С 25 мая этого года в Евросоюзе вводится в действие новый закон - Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR) (Постановление (Европейский союз) 2016/679).
При помощи данного закона в ЕС усиливают и унифицируют защиту персональных данных всех лиц в Европейском союзе (ЕС). Постановление также направлено на экспорт данных из ЕС.
GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными и на упрощение нормативной базы для международных экономических отношений путём унификации регулирования в рамках ЕС. GDPR с момента вступления в силу заменит собой Data Protection Directive от 1995 года. Постановление было принято 27 апреля 2016. Вступает в силу 25 мая 2018 после двухлетнего переходного периода и, в отличие от директивы, не требует от правительств стран-участниц ЕС никаких изменений в локальных законодательствах и, таким образом, является непосредственно обязательным к исполнению. За невыполнение закона накладывается штраф до 20 000 000 EUR или до 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше. В законе расширено понятие персональных данных, введены понятия «трансграничной передачи данных», «псевдоанонимизации», установлено «право на забвение», введена роль офицера безопасности.
Область действия
Это правило применяется, если агрегатор данных (организация, собирающая данные из жителей ЕС) или процессор (организация, которая обрабатывает данные от имени агрегатора данных, например, поставщиков облачных услуг ), или субъект данных (лицо) находится в ЕС , Данное положение также применяется к организациям, основанным за пределами ЕС, если они собирают или обрабатывают личные данные лиц, находящихся в ЕС.
По данным Европейской комиссии , «личные данные - это любая информация, относящаяся к человеку, независимо от того, связана ли она с его личной, профессиональной или общественной жизнью. Это может быть любое имя, домашний адрес, фотография, адрес электронной почты, банковские реквизиты, сообщения на сайтах социальных сетей , медицинскую информацию или IP-адрес компьютера ».
Постановление не претендует на применение к обработке персональных данных для деятельности национальной безопасности или правоохранительной деятельности ЕС, однако отраслевые группы, заинтересованные в возникновении потенциального конфликта законов, поставили под сомнение вопрос о том, можно ли ссылаться на статью 48 GDPR, чтобы попытаться помешать агрегатору данных подчиняться законам третьих стран в соответствии с правовым порядком со стороны правоохранительных органов этой страны , судебные органы или органы национальной безопасности раскрывать таким органам персональные данные гражданина ЕС, независимо от того, находятся ли данные в ЕС или вне его. Статья 48 гласит, что любое решение суда или трибунала и любое решение административного органа третьей страны, требующее от агрегатора или обработчика передачи или раскрытия персональных данных, не могут быть признаны или подлежат исполнению любым способом, если только на основании международного соглашения, например договор о взаимной правовой помощи, действующий между запрашивающей третьей (не ЕС) страной и ЕС или государством-членом.В пакет реформ по защите данных также включена отдельная директива по защите данных для сектора полиции и уголовного правосудия, которая содержит правила обмена персональными данными на национальном, европейском и международном уровнях.
Единый набор правил
Единый набор правил будет применяться ко всем странам-членам ЕС. Каждое государство-член создаст независимый надзорный орган (SA) для рассмотрения и расследования жалоб, санкций за административные правонарушения и т. Д. SA в каждом государстве-члене будет сотрудничать с другими SA, оказывая взаимную помощь и организуя совместные операции. Если в бизнесе есть несколько учреждений в ЕС, у него будет один SA как «ведущий орган», основанный на местоположении его «основного учреждения», где происходят основные виды обработки. Ведущий орган будет выступать в качестве « универсального магазина » для контроля всей обрабатывающей деятельности этого бизнеса во всех странах ЕС (статьи 46-55 ВВП). Европейский совет по защите данных (EDPB) будет координировать SA. EDPB заменит рабочую группу по защите данных статьи 29 .
Существуют исключения для данных, обрабатываемых в контексте занятости или в национальной безопасности, которые по-прежнему могут регулироваться отдельными страновыми правилами (статьи 2 (2) (а) и 82 ВВП).
