close-btn

Что нужно знать о GDPR в Украине: обзор для бизнеса

СЕРГЕЙ ШЕЛУХА

Сертифицированный эксперт по GDPR

О необходимости постепенного внедрения основ европейского законодательства в бизнес стратегии украинских предприятий, которые уже работают или планируют расширять свою деятельность в странах ЕС

GDPR Украина и мир

GDPR. Фото: knowliah.com

Известно, что безопасность персональных данных (ПД) уходит корнями в обеспечение основополагающих прав и свобод граждан развитых стран. С приходом информационных технологий защита личных данных стала еще более актуальной темой и бесспорным аспектом успешного ведения бизнеса.

В ритме повседневной жизни мы зачастую не задумываемся над обыденными ситуациями, в которых приватность уже гарантирована нам Хартией основных прав Европейского Союза. Именно это законодательство и взято за основу для реализации наших прав и свобод. Статьи 7 и 8 Хартии гарантируют каждому человеку право на уважение и охрану сведений личного характера, которые должны использоваться в соответствии с установленными правилами, «в определенных целях и на основании разрешения заинтересованного лица, либо на иных правомерных основаниях, предусмотренных законом». Исключения составляют лишь случаи, «предусмотренные законом и необходимые в интересах национальной безопасности, касающиеся предотвращения беспорядков или преступлений, охраны здоровья или нравственности, защиты прав и свобод других лиц».

Именно эти нормы были конкретизированы в General Data Protection Regulation (GDPR). Это Общий регламент по защите данных, который после двухлетнего переходного периода вступил в силу 25 мая 2018 года. В отличие от предыдущего законодательства (Директивы 95/46/ЕС) регламент не требует от стран-участниц ЕС изменений в локальных законодательствах и обязателен к исполнению.

GDPR Украина и мир

Ваш бизнес подпадает под действие GDPR, если:

  1. Обработка персональных данных осуществляется предприятием, находящимся в ЕС, независимо от того, где обрабатываются данные.
  2. Обработка персональных данных необходима предприятиям, находящимся вне ЕС, в связи с предложением товаров/услуг (платных или бесплатных) субъектам персональных данных на территории ЕС или же отслеживанием их поведения и предпочтений. Последнее можно трактовать как сбор и профилирование информации (персональных данных) для маркетинговых и рекламных услуг.

GDPR и Украина 

Постепенный процесс безопасной обработки персональных данных имеет необратимый характер и будет принят всеми государствами, имеющими экономические отношения с Европой.

Несмотря на ратификацию Верховной Радой Украины Конвенции о защите физических лиц в отношении автоматической обработки персональных данных (т.н. Конвенция 108) и Дополнительного протокола к Конвенции о надзорных органах и трансграничных потоках данных, Украина не была внесена в список стран, которые обеспечивают адекватный правовой режим обработки персональных данных, который бы полностью соответствовал европейскому законодательству. Необходимо признать, что на данном этапе в национальном законодательстве в полной мере не формализованы принципы защиты ПД и не определены все субъекты, необходимые для действенного контроля обработки персональных данных.

Но даже если адаптация национального законодательства о защите ПД не достигнет должного уровня, это не помешает вашему предприятию внедрить адекватные меры для свободной обработки персональных данных в соответствии с Регламентом.

Далее мы обсудим, как это сделать эффективно, основываясь на положениях Регламента, учитывая административные меры, применяемые надзорными органами и конечно лучшие практики/политики ведущих компаний.

Кто такой субъект персональных данных и какую информацию о нем нужно защищать?

Если в вашем понимании персональные данные — это какие-либо документальные идентификаторы вашей личности, то в контексте GDPR к персональным данным относят информацию, с помощью которой можно сразу идентифицировать субъекта ПД. Или информацию, которая делает возможной последующую идентификацию.

В первом случае такого человека называют «идентифицированным», а во втором — «идентифицируемым». Под идентифицируемым понимается лицо, которое может быть выделено из группы (прямо или косвенно) с использованием имени, какого-либо номера идентификации, данных о местоположении, онлайн-идентификатора или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица.

