежат персональные данные — далее «субъект данных»). В случае нарушения правил GDPR предприятием, к нему будут применены финансовые санкции.
В данной статье мы исследуем GDPR по следующим критериям:
- Основные положения GDPR;
- Права по защите персональных данных для граждан
- Что делать компаниям в Украине для подготовки к GDPR?
-
Основные положения GDPR
General Data Protection Regulation (далее — GDPR или Правила) приняты 27 апреля 2016 года Парламентом Европейского союза согласно Регламенту № 2016/679 «О защите физических лиц в отношении обработки личных данных и о свободном движении таких данных, а также об отмене Директивы 95/46/ЕС». Правила вступают в силу с 25 мая 2018 года и становятся обязательными для всех, кто собирает персональные данные резидентов ЕС.
В каких случаях не резиденты ЕС, в том числе украинские предприятия должны соблюдать GDPR:
Правила содержат порядок определения на кого они распространяются. Доступность сайта на территории ЕС не говорит об обязанности подчинятся Правилам.
Предприятие должно соблюдать GDPR в таких случаях:
— использование языка или валюты, которая обычно используется в одном или более государств-членов ЕС;
— возможность заказывать товары и услуги на языке государств-членов ЕС.
Но продажа товаров и услуг гражданам ЕС — это не единственная деятельность, подпадающая под Правила. Мониторинг поведения резидентов ЕС тоже подпадает в зону действия новых Правил. Такой процесс обработки может заключаться в анализе и прогнозировании личных предпочтений человека. Примером такого мониринга является функция аккаунта Google Activity controls, где собираются данные о геолокации, история активности в интернете, информация об устройствах, запись голоса и аудио.
Вводятся два новых понятия «контролер данных» и «процессор данных».
Контролер данных — это предприятие, которое собирает и обрабатывает персональные данные резидентов ЕС. Процессор данных — это подрядчик контролера, который осуществляет действия с персональными данными по договору с ним. На контролера данных возлагается основная ответственность по законной обработке персональных данных, для процессора предусмотрены отдельные правила работы с данными. Свою деятельность контролер и процессор должны вести только при наличии договора между ними.
Создается новый орган по защите персональных данных.
Согласно GDPR создается новый общеевропейский орган по защите персональных данных — Европейский совет по защите данных (European Data Protection Board). Одновременно в каждой стране Евросоюза действует орган по защите персональных данных, который будет следить за соблюдением Правил, и в случае чего будет принимать решение об ответственности виновных.
Обязанность уведомлять о нарушениях
Контролер обязан в течении 72 часов с момента обнаружения нарушения относительно персональных данных (утечка, копирование, огласка) уведомить государственные органы и субъектов данных об инциденте. В случае нарушения данного требования предусмотрен штраф до 4% от годового оборота предприятия.
Data protection officer и представитель в ЕС.
Правила GDPR обязывают предприятия, которые осуществляют обработку персональных данных систематически и в крупных масштабах, ввести в штат ответственного за защиту персональных данных. В GDPR не установлено критериев «крупного масштаба» сбора персональных данных.
Компания должна опубликовать информацию о назначении такого сотрудника на своем сайте и уведомить соответствующий орган в своем регионе.
Также, если компания, которая расположена за пределами ЕС, осуществляет обработку персональных данных в крупном масштабе и собирает специальные категории персональных данных, то такой компании необходимо назначить своего представителя по защите персональных данных в ЕС. К специальным категориям персональных данных относят: данные о здоровье, религиозных убеждениях, половой ориентации, политических убеждениях и т.д.
Этим представителем может быть резидент ЕС, на плечи которого ложиться обязанность представлять предприятие перед контролирующим органом, отвечать на запросы граждан, представлять интересы контролера в своем регионе.
Безопасность обработки персональных данных
Контролер обязан осуществлять технические и организационные меры для обеспечения сохранности персональных данных, а также в случае необходимости продемонстрировать их по первому требованию субъекту или контролирующему органу.