Ответственность и ответственность
Требования уведомления остаются и расширяются. Они должны включать время хранения персональных данных, а также предоставлять контактную информацию для диспетчера данных и сотрудника по защите данных.
Автоматизированное индивидуальное принятие решений, в том числе профилирование (статья 22), является спорным, аналогично Директиве по защите данных (статья 15).Граждане имеют право задавать вопросы и принимать важные решения, которые затрагивают их, которые были сделаны исключительно на основе алгоритма . Многие средства массовой информации прокомментировали введение « права на объяснение » алгоритмических решений, но ученые-юристы с тех пор утверждали, что существование такого права является крайне неясным без судебных тестов и в лучшем случае ограничено.
Чтобы продемонстрировать соответствие требованиям GDPR, агрегатор данных должен реализовать меры, которые по умолчанию соблюдают принципы защиты данных по дизайну и защите данных. Конфиденциальность по умолчанию и по умолчанию (статья 25) требуют, чтобы меры защиты данных были разработаны для разработки бизнес-процессов для продуктов и услуг. К таким мерам относятся как псевдонимные персональные данные, так и контролеры, как можно скорее (Recital 78).
Ответственность и ответственность агрегатора данных несет ответственность за выполнение эффективных мер и возможность продемонстрировать соответствие процессам обработки, даже если обработка выполняется процессором данных от имени контроллера (Recital 74).
Оценка воздействия на защиту данных (статья 35) должна проводиться, когда конкретные риски возникают в отношении прав и свобод субъектов данных. Требуется оценка риска и смягчение его последствий, и для высоких рисков требуется предварительное одобрение национальных органов по защите данных (ДПВ). Сотрудники по защите данных (статьи 37-39) необходимы для обеспечения соблюдения правил в организациях.
Они должны быть назначены:
- для всех государственных органов, за исключением судов, действующих в их судебном порядке
- если основные действия контроллера или процессора:
- которые в силу своего характера, своей сферы действия и / или их целей требуют регулярного и систематического мониторинга данных в широких масштабах
- обработка в широких масштабах специальных категорий данных в соответствии со статьей 9 и персональные данные, касающиеся уголовных приговоров и преступлений, упомянутых в статье 10
Законная основа для обработки
Данные не могут быть обработаны, если не существует по крайней мере одной законной основы для этого:
- Субъект данных дал согласие на обработку персональных данных для одной или нескольких конкретных целей.
- Обработка необходима для выполнения контракта, стороной которого является субъект данных, или принятия мер по запросу субъекта данных до заключения договора.
- Обработка необходима для соблюдения юридического обязательства, которому подвержен контроллер.
- Обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица.
- Обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера.
- Обработка необходима для целей законных интересов, проводимых контролером или третьей стороной, если такие интересы не будут отменены интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, если субъект данных является ребенком.
Согласие
Если согласие используется в качестве законной основы для обработки, согласие должно быть явным для собранных данных и использовать данные целей (статья 7, определенная в статье 4). Согласие на детей должно быть предоставлено родителем или попечителем ребенка и поддающимся проверке (статья 8). Контроллеры данных должны иметь возможность доказать «согласие» (отказ), и согласие может быть отозвано.
Область согласия с ВНП имеет ряд последствий для предприятий, которые регистрируют звонки как практические. Типичные «звонки» записываются для целей обучения и безопасности »предупреждений больше не будет достаточно для получения согласия на запись вызовов. Кроме того, когда запись началась, если вызывающий абонент отозвал свое согласие, тогда агент, получающий вызов, должен как-то прекратить ранее начатую запись и гарантировать, что запись не будет сохранена.
Сотрудник по защите данных
Если обработка осуществляется государственным органом, за исключением судов или независимых судебных органов при действии в их судебном порядке, или если в частном секторе обработка осуществляется контролером, основной деятельностью которого является обработка, которая требует регулярных и систематический мониторинг субъектов данных, лицо, обладающее экспертными знаниями в области защиты данных и практики, должно помочь контролеру или процессору контролировать внутреннее соблюдение этого правила.
