- Inscrit
- 1 Juin 2014
- messages
- 284
- Score de réaction
- 263
- Points
- 63
GDPR - new rules for the processing of personal data in Europe for the international IT market
In May 2018, Europe will switch to the updated rules for processing personal data established by the General Data Protection Regulation (EU Regulation 2016/679 of April 27, 2016 or the GDPR - General Data Protection Regulation). This regulation, which has direct effect in all 28 EU countries, will replace the framework Directive on the protection of personal data 95/46 / EC of October 24, 1995. An important nuance of the GDPR is the extraterritorial principle of operation of the new European rules for the processing of personal data, so Russian companies should carefully consider them if the services are oriented to the European or international market.
The new regulation provides EU residents with tools for complete control over their personal data. Since May 2018, liability for violation of the rules for processing personal data has been tightened: according to GDPR, fines reach 20 million euros (about 1.5 billion rubles) or 4% of the company's annual global income. In this article, we analyzed the new rules for processing personal data in the EU and formulated recommendations for Russian companies on how to respond to GDPR.
Who is in the coverage area of the GDPR?
GDPR has extraterritorial effect and applies to all companies processing personal data of residents and citizens of the EU, regardless of the location of such a company.
Of course, branches, representative offices of Russian organizations in the EU will have to meet the new requirements.
We will consider another (non-obvious) category of subjects using the following example:
The organization is based in Russia. It sells online goods and services to users, including users from the EU. Services are provided to users in local languages in local currencies on the national top-level domains of the EU countries (for example, “.de”, “.nl” or “.co.uk”). However, this organization does not perform any operations or subcontractors directly in the EU.
Should such an organization comply with GDPR?
Yes.
After all, services and goods are obviously offered to residents of the EU, because:
- services / products adapted to local languages of EU residents;
- services / goods are paid in local currencies of the EU;
- services / goods are provided on the national top-level domains of the EU countries.
This means that organizations processing personal data Europeans in Russia, when selling online sales (for example, Russian Railways, airlines, hotels, hostels and others), are subject to the GDPR and are required to comply with the new European rules for the processing of personal data.
It is important to note that in addition to the processing of personal data in the GDPR, the concept of monitoring data subject behavior which drives another category of subjects under the action of GDPR. GDPR applies to organizations established outside the EU if they (as a controller or processor) control the behavior of EU residents (to the extent that such behavior occurs in the EU).
Monitoring may include:
- tracking of the EU resident on the Internet;
- the use of data processing methods to profile individuals, their behavior or their attitude to something (for example, to analyze or predict personal preferences).
The European legislator also separates the concepts of a data controller and a data processor. . The controller, acting as the master of the vessel, bears more legal responsibility than the processor, which acts as a seaman on the vessel. In fact, the controllers decide what happens to the personal data and are responsible for the processing, and the processors are some kind of “executors”.
For example, the cloud system that your employees use to perform tasks and projects, which also store personal customer data, will be the data processor, and you, accordingly, will be the controller.
What is meant by personal data in the GDPR?
Personal data is any information related to an identifiable or identifiable natural person (data subject) by which it can be directly or indirectly determined. Such information includes, but not limited to, name, location data, online identifier, or one or more factors specific to the physical, physiological, genetic, mental, economic, cultural, or social identity of this individual (paragraph 1 of article 4). The definition is broad and makes it clear enough that even IP addresses can also be personal data.
It is important to note that there are certain types of personal data that belong to the category of special or confidential personal data. This is information disclosing: racial or ethnic origin, political views, religious or philosophical beliefs, and union membership. In addition, this group includes genetic, biometric data used to identify an individual, data on health status, information relating to sexual life or sexual orientation (Article 9).
6 principles for processing GDPR data
The general approach of Europeans to the processing of personal data is formulated in the form of 6 basic principles:
1) Law, Justice and Transparency . Personal data must be processed legally, fairly and transparently. Any information on the goals, methods and scope of processing personal data should be presented as accessible and simple as possible.
2) Goal restriction . Data should be collected and used exclusively for the purposes stated by the company (online service).
3) Data minimization . You cannot collect personal data in a larger volume than is necessary for processing purposes.
4) Accuracy . Personal data that is inaccurate must be deleted or corrected (at the request of the user).
five) Storage limit . Personal data should be stored in a form that allows data subjects to be identified for a period no longer than is necessary for processing purposes.
6) Integrity and Confidentiality . When processing user data, companies are required to protect personal data from unauthorized or illegal processing, destruction and damage.