В зависимости от риска, контролер должен предпринять следующие меры:
— Псевдонимизация — хранение данных, которые можно идентифицировать с конкретным человеком отдельно от данных, которые к нему относятся. Например: имя человека хранится отдельно от адреса электронной почты;
— Шифрование личных данных;
— Возможность обеспечения конфиденциальности, целостности, доступности и устойчивости системы обработки, хранения.
Контролер и процессор должны гарантировать обработку персональных данных своими сотрудниками только способами предусмотренными инструкцией предприятия. Для этого необходимо создать инструкции по работе с персональными данными пользователей, должным образом проинструктировать персонал, работающий с личной информацией и заключить с такими работниками Договора о неразглашении.
Ответственность.
Любой человек, которому причинен материальный или нематериальный ущерб,
в результате нарушения Правил, имеет право на получение компенсации от контроллера или процессора.
Согласно GDPR штрафы за нарушение правил обработки персональных данных должны быть соразмерны причиненному ущербу, но не более чем 20 000 000 евро или 4% от годового оборота.
В случае причинения материального или нематериального ущерба спор рассматривается в суде согласно местному законодательству истца.
За нарушение порядка обработки данных накладывается административный штраф компетентным органом в данном регионе.
В нормах касательно ответственности нет разграничения на компании находящиеся на территории Евросоюза и за его границей, штрафы для всех одинаковые.
-
Права граждан, чьи данные собираются.
GDPR содержит в себе множество прав для граждан по защите информации в сети. Новые правила включают, как уже существующие права, так и новые, например: возможность перенести данные другому контролеру. Ниже предлагаем подбор основных прав и свобод для пользователей с краткими пояснениями.
Принцип законности. В статье 7 Правил установлено, что если персональные данные обрабатываются на основе согласия субъекта данных на такую обработку, то контролер должен иметь возможность продемонстрировать такое согласие.
То есть система сбора данных должна быть настроена таким образом, чтобы пользователь сначала согласился с Политикой конфиденциальности, которая содержит описание категорий данных и цель обработки, а уже после этого мог оставить персональные данные.
Согласие пользователя на обработку данных должно быть проявлено активным действием, собирать данные по умолчанию запрещается. Текст Политики конфиденциальности должен быть изложен в простой форме и информировать о том, кто собирает данные, какие данные собираются, на какой срок и т.д.
Принцип прозрачности. Граждане имеют право в любой момент запрашивать информацию о том, какие данные собраны, кому персональные данные раскрываются, период обработки персональных данных.
Контролер данных обязан дать исчерпывающий ответ на поставленные вопросы в разумный срок. В случае не предоставления контролером ответа пользователю может приниматься решение об ответственности.
Право на перенос данных. Физическое лицо имеет право потребовать от контролера персональных данных передать их копию другому контролеру. Это право создано для экономии времени и удобства пользователя. Вместо того чтоб заново вносить персональные данные в новое приложение их можно скопировать из базы данных другого контролера.
По указанию пользователя контролер обязан предоставить копию персональных данных другому контролеру в разумный срок.
Право на удаление данных. Субъекту персональных данных гарантируется возможность в любой момент отозвать свое согласие на их обработку. Такая возможность должна быть прописана в политике конфиденциальности контролера и в случае получения запроса от человека об удалении данных такие должны быть уничтожены, о чем контролер должен проинформировать заявителя.
Усиление защиты данных детей в сети. В GDPR особое внимание уделено защите персональных данных детей, поскольку в силу своего возраста они не осознают рисков и последствий обработки таких данных. Контролер данных должен прилагать разумные усилия для проверки возраста клиента. Согласие на обработку персональных данных ребенка должно даваться его родителями или законными представителями.
Право на апелляцию. Интересно, что если контролер принимает какое-либо решение на основе автоматической обработки персональных данных, то физическому лицу гарантируется право на обжалование такого решения.