DPO похож на сотрудника по вопросам соблюдения, а также, как ожидается, будет обладать навыками управления ИТ-процессами, защитой данных (включая работу с кибератаками ) и другими важными проблемами непрерывности бизнеса в области хранения и обработки личных и конфиденциальных данных. Необходимый набор навыков простирается за пределы понимания юридического соответствия законам и правилам защиты данных.
Назначение DPO в крупной организации будет проблемой для совета, а также для заинтересованного лица. Существует множество вопросов управления и человеческого фактора, которые должны решать организации и компании с учетом объема и характера назначения. Кроме того, у DPO должна быть группа поддержки, а также будет нести ответственность за продолжение профессионального развития независимо от организации, которая их использует, эффективно, как «мини-регулятор».
Более подробная информация о функции и роли сотрудника по защите данных была дана 13 декабря 2016 года (пересмотрено 5 апреля 2017 года) в руководящем документе.
Псевдонимация
GDPR относится к псевдонимации как к процессу, который требуется при хранении данных (в качестве альтернативы другому варианту полной анонимности данных ) для преобразования персональных данных таким образом, что полученные данные не могут быть отнесены к конкретным данным без использования дополнительной информации. Примером является шифрование , которое делает исходные данные непонятными и процесс не может быть отменен без доступа к правильному ключу дешифрования . GDPR требует, чтобы дополнительная информация (например, ключ дешифрования) хранилась отдельно от псевдонизированных данных.
Другим примером псевдонимации является токенизация , которая является не математическим подходом к защите данных в состоянии покоя, которые заменяют конфиденциальные данные нечувствительными заменителями, называемыми токенами. Знаки не имеют внешнего или эксплуатационного значения или значения.Токенизация не изменяет тип или длину данных, что означает, что она может обрабатываться унаследованными системами, такими как базы данных, которые могут быть чувствительны к длине и типу данных.
Это требует значительно меньшего количества вычислительных ресурсов для обработки и уменьшения объема памяти в базах данных, чем традиционно зашифрованные данные. Это достигается путем полного или частичного отображения конкретных данных для обработки и аналитики, в то время как конфиденциальная информация скрыта.
Псевдоомификация рекомендуется снизить риски для соответствующих субъектов данных, а также помочь контроллерам и процессорам выполнить свои обязательства по защите данных (Recital 28).
GDPR поощряет использование псевдонимации для «снижения рисков для субъектов данных» (Recital 28).
Нарушения данных
В соответствии с GDPR контроллер данных несет юридическое обязательство уведомлять надзорный орган без неоправданной задержки, если это нарушение вряд ли приведет к риску для прав и свобод физических лиц. Через 2 часа после уведомления о нарушении данных для составления отчета (статья 33) существует не более 72 часов.Лица должны быть уведомлены, если определяется неблагоприятное воздействие (статья 34). Кроме того, обработчик данных должен будет уведомить контроллер без неоправданной задержки, узнав о нарушении личных данных (статья 33).
Однако уведомление о субъектах данных не требуется, если контроллер данных выполнил соответствующие технические и организационные меры защиты, которые делают личные данные непонятными для любого лица, которое не имеет к нему доступа, например шифрования (статья 34).