Key requirements
GDPR Violation Notification
Companies are required to notify regulatory authorities (and in some cases, data subjects) of any violations of personal data within 72 hours of the discovery of such a violation.
For example, recent news about a hacker attack on Uber is a prime example of a violation of this rule. Uber told the press that hackers gained access to the personal data of 57 million users and drivers after a whole year. If GDPR were operating now, it would be impossible to avoid a high fine of 4% of the annual turnover.
A list of national regulators in the field of personal data for all EU countries is given here . There is also a pan-European regulator - Working party 29 or the Article 29 Working Group. However, after the entry into force of the GDPR, the Article 29 Working Group will be replaced by a new body, the European Data Protection Board (EDPB).
The rights of the data subject (individual)
GDPR significantly expands the rights of citizens and residents of the EU to control their personal data. European users have the right to request confirmation of the fact of processing their data, the place and purpose of processing, the categories of personal data being processed, to which third parties personal data are disclosed, the period during which the data will be processed, as well as to specify the source of personal data received by the organization and require their correction. Moreover, the user has the right to demand the termination of the processing of his data.
The GDPR also provides for the right to oblivion (right to erasure, right to be forgotten), which gives Europeans the opportunity to delete their personal data upon request in order to avoid their dissemination or transfer to third parties.
This is not a new right; it is also in the current Directive. Court of Justice of the EU (CJEU - Court of Justice of the European Union) in a decision in the case of Google Spain in 2014, clarified that data subjects have the right to remove information about them from search results if it is not of public interest. However, the right to oblivion extends not only to search engines. Any company that processes data should delete someone’s personal data upon request, if this does not contradict the interests of society or other fundamental rights of Europeans.
For example, if you are a news service, then before deleting data, check and make sure that such deletion will not affect freedom of speech and the right to access information guaranteed by Europeans article 11 European Union Charter on Human Rights.
Right to data portability
The right to data portability is an innovation in the EU data processing rules introduced by the GDPR. This right lies in the fact that companies are required to provide free electronic copy of personal data of another company at the request of the personal data subject.
For example, a startup called “The Sun” wants to enter the market with a site for sharing social media, but the market already has its own giants with a large market share. The right to data portability will simplify the process for potential customers to transfer their data from one online service to another (without re-entering the same data on different sites).
Another example. The data subject uses the electronic book reading service “E-book”. At one point, the user decides to switch to the Read Online service. In this case, the right to data portability allows you to receive personal data from the “Electronic Book” (for example, preferences in the literature and others) and transfer it to another service.
Consent to processing
The GDPR sets high standards regarding the form for obtaining consent for data processing. The consent of the person to the processing of his personal data must be expressed in the form of approval or in the form of clear active user actions. Consent to the processing of personal data will be invalid if the user did not have a choice or it was not possible to withdraw his consent without prejudice to himself. If the user has consented to the processing of his personal data, the controller should be able to demonstrate this.
We do not recommend using the default consent fields with a check mark or other default consent methods. Consent also cannot be expressed in the form of silence or inaction of the user. Information on the procedure for withdrawing consent to the processing of personal data should be placed in such a way that the user can easily find it.
Special child protection
Children's personal data deserve special protection, because they are less aware of the risks, consequences, guarantees and their rights regarding the processing of personal data. Consent to the processing of the child’s data must be authorized by the parents (or legal representatives of the child). The age threshold for parental authorization is set separately by EU Member States (13 to 16 years old).
Appointment of a data protection officer
This requirement applies to companies that conduct regular and systematic large-scale observations, monitoring individuals (mentioned above); or that carry out large-scale processing of special personal data, such as medical records or criminal records.
In any case, any organization may voluntarily appoint a data protection officer to manage user data processing and to monitor compliance with GDPR requirements. In this case, the company should publish information about such an employee, as well as send it to the national regulator for the protection of personal data of the relevant EU country.
What to do?
If you enter the coverage area of the new European regulation on data protection or plan to expand and provide services and goods to EU countries, it is recommended that you conduct a comprehensive assessment of the methods and means of processing personal data used by the company and bring them into line with the new GDPR rules. You should also review the privacy policy and the provisions on the processing of personal data of user agreements (Terms of use) of their sites and online services aimed at European consumers and users. To comply with the GDPR requirements, it is necessary to develop internal data protection policies, train staff, carry out checks on data processing activities, keep records of processing processes, implement measures for the built-in confidentiality system, and designate an employee responsible for the processing of personal data (naturally, taking into account the nature and volumes of processed personal data).