Примером автоматической обработки данных является китайская система Alipay, которая устанавливает условные «баллы» от 350 до 950 для каждого пользователя, что, по сути, является кредитным рейтингом. Система оценивает не только платежную дисциплину пользователя, но и то, что он покупает, какое у него образование и средний кредитный рейтинг его друзей. Основываясь на этих данных, Alipay предоставляет владельцам высокого рейтинга льготные условия для кредитования, аренды квартиры или, например, право получить в упрощенном порядке визу в Люксембург. Юзерам с низким рейтингом может быть отказано в некоторых услугах, таких как покупка VIP билетов на поезд или же бронирование номера в хорошей гостинице.
-
Что делать компаниям в Украине для подготовки к GDPR?
- Внедрение защиты данных в начале разработки.
При разработке нового ПО необходимо внедрять стандарты GDPR в архитектуру проекта. С 25 мая 2018 года новые стандарты защиты персональных данных будут едины для всех, кто ориентирован на европейский рынок. Значит, если заказчик ПО планирует предоставлять услуги на территории ЕС, то стандарты GDPR будут включены в техническое задание проекта по умолчанию. Если готовый продукт будет не соответствовать новым Правилам, его просто не примут.
- Адаптация действующих компаний к GDPR.
Украинские компании, которые уже работать в поле Европейского Союза (предоставление услуг, продажа товаров, разработка ПО, пользователи которого потенциально могут быть гражданами Союза), должны поменять подход к обработке персональных данных.
Необходимо провести анализ работы с персональными данными:
— какие данные собираются (возможно, следует их минимизировать);
— порядок получения согласия на обработку;
— порядок хранения;
— порядок использования;
— взаимодействие с субъектами данных и государственными органами;
— внесение изменений в данные;
— перенос данных;
— порядок удаления и т.д.
Все вышеперечисленное должно отвечать стандартам GDPR.
- Адаптация юридических документов к GDPR.
Необходимо пересмотреть Политику конфиденциальности (Privacy Policy). Также стоит пересмотреть правила пользования сайта, приложения, сервиса(Terms of use). Эти юридические документы должны быть согласованы между собой и с GDPR.
- Демонстрация соответствия GDPR.
Компаниям стоит заранее разработать и внедрить внутренние правила обработки персональных данных.
Для сотрудников, что работают с массивом данных, это могут быть инструкции, в которых четко прописаны правила работы с персональными данными, порядок передачи информации третьим лицам и так далее.
Непосредственно на этапе разработки необходимо учитывать требования GDPR. С этой целью надо будет провести комплексное обучение программистов, дизайнеров, всех тех, кто трудится для выпуска готового продукта. Не лишним будет подготовить внутренние документы, включающие в себя принципы разработки программного обеспечения, согласно GDPR.
С сотрудниками следует подписать Договора о неразглашении или включать соответствующий раздел в контракты.
На данный момент процедуры сертификации соответствия GDPR нет, но она предусмотрена самими Правилами, поэтому через некоторое время получение такого сертификата будет обычным делом для повышения лояльности потребителей к продукту.
- Разработать проекты шаблонов документов.
Согласно правилам пользователи имеют право обращаться к контролеру с разными вопросами и просьбами, а контролер обязан отвечать на них. Для того чтобы не придумывать форму ответа для заявителя на ходу, можно заранее подготовить шаблоны. Это упростит задачу для исполнителей, сэкономит время и стандартизирует работу для такого рода задач.
Какие понадобятся стандартные документы:
— шаблон ответа физическому лицу о хранящихся персональных данных по нему;
— шаблон ответа лицу на запрос о переводе персональных данных;
— шаблон уведомления об удалении персональных данных пользователя из базы данных контролера и т.д.
Выводы
С 25 мая 2018 года стартует глобальная реформа по обработке персональных данных в европейском сегменте интернета. Основа этой реформы — ряд строгих требований для компаний собирающих, либо использующих персональную информацию европейцев. Такие компании подпадают по действие Правил независимо от их местонахождения. Штрафы за нарушения GDPR могут достигать 20 млн. евро.
Украинские IT компании уже сейчас должны внедрять принципы GDPR, адаптация к новым стандартам обеспечит защиту компании от штрафов, а также приобретение дополнительного конкурентного преимущества.