Санкции
Могут быть введены следующие санкции:
- предупреждение в письменной форме в случаях первого и непреднамеренного несоответствия
- регулярные периодические проверки защиты данных
- штраф в размере до 20 млн. евро или до 4% от годового мирового оборота предыдущего финансового года в случае предприятия, в зависимости от того, что больше, если имело место нарушение следующих положений (статья 83, параграф 5 и 6 )
- обязанности контролера и процессора в соответствии со статьями 8, 11, 25-39 и 42 и 43
- обязательства органа по сертификации в соответствии со статьями 42 и 43
- обязательства органа контроля в соответствии со статьей 41 (4)
- штраф в размере до 20 млн. евро или до 4% от годового общего оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, что больше, если имело место нарушение следующих положений: (статья 83, пункт 4 )
- основные принципы обработки, включая условия для согласия, в соответствии со статьями 5, 6, 7 и 9
- права субъектов данных в соответствии со статьями 12-22
- передача персональных данных получателю в третьей стране или международной организации в соответствии со статьями 44-49
- любые обязательства в соответствии с законодательством государств-членов, принятые в соответствии с главой IX
- несоблюдение порядка или временного или окончательного ограничения на обработку или приостановление потоков данных контролирующим органом в соответствии со статьей 58 (2) или неспособность обеспечить доступ в нарушение Статьи 58 (1)
Право доступа
Право доступа (статья 15) является правом субъекта данных. Он предоставляет гражданам право доступа к своим личным данным и информации о том, как обрабатываются эти персональные данные. Контроллер данных должен предоставить по запросу обзор категорий данных, которые обрабатываются (статья 15 (1) (b)), а также копия фактических данных (статья 15 (3)). Кроме того, диспетчер данных должен информировать субъект данных о деталях обработки, таких как цели обработки (статья 15 (1) (а)), с которыми данные передаются (статья 15 (1) (с) ), и как он приобрел данные (статья 15 (1) (g)).
Право на стирание
Право быть забытым заменено более ограниченным правом стирания в версии ВВП, принятой Европейским парламентом в марте 2014 года. В статье 17 предусматривается, что субъект данных имеет право требовать стирания персональных данных, связанных с ними по любому из нескольких оснований, включая несоблюдение статьи 6 (1) (законности), которая включает в себя случай (е), если законные интересы контролера переопределены интересами или основными правами и свободами субъекта данных, который требует защиты персональных данных
Переносимость данных
Человек должен иметь возможность передавать персональные данные из одной электронной системы обработки в другую и не допускать этого с помощью контроллера данных. Данные, которые были в достаточной степени анонимными, исключены, но данные, которые были только идентифицированы, но по-прежнему можно связать с соответствующим лицом, например, путем предоставления соответствующего идентификатора, не являются. Оба данных, «предоставленных» субъектом данных и «наблюдаемыми» данными, например, о поведении, включены. Кроме того, данные должны быть предоставлены контроллером в структурированном и обычно используемом стандартном электронном формате. Право на переносимость данных обеспечивается статьей 20 ВВП. Правовые эксперты видят в окончательной версии этой меры создание «нового права», которое «выходит за рамки переносимости данных между двумя контроллерами, как это предусмотрено в [Статья 20]».
Защита данных по дизайну и по умолчанию
Защита данных по дизайну и по умолчанию (статья 25) требует защиты данных для разработки бизнес-процессов для продуктов и услуг. Поэтому настройки конфиденциальности должны быть установлены на высоком уровне по умолчанию, а контроллеры должны принять технические и процедурные меры, чтобы убедиться, что обработка на протяжении всего жизненного цикла обработки соответствует правилу. Контролеры должны также внедрять механизмы для обеспечения того, чтобы персональные данные не обрабатывались, если это не было необходимо для каждой конкретной цели.
В докладе Агентства по сетевой безопасности и информации Европейского союза содержится подробное описание того, что необходимо сделать для обеспечения конфиденциальности и защиты данных по умолчанию. Он указывает, что операции шифрования и дешифрования должны выполняться локально, а не удаленной службой, поскольку оба ключа и данные должны оставаться в силе владельца данных, если необходимо обеспечить конфиденциальность. В отчете указывается, что аутсорсинг хранения данных на удаленных облаках является практичным и относительно безопасным, если ключи данных дешифрования содержат только владелец данных, а не облачная служба.
Отчеты об обработке деятельности
Должны поддерживаться протоколы обработки, которые включают цели обработки, связанные с ними категории и предусмотренные временные рамки. Записи должны быть предоставлены надзорному органу по запросу (статья 30).
Ограничения
Постановление не распространяется на следующие случаи:
- Законный перехват, национальная безопасность, армия, полиция, правосудие
- Статистический и научный анализ
- Умершие лица подлежат национальному законодательству
- Существует специальный закон о взаимоотношениях между работодателем и работником
- Обработка персональных данных физическим лицом в ходе чисто личной или домашней деятельности