Despite the fact that the new requirements for the processing of personal data are serious, they have positive aspects for non-European players: it is easier to adhere to a single set of rules for the protection and processing of data than to take into account the national nuances of the processing of personal data of each individual EU country, as it had to do before the introduction GDPR. Moreover, the reform aims to stimulate economic growth by cutting costs and bureaucracy for companies operating in the EU. Following one rule instead of 28 (the number of EU member states) will help small and developing companies enter new markets. According to the law, in some cases, obligations vary depending on the size of the business, the nature of the data being processed and other factors.
You should also think over in advance the mechanisms for responding to requests from European regulators and personal data subjects (users) that are possible within the framework of the GDPR (for example, to update data, delete it, stop processing or transfer to another company with the right to data portability).
Output
The GDPR is the most important legislative document, which significantly increases the level of personal data protection in the EU and beyond. It requires very careful study and compliance. The reform provides clarity and consistency of the rules that should be applied in the field of data protection. It also restores the confidence of the user-consumer, which allows businesses to maximize the opportunities in a single European digital market. The collection, analysis and transfer of personal data around the world has become of great economic importance. Personal data is, of course, the “currency" of the modern economy. And if you collect user data in any form, you must carefully monitor its safety in order to avoid leaks and possible manipulations by third parties.
Source
In May 2018, Europe will switch to the updated rules for processing personal data established by the General Data Protection Regulation (EU Regulation 2016/679 of April 27, 2016 or the GDPR - General Data Protection Regulation). This regulation, which has direct effect in all 28 EU countries, will replace the framework Directive on the protection of personal data 95/46 / EC of October 24, 1995. An important nuance of the GDPR is the extraterritorial principle of operation of the new European rules for the processing of personal data, so Russian companies should carefully consider them if the services are oriented to the European or international market.
The new regulation provides EU residents with tools for complete control over their personal data. Since May 2018, liability for violation of the rules for processing personal data has been tightened: according to GDPR, fines reach 20 million euros (about 1.5 billion rubles) or 4% of the company's annual global income. In this article, we analyzed the new rules for processing personal data in the EU and formulated recommendations for Russian companies on how to respond to GDPR.
Who is in the coverage area of the GDPR?
GDPR has extraterritorial effect and applies to all companies processing personal data of residents and citizens of the EU, regardless of the location of such a company.
Of course, branches, representative offices of Russian organizations in the EU will have to meet the new requirements.
We will consider another (non-obvious) category of subjects using the following example:
The organization is based in Russia. It sells online goods and services to users, including users from the EU. Services are provided to users in local languages in local currencies on the national top-level domains of the EU countries (for example, “.de”, “.nl” or “.co.uk”). However, this organization does not perform any operations or subcontractors directly in the EU.
Should such an organization comply with GDPR?
Yes.
After all, services and goods are obviously offered to residents of the EU, because:
- services / products adapted to local languages of EU residents;
- services / goods are paid in local currencies of the EU;
- services / goods are provided on the national top-level domains of the EU countries.
This means that organizations processing personal data Europeans in Russia, when selling online sales (for example, Russian Railways, airlines, hotels, hostels and others), are subject to the GDPR and are required to comply with the new European rules for the processing of personal data.
It is important to note that in addition to the processing of personal data in the GDPR, the concept of monitoring data subject behavior which drives another category of subjects under the action of GDPR. GDPR applies to organizations established outside the EU if they (as a controller or processor) control the behavior of EU residents (to the extent that such behavior occurs in the EU).
Monitoring may include:
- tracking of the EU resident on the Internet;
- the use of data processing methods to profile individuals, their behavior or their attitude to something (for example, to analyze or predict personal preferences).
The European legislator also separates the concepts of a data controller and a data processor. . The controller, acting as the master of the vessel, bears more legal responsibility than the processor, which acts as a seaman on the vessel. In fact, the controllers decide what happens to the personal data and are responsible for the processing, and the processors are some kind of “executors”.
For example, the cloud system that your employees use to perform tasks and projects, which also store personal customer data, will be the data processor, and you, accordingly, will be the controller.
What is meant by personal data in the GDPR?
Personal data is any information related to an identifiable or identifiable natural person (data subject) by which it can be directly or indirectly determined. Such information includes, but not limited to, name, location data, online identifier, or one or more factors specific to the physical, physiological, genetic, mental, economic, cultural, or social identity of this individual (paragraph 1 of article 4). The definition is broad and makes it clear enough that even IP addresses can also be personal data.