Вот почему под определение «персональные данные» подпадают не только привычные нам характеристики, но и IP-адрес, установленные пользователю cookie-идентификаторы, данные о геолокации пользователя и иные технические атрибуты. Это значит, что информация, полученная о вас из третьих источников, также становится персональной. Но действия регламента не могут распространяться на обработку данных, касающихся юридических лиц, включая имя и форму юридического лица, а также контактные данные юридического лица.

На основании Главы 3 Регламента ваша организация обязана обеспечить права субъектов персональных данных и в срок не более одного месяца предоставить необходимую информацию и соответствующие разъяснения о порядке обработки их ПД.


Принципы процессинга персональных данных

Регламентом определены обязанности и права субъектов, вовлеченных в процесс обработки персональной информации: контроллера, процессора, сотрудника по защите персональных данных и соответствующих надзорных органов. Их работа и взаимодействие не должны выходить за рамки следующих взаимосвязанных принципов процессинга ПД:

  • законность, справедливость и прозрачность обработки

Соответствие европейскому законодательству и публично доступной Политики (Privacy Policy) на сайте вашей организации. Ее внедрение не стоит путать с Политикой информационной безопасности. Это разные документы, которые должны взаимно дополнять друг-друга и соответствовать необходимым техническим мерам, внедренным на предприятии.

  • ограничение целей обработки

Процессинг ПД в организации должен осуществляется для достижения целей, определенных вашим предприятием.

  • минимизация данных

Обработка ПД должна производиться только в рамках коммерческой деятельности самой организации, поддержания непрерывности ее бизнес-процессов, с учетом возможных требований по защите интересов третьей стороны.

  • точность

Данный принцип должен гарантировать, что обрабатываемые ПД верны и соответствуют первично полученным от субъекта ПД.

  • ограничение на хранение

При достижении заявленных целей обработки, ПД должны быть удалены. Требование должно распространяться на все организации, включенные в цепь обработки.

  • целостность и конфиденциальность

Вы должны гарантировать безопасность обработки ПД, защищенность от несанкционированного доступа, случайного или намеренного удаления, утери, повреждения, с обязательным применением соответствующих технических и организационных мер.

Какие вопросы нужно задать себе перед внедрением GDPR?

Трудоемкий процесс адаптации вашего предприятия к Регламенту будет безусловно связан с рядом ограничений в части технических решений, политик и процедур. Правильно оценивая риски вашего предприятия, вам важно комплексно обсудить предварительные вопросы и быть готовым продемонстрировать вашим партнерам или надзорным органам соответствие Регламенту внедренных и запланированных организационных и технических мер:

  • Как вы будете информировать клиента (субъекта ПД) о том, какие данные обрабатываются?
  • Не собираете ли вы избыточные ПД, каковы сроки и основания для их удаления?
  • Какова стратегия хранения ПД в системах и причины удержания ПД с учетом защиты интересов третьих лиц?
  • Какие технические и организационные меры применяются для обеспечения безопасности обработки ПД?
  • Есть ли возможность применения вариантов псевдонимизации персональных данных?
  • Настроен ли порядок проверок в системе, процессе ввода, ограничении доступа и др.?
  • Участвуют ли третьи стороны в процессинге ПД, их способность адаптироваться к требованиям Регламента?
  • Как планируете предотвращать использование ПД в целях, отличных от изначально оговоренных?

Кто такие контроллеры и процессоры персональных данных?

Их обязанности и порядок взаимодействия

Кто же имеет законное право на обработку персональных данных? Первым в цепи обработки ПД является Контроллер. Это организация, которая имеет первый контакт с субъектами ПД. Именно Контроллер определяет цели, порядок и правила обработки ПД. В тех случаях, когда обработка должна осуществляться от имени Контроллера, к обработке ПД должны привлекаться только Процессоры, обеспечивающие достаточные гарантии для осуществления соответствующих технических и организационных мер. Процессор должен обрабатывать ПД только под надзором Контроллера, в объеме и во временных рамках, определенных Контроллером на основании договорных отношений и утвержденных политик и процедур. В свою очередь Процессор должен информировать Контроллера о любых предполагаемых изменениях и не имеет права привлекать других Процессоров в цепочку обработки ПД без предварительного специального или общего письменного разрешения Контроллера.

На каких основаниях можно обрабатывать данные клиентов?

