GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка
В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (далее — Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR (General Data Protection Regulation)). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.
Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточится ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.
Кто в зоне действия GDPR?
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.
Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:
Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.
Должна ли такая организация соблюдать GDPR?
Да. Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что:
- услуги/товары адаптированы на местные языки жителей ЕС;
- услуги/товары оплачитваются в местных валютах ЕС;
- услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.
Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.
Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС). Мониторинг может включать:
- отслеживание резидента ЕС в интернете;
- использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).
Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.
Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером
Что подразумевается под персональными данным в GDPR?
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.
Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).
6 принципов обработки данных по GDPR
Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:
- Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
- Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
- Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
- Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
- Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
- Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Ключевые требования
Уведомление о случаях нарушения GDPR
Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.
Например, недавняя новость о хакерской атаке на Убер (Uber) — яркий пример нарушения данного правила. Убер сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.
Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).
Права субъекта данных (физического лица)
GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.
В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.
Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.
Право на переносимость данных
Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.
Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).
Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.
Согласие на обработку
GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.
Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.
Особая защита детей
Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).
Назначение ответственного за защиту персональных данных
Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.
В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.
Что делать?
Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).
Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.
Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).
Заключение
GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Персональные данные – это, безусловно, “валюта” современной экономики. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение..
Это рассылка о самых актуальных новостях и тенденциях цифрового права. Раз в две недели мы отправляем дайджест самых важных событий нашей сферы с аналитикой наших экспертов
На кого распространяются положения общего регламента по защите данных gdpr ответ сдо
Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.
Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.
Принципы GDPR:
- Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.
- Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.
- Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.
- Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.
- Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.
- Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.
2. Кого коснется
GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.
3. Почему мне это нужно знать
Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.
4. Что грозит тем, кто не выполняет требования
За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.
Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.
5. Что нужно сделать прямо сейчас
Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.
Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.
6. Где почитать больше по теме
Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.
Общие правила защиты данных (GDPR)
Общий регламент по защите данных ( Европейском союзе (ЕС) . Поскольку Регламент применяется независимо от того, где находятся веб-сайты, его должны соблюдать все сайты, которые привлекают посетителей из Европы, даже если они специально не продают товары или услуги резидентам ЕС.
GDPR требует, чтобы посетители из ЕС раскрывали ряд данных. Сайт также должен принимать меры для обеспечения таких прав потребителей в ЕС, как своевременное уведомление в случае нарушения личных данных. Постановление, принятое в апреле 2016 года, вступило в силу в мае 2018 года после двухлетнего переходного периода.
Требования GDPR к обслуживанию клиентов
Согласно правилам, посетители должны быть уведомлены о данных, которые сайт собирает от них, и дать явное согласие на сбор такой информации, нажав кнопку «Согласен» или другое действие.1 (Это требование в значительной степени объясняет повсеместное распространение информации о том, что сайты собирают «куки» — небольшие файлы, содержащие личную информацию, такую как настройки и предпочтения сайта).
Сайты также должны своевременно уведомлять посетителей, если какие-либо их личные данные, хранящиеся на сайте, были нарушены.2 Эти требования ЕС могут быть более строгими, чем те, которые требуются в юрисдикции, в которой расположен объект.
Также требуется оценка безопасности данных сайта инеобходимость найма специального сотрудника по защите данных (DPO) или возможность выполнения этой функции существующим сотрудником.3
Информация о том, как связаться с DPO и другими соответствующими сотрудниками, должна быть доступна, чтобы посетители могли реализовать свои права на данные в ЕС, которые также включают возможность удаления своего присутствия на сайте, среди других мер.4 (Естественно, сайт должен также добавить персонал и другие ресурсы, чтобы иметь возможность выполнять такие запросы.)
Другие правила и полномочия Общего регламента по защите данных (GDPR)
В качестве дополнительной защиты потребителей GDPR также призывает к тому, чтобы любая личная информация (PII), которую собирают сайты, была либо анонимной (сделанной анонимной, как следует из этого термина), либо псевдонимизацией (с заменой личности потребителя псевдонимом).5 Псевдонимизация данных позволяет фирмам проводить более обширный анализ данных, например, оценивать средние коэффициенты задолженности своих клиентов в конкретном регионе — расчет, который в противном случае мог бы выходить за рамки первоначальных целей данных, собранных для оценки кредитоспособности ссуды.
GDPR влияет не только на данные, полученные от клиентов.В первую очередь, возможно, регулирование применяется к учетным записям сотрудников.6
Споры, связанные с GDPR
GDPR вызвал критику в некоторых кругах. Требование назначать DPO или просто оценить необходимость в них, как говорят некоторые, налагает чрезмерное административное бремя на некоторые компании. Некоторые также жалуются, что инструкции слишком расплывчаты в отношении того, как лучше обращаться с данными сотрудников.