It is important to note that there are certain types of personal data that belong to the category of special or confidential personal data. This is information disclosing: racial or ethnic origin, political views, religious or philosophical beliefs, and union membership. In addition, this group includes genetic, biometric data used to identify an individual, data on health status, information relating to sexual life or sexual orientation (Article 9).
6 principles for processing GDPR data
The general approach of Europeans to the processing of personal data is formulated in the form of 6 basic principles:
1) Law, Justice and Transparency . Personal data must be processed legally, fairly and transparently. Any information on the goals, methods and scope of processing personal data should be presented as accessible and simple as possible.
2) Goal restriction . Data should be collected and used exclusively for the purposes stated by the company (online service).
3) Data minimization . You cannot collect personal data in a larger volume than is necessary for processing purposes.
4) Accuracy . Personal data that is inaccurate must be deleted or corrected (at the request of the user).
five) Storage limit . Personal data should be stored in a form that allows data subjects to be identified for a period no longer than is necessary for processing purposes.
6) Integrity and Confidentiality . When processing user data, companies are required to protect personal data from unauthorized or illegal processing, destruction and damage.
Key requirements
GDPR Violation Notification
Companies are required to notify regulatory authorities (and in some cases, data subjects) of any violations of personal data within 72 hours of the discovery of such a violation.
For example, recent news about a hacker attack on Uber is a prime example of a violation of this rule. Uber told the press that hackers gained access to the personal data of 57 million users and drivers after a whole year. If GDPR were operating now, it would be impossible to avoid a high fine of 4% of the annual turnover.
A list of national regulators in the field of personal data for all EU countries is given here . There is also a pan-European regulator - Working party 29 or the Article 29 Working Group. However, after the entry into force of the GDPR, the Article 29 Working Group will be replaced by a new body, the European Data Protection Board (EDPB).
The rights of the data subject (individual)
GDPR significantly expands the rights of citizens and residents of the EU to control their personal data. European users have the right to request confirmation of the fact of processing their data, the place and purpose of processing, the categories of personal data being processed, to which third parties personal data are disclosed, the period during which the data will be processed, as well as to specify the source of personal data received by the organization and require their correction. Moreover, the user has the right to demand the termination of the processing of his data.
The GDPR also provides for the right to oblivion (right to erasure, right to be forgotten), which gives Europeans the opportunity to delete their personal data upon request in order to avoid their dissemination or transfer to third parties.
This is not a new right; it is also in the current Directive. Court of Justice of the EU (CJEU - Court of Justice of the European Union) in a decision in the case of Google Spain in 2014, clarified that data subjects have the right to remove information about them from search results if it is not of public interest. However, the right to oblivion extends not only to search engines. Any company that processes data should delete someone’s personal data upon request, if this does not contradict the interests of society or other fundamental rights of Europeans.
For example, if you are a news service, then before deleting data, check and make sure that such deletion will not affect freedom of speech and the right to access information guaranteed by Europeans article 11 European Union Charter on Human Rights.
Right to data portability
The right to data portability is an innovation in the EU data processing rules introduced by the GDPR. This right lies in the fact that companies are required to provide free electronic copy of personal data of another company at the request of the personal data subject.
For example, a startup called “The Sun” wants to enter the market with a site for sharing social media, but the market already has its own giants with a large market share. The right to data portability will simplify the process for potential customers to transfer their data from one online service to another (without re-entering the same data on different sites).
Another example. The data subject uses the electronic book reading service “E-book”. At one point, the user decides to switch to the Read Online service. In this case, the right to data portability allows you to receive personal data from the “Electronic Book” (for example, preferences in the literature and others) and transfer it to another service.
Consent to processing
The GDPR sets high standards regarding the form for obtaining consent for data processing. The consent of the person to the processing of his personal data must be expressed in the form of approval or in the form of clear active user actions. Consent to the processing of personal data will be invalid if the user did not have a choice or it was not possible to withdraw his consent without prejudice to himself. If the user has consented to the processing of his personal data, the controller should be able to demonstrate this.
We do not recommend using the default consent fields with a check mark or other default consent methods. Consent also cannot be expressed in the form of silence or inaction of the user. Information on the procedure for withdrawing consent to the processing of personal data should be placed in such a way that the user can easily find it.