Важнейшим аспектом соответствия Регламенту является соблюдение законных оснований для обработки ПД.

Наиболее оправданным вариантом для законной обработки ПД является согласие субъекта на обработку его персональных данных, полученное законным путем. Согласие не будет считаться законным, если оно принято Контроллером в результате бездействия субъекта ПД. Элементарным примером этого может быть ситуация, когда Контроллер в процедуре получения согласия заблаговременно предлагает «чек-боксы» с уже проставленными маркерами или если основной «чек-бокс», который важен субъекту ПД, активируется только в том случае, когда субъект предоставляет свое согласие на обработку своих ПД для иных целей — маркетинга или статистических исследований.

При оценке нового проекта важно еще на этапе планирования оценить риски, описать варианты получения согласия с учетом дальнейшей стратегии вашего предприятия, чтобы порядок получения согласия соответствовал требованиям Регламента.

Контроллер должен будет продемонстрировать, что субъект данных имеет свободный выбор и может отозвать или отказаться от своего согласия по какой-либо цели обработки без специального запроса Контроллеру. В противном случае субъект ПД будет иметь обоснованное право обжаловать нарушение своих прав в надзорном органе, тем более если субъект выявит, что персональные данные обрабатываются для иных, не заявленных изначально целей.

Более простой вариант законного основания для обработки персональных данных — подписание контракта с указанием соответствующих целей и времени обработки ПД. Ссылаясь на п.1 — (b) Ст. 6 – «Законность обработки ПД», значимым обстоятельством является то, что при получении запроса на оценку преддоговорных условий сторон, субъект предлагает в обработку, а контроллер принимает эти ПД для идентификации субъекта ПД, оценки его возможностей как возможного контрагента. Подписание такого контракта закрепит законность, объемы и длительность процессинга ПД. При этом очень важно предусмотреть порядок и сроки удаления ПД если же контракт не будет подписан.

Также непременно должны быть учтены и быть адекватными расширению ваших международных экономических связей следующие позиции: описание потоков данных (Data mapping — Data flows), контроль доступа в ПО и базы данных, необходимые меры для минимизации рисков (оценка воздействия на конфиденциальность, обучение, продолжительность обработки, коммуникации при нарушении безопасности ПД, необходимость псевдонимизации данных и др.).

Кто такой DPO (специалист по защите ПД)?
Аудитор, посредник или ментор?

В соответствии со Ст. 37 Регламента, назначение сотрудника по защите ПД является обязательным в таких случаях:

  • если бизнес процессы Контроллера/Процессора состоят из операций обработки, которые в силу своего характера, объема и/или своих целей требуют регулярного и систематического мониторинга субъектов данных в значительных масштабах
  • основная деятельность состоит в обработке специальных категорий данных

DPO может быть как штатным сотрудником предприятия, так и работать на основании контракта, при этом обеспечивая потребность ряда компаний в таком специалисте. Для соблюдения Регламента немаловажным фактором будет прямая коммуникация DPO с руководством организации, повышение его знаний, сертификация в сфере GDPR и отсутствие конфликта интересов с возможными другими функциями этого специалиста на предприятии или в группе компаний.

Важно отметить, что GDPR не указывает, какой именно комплекс действий должен приниматься для защиты данных, конкретные меры определяет само предприятие, принимая во внимание такие факторы, как сущность данных, которые собираются, уровень их конфиденциальности и риски, заключающиеся в обработке. Учитывая вышеизложенное, один из вариантов решения – это частичное их включение  в т.н. BCP — в план непрерывности деятельности предприятия.

Редакция PaySpaceMagazine готовит цикл материалов о GDPR. В следующих материалах мы оценим пошаговую обработку ПД внутри компании, ключевую роль DPO, оценим случаи утери ПД в проекции на деятельность «Контроллера/Процессора» предприятий IT-индустрии и возможность/необходимость передачи ПД в третьи страны. 

Проверить свои знания регламента поможет тест, разработанный редакцией совместно с сертифицированными экспертами.

Пройти тест по GDPR

Если вам нужны консультации по внедрению GDPR, заполните форму и мы свяжемся с вами.

ВАС ЗАИНТЕРЕСУЕТ — GDPR в деталях: как соответствовать требованиям и избежать штрафов

google news