Кроме того, данные не могут быть переданы в другую страну за пределами ЕС, если принимающая компания не гарантирует такую же степень защиты, как того требует ЕС. Это привело к жалобам на дорогостоящие нарушения деловой практики.
Существует еще одна обеспокоенность по поводу того, что затраты, связанные с GDPR, со временем будут увеличиваться, отчасти из-за растущей необходимости информировать клиентов и сотрудников об угрозах и средствах защиты данных. Существует также скептицизм в отношении того, насколько реально агентства по защите данных в ЕС и за его пределами могут согласовать свое соблюдение и интерпретацию правил и, таким образом, обеспечить равные условия игры по мере того, как GDPR вступит в более полную силу.
На кого распространяются положения общего регламента по защите данных gdpr ответ сдо
ОБЩИЙ РЕГЛАМЕНТ ПО ЗАЩИТЕ ДАННЫХ (GDPR)
Что такое Общий регламент по защите данных (GDPR)
Общий регламент по защите данных – постановление Европейского Союза (Регламент ЕС 2016/679), с помощью которого Европейский Парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе (ЕС). GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения компании. Постановление вступило в силу 25 мая 2018 года.
Как GDPR повлияет на вас?
Если вы обрабатываете персональные данные резидентов и граждан ЕС, GDPR будет применим к вам вне зависимости от того, находится ли ваша организация на территории ЕС или нет. Помимо укрепления и стандартизации конфиденциальности пользовательских данных во всех странах ЕС, потребуются новые или дополнительные обязательства для всех организаций, которые обрабатывают персональные данные граждан ЕС, независимо от того, где расположены сами организации.
Вы можете ознакомиться с полной версией Общего регламента по защите данных здесь .
Узнать что такое “Персональные данные” в контексте GDPR вы можете по ссылке .
Как tawk.to соответствует GDPR?
Мы очень ответственно относимся к защите ваших персональных данных и к конфиденциальности их обработки. Мы прилагаем все усилия, чтобы помочь нашим пользователям соответствовать нормам GDPR.
Меры, которые мы предприняли, чтобы tawk.to, а также все наши пользователи, соответствовали требованиям GDPR:
Обновление политики
Мы обновили нашу Политику конфиденциальности, Условия предоставления услуг и Политику использования cookie-файлов, чтобы полностью соответствовать требованиям GDPR и обеспечить прозрачность наших действий в отношении ваших данных и данных, которые вы собираете о ваших пользователях. В случае необходимости внесения каких-либо дополнительных изменений, мы обязательно сообщим вам об этом.
Мы имеем/прошли сертификацию Privacy Shield Frameworks. Это Программы по защите конфиденциальности (действующие между ЕС и США, а также Швейцарией и США), разработанные Министерством торговли США, в сотрудничестве с Европейской комиссией и Федеральной администрацией Швейцарии. Они предоставляют компаниям по обе стороны Атлантики механизм для обеспечения надлежащей защиты персональных данных при их передаче из ЕС и Швейцарии в США в рамках трансатлантической торговли.
Компания Tawk.to также зарегистрирована в Управлении комиссара по информации Великобритании (ICO).
Мы также можем обрабатывать персональные данные, которые наши клиенты предоставляют о физических лицах в ЕЭЗ, с помощью других механизмов соответствия, включая соглашения об обработке данных, основанные на стандартных договорных положениях ЕС. Вы можете запросить копию Стандартное соглашение tawk.to здесь.)
Инструменты, которые помогут вам соблюдать GDPR
Являясь обработчиком данных, мы выпустили инструменты и функции, которые дадут вам возможность отвечать требованиям по обработке данных ваших клиентов. Вы можете производить следующие действия:
– Удалять Контакты
– Экспортировать заявки и чаты пользователю
– Отключать запись IP посетителя в настройках параметров
– Размещать форму согласия на обработку персональных данных в виджете посетителя
Инструменты, которые помогут нам соблюдать GDPR:
– Автоматическое удаление учетной записи операторов
– Инструменты для экспорта данных
Соглашение об обработке данных с нашими Суб-обработчиками
Мы заключили Соглашение об обработке данных (DPA) со сторонними поставщиками услуг, чтобы обеспечить защиту ваших данных и данных ваших пользователей. Ознакомиться со списком суб-обработчиков можно здесь .
Безопасность данных
Мы очень ответственно относимся к безопасности данных. В рамках соблюдения GDPR мы продолжаем пересматривать и на постоянной основе укреплять меры безопасности наших систем и данных.