Special child protection
Children's personal data deserve special protection, because they are less aware of the risks, consequences, guarantees and their rights regarding the processing of personal data. Consent to the processing of the child’s data must be authorized by the parents (or legal representatives of the child). The age threshold for parental authorization is set separately by EU Member States (13 to 16 years old).
Appointment of a data protection officer
This requirement applies to companies that conduct regular and systematic large-scale observations, monitoring individuals (mentioned above); or that carry out large-scale processing of special personal data, such as medical records or criminal records.
In any case, any organization may voluntarily appoint a data protection officer to manage user data processing and to monitor compliance with GDPR requirements. In this case, the company should publish information about such an employee, as well as send it to the national regulator for the protection of personal data of the relevant EU country.
What to do?
If you enter the coverage area of the new European regulation on data protection or plan to expand and provide services and goods to EU countries, it is recommended that you conduct a comprehensive assessment of the methods and means of processing personal data used by the company and bring them into line with the new GDPR rules. You should also review the privacy policy and the provisions on the processing of personal data of user agreements (Terms of use) of their sites and online services aimed at European consumers and users. To comply with the GDPR requirements, it is necessary to develop internal data protection policies, train staff, carry out checks on data processing activities, keep records of processing processes, implement measures for the built-in confidentiality system, and designate an employee responsible for the processing of personal data (naturally, taking into account the nature and volumes of processed personal data).
Despite the fact that the new requirements for the processing of personal data are serious, they have positive aspects for non-European players: it is easier to adhere to a single set of rules for the protection and processing of data than to take into account the national nuances of the processing of personal data of each individual EU country, as it had to do before the introduction GDPR. Moreover, the reform aims to stimulate economic growth by cutting costs and bureaucracy for companies operating in the EU. Following one rule instead of 28 (the number of EU member states) will help small and developing companies enter new markets. According to the law, in some cases, obligations vary depending on the size of the business, the nature of the data being processed and other factors.
You should also think over in advance the mechanisms for responding to requests from European regulators and personal data subjects (users) that are possible within the framework of the GDPR (for example, to update data, delete it, stop processing or transfer to another company with the right to data portability).
Output
The GDPR is the most important legislative document, which significantly increases the level of personal data protection in the EU and beyond. It requires very careful study and compliance. The reform provides clarity and consistency of the rules that should be applied in the field of data protection. It also restores the confidence of the user-consumer, which allows businesses to maximize the opportunities in a single European digital market. The collection, analysis and transfer of personal data around the world has become of great economic importance. Personal data is, of course, the “currency" of the modern economy. And if you collect user data in any form, you must carefully monitor its safety in order to avoid leaks and possible manipulations by third parties.
Source
Original message
GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка
В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.
Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.
Кто в зоне действия GDPR?
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.
Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:
Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.
Должна ли такая организация соблюдать GDPR?
Да.
Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что:
— услуги/товары адаптированы на местные языки жителей ЕС;
— услуги/товары оплачиваются в местных валютах ЕС;
— услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.
Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.
Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).
Мониторинг может включать:
— отслеживание резидента ЕС в интернете;
— использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).
Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.
Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.
Что подразумевается под персональными данным в GDPR?
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.
Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).
6 принципов обработки данных по GDPR
Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:
1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Ключевые требования
Уведомление о случаях нарушения GDPR
Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.
Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.
Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).
Права субъекта данных (физического лица)
GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.
В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.
Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.
Право на переносимость данных
Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.
Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).
Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.
Согласие на обработку
GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.
Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.
Особая защита детей
Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).
Назначение ответственного за защиту персональных данных
Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.
В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.
Что делать?
Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).
Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.
Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).
Вывод
GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.
Источник
В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.
Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.
Кто в зоне действия GDPR?
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.
Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:
Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.
Должна ли такая организация соблюдать GDPR?
Да.
Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что:
— услуги/товары адаптированы на местные языки жителей ЕС;
— услуги/товары оплачиваются в местных валютах ЕС;
— услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.
Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.
Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).
Мониторинг может включать:
— отслеживание резидента ЕС в интернете;
— использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).
Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.
Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.
Что подразумевается под персональными данным в GDPR?
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.
Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).
6 принципов обработки данных по GDPR
Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:
1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Ключевые требования
Уведомление о случаях нарушения GDPR
Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.
Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.
Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).
Права субъекта данных (физического лица)
GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.
В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.
Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.
Право на переносимость данных
Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.
Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).
Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.
Согласие на обработку
GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.
Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.
Особая защита детей
Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).
Назначение ответственного за защиту персональных данных
Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.
В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.
Что делать?
Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).
Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.
Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).
Вывод
GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.
Источник
Dernière modification par un modérateur: