Remkomplekty.ru

IT Новости из мира ПК
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Data protection officer

Информация о GDPR на русском языке

GDPR (General Data Protection Regulation)

  • Регламент (EU) 2016/679 (Русская версия, English version)
  • Директива (EU) 2016/680 (Русская версия, English version)

Основные цели GDPR

  • защита персональных данных
  • защита прав и свобод людей в защите их данных
  • ограничение перемещения персональных данных в рамках Евросоюза
  • далее

Основные термины

  • Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
  • Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
  • Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
  • DPO (Data Protection Officer) — сотрудник по защите персональных данных.

Права граждан

GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:

  • более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
  • право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
  • право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
  • право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.

Персональные данные

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.

То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

Примеры персональных данных:

  • имя, фамилия
  • номер паспорта или ИД удостоверения
  • дата и место рождения
  • место проживания, регистрация, прописка
  • е-мейл, телефон, или другая контактная информация
  • ИП-адрес и патаметры соединения
  • дата и время посещения ресурса, история и параметры посещений, включая название браузера.

А также особо охраняемые данные:

  • раса и национальность
  • политические взгляды
  • вероисповедание
  • сексуальная ориентация
  • биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
  • данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
  • генетические данные – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

Принципы обработки данных по GDPR

Сфера действия GDPR

Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

Соответствие требованиям GDPR

  • Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
  • Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
  • Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома. Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
  • Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
  • Ведение необходимой отчетности, согласно положениям GDPR.

Несоблюдение норм GDPR

Утечка персональных данных

Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.

Аутсорс Data Protection Officer

  • Ваша компания обязана назначить DPO (data protection officer) по ст. 37 Регламента GDPR, но на рынке труда нет специалистов с соответствующими компетенциями?
  • Вы обучили сотрудника по GDPR, но теперь он уходит в другую компанию на большую зарплату?
  • Вы боитесь, что придется общаться с надзорным органом, но никто в компании не хочет брать ответственность за GDPR?
  • Действуете вслепую из-за отсутствия опыта

Когда нужен DPO?

Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:

  1. регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видео-наблюдения, геолокации, трэкинга.
  2. работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.

DPO нужен, чтобы у всех процессов по защите персональных данных был единый хозяин (process owner), который координировал бы усилия многих департаментов и нес ответственность за это. Кроме того, DPO сможет поддерживать организацию в состоянии GDPR-compliant, так как:

  • вводятся новые процессы и проекты с персональными данными
  • изменяется структура организации в виде новых отделов и подразделений, филиалов и представительств, где нужно настраивать процесс защиты персональных данных заново,
  • новые необученные сотрудники, которые могут нарушить Регламент из неведения,
  • новые договоры на обработку данных (Data Processing Agreements) с заказчиками или подрядчиками.

Доверьте сертифицированным профессионалам обязанности DPO,

чтобы выполнить статью 37 GDPR и стать GDPR-compliant!

Заказать

Штатный DPO

Хорошо иметь компетентного DPO в штате, поскольку он:

  • хорошо знает процессы внутри организации,
  • легко доступен,
  • информация и знания остаются внутри организации.

Однако компетентных DPO очень мало. По некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO. Подготовленных специалистов катастрофически не хватает даже в Западной Европе, не говоря уже о странах СНГ.

Потому отечественные компании часто назначают на роль DPO кого-то из имеющихся сотрудников, увеличивая его рабочую нагрузку, а также инвестируя значительное время и средства на его обучение по GDPR, например, на нашем курсе Data Privacy Professional.

Читать еще:  Office 2020 шаблоны

При этом всегда есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.

Также обычная история, когда совместитель оставляет задачи по персональным данным «на потом», поскольку в приоритете у него остается основная работа.

Скажем, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.

Юрист же, назначенный инспектором по защите персональных данных, зачастую продолжает по инерции заниматься согласованием хозяйственных договоров, откладывая на потом технические меры, в которых не разбирается.

DPO на аутсорсе

В соответствии с Регламентом, функция DPO может быть отдана на аутсорс.
И зачастую это самое выгодное решение, поскольку вы получаете опытного и компетентного специалиста, способного быстро принимать решения по GDPR и нести за них ответственность.

Какие преимущества в итоге получит компания?

  • экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц)
  • гарантия правильности решений (избежание ошибок и неверных толкований Регламента)
  • избежание санкций со стороны надзорных органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента)
  • избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO
  • внешний DPO свободен от возможного конфликта интересов и объективен
  • каждая минута времени специалиста на аутсорсинге расходуется максимально эффективно на 20% задач, обеспечивающих 80% результатов
  • не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни

Преимущества нашего Outsource

Переложите личную и организационную ответственность за GDPR на компетентных профессионалов и специализированную компанию:

    1. Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, «экспертные знания законодательства и практики в сфере защиты персональных данных». А наши DPO обладают международными сертификатами CIPP/E (Certified Information Privacy Professional/ Europe) и CIPM (Certified Information Privacy Manager).
    2. Наша DPO-команда базируется в 3 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.
    3. Приобретая DPO у нас, вы получаете не одного узкого специалиста, а целую команду. Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.
    4. Поскольку внедрение GDPR неизбежно влечет оптимизацию некоторых бизнес-процессов компании, от DPO требуется редкий набор компетенций в области privacy, менеджмента, IT, которыми обладают наши специалисты. Например, у Сергея Воронкевича есть как сертификаты и опыт работы по GDPR, так и европейский MBA и опыт управления собственным бизнесом.
    5. Мы наработали большой опыт внедрения GDPR в компаниях различного уровня зрелости и сфер деятельности (банки, авиакомпании, производственные компании, интернет-магазины, соц. сети, разработчики мобильных приложений, ИТ-стартапы, фармацевтические компании, облачные сервисы), как в СНГ, так и странах ЕС.
    6. Наши DPO постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.
    7. Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.

И главное: наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR, и для которого это “еще одна головная боль”.

Everything you need to know about the GPDR Data Protection Officer (DPO)

Under certain conditions, the GDPR requires organizations to appoint a Data Protection Officer. In this article, we go over the profile and duties of this type of GDPR officer.

The purpose of the General Data Protection Regulation (GDPR) is to safeguard personal data on the Internet. To this end, the GDPR requires most organizations that handle people’s private information to appoint an employee charged with overseeing the organization’s GDPR compliance. The Data Protection Officer, or DPO, is an organization’s GDPR focal point and will have to possess expert knowledge of data protection law and practices. (If you need a primer on the GDPR itself and some of the key terms, check out our article “What is the GDPR?”)

Below we explain how the GDPR defines the position of Data Protection Officer, including the tasks and responsibilities that come with the post, the skills it requires, and what types of organizations are required to have one. Hiring a DPO may be necessary for your organization to avoid heavy penalties, up to 4 percent of global revenue or €20 million.

What does a GDPR Data Protection Officer do?

According to Article 38, which establishes the position of the DPO, “The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.” Article 38 goes on to state that other employees in the organization aren’t allowed to issue any instructions to the DPO regarding the performance of their tasks. So, not only does the DPO have wide-ranging responsibilities, but the position is shielded from potential interference from the organization. Finally, the DPO is bound by confidentiality in the performance of their tasks and will only report directly to the highest level of management at the organization.

Between Articles 38 and 39, the GDPR assigns six major tasks to the DPO:

  • To receive comments and questions from data subjects related to the processing of their personal data and the GDPR.
  • To inform an organization and its employees of their obligations under the GDPR and any other applicable EU member state data protection provisions.
  • To monitor an organization’s compliance with the GDPR and any other applicable EU member state data protection provisions, train staff on compliance, and perform audits.
  • To perform data protection impact assessments (Article 35).
  • To cooperate with the data protection supervisory authority.
  • To act as the focal point for the data protection supervisory authority on matters relating to the processing of personal data and other matters, where appropriate.

In practice, the scope of the GDPR Data Protection Officer’s job means this is not a position for a junior associate. A DPO must have the technical expertise to conduct GDPR assessments and a legal understanding of privacy laws in all jurisdictions in which their organization operates. They must be as at home advising executives on what data protection strategy to adopt as explaining the vagaries of the GDPR to entry level staff and customers. And given the DPOs independence and the rapid pace of technological developments, any prospective DPO must be a self-starter, willing to stay up to date with tech and GDPR news and work with minimal guidance and oversight.

Do you need a Data Protection Officer?

All organizations, regardless of the type or size, that handle EU residents’ personal information should have someone in the organization who is tasked with monitoring GDPR compliance (part of the “organizational measures” referred to in Article 25). That said, hiring an actual Data Protection Officer is only required by the GDPR if you meet one of three criteria:

  • Public authority — The processing of personal data is done by a public body or public authorities, with exemptions granted to courts and other independent judicial authorities.
  • Large scale, regular monitoring — The processing of personal data is the core activity of an organization who regularly and systematically observes its “data subjects” (which, under the GDPR, means citizens or residents of the EU) on a large scale.
  • Large-scale special data categories — The processing of specific “special” data categories (as defined by the GDPR) is part of an organization’s core activity and is done on a large scale.
Читать еще:  Документ microsoft office word docx

There are a lot of vague terms here. The final draft of the GDPR neglects to define what processing as a “core activity” or on a “large scale” means. The European Commission’s Guidelines on Data Protection Officers provides some hints, but there are still no hard and fast rules. According to the guidelines, a “core activity” can be considered as:

the key operations to achieve the controller’s or processor’s objectives. These also include all activities where the processing of data forms as inextricable part of the controller’s or processor’s activity. For example, processing health data, such as patient’s health records, should be considered as one of any hospital’s core activities and hospitals must therefore designate DPOs.

The guidelines also list the factors that an organization must consider when deciding whether they perform data processing on a “large scale.” They are:

  • the number of data subjects concerned, either as a specific number or as a proportion of the relevant population;
  • the volume of data and/or the range of different data items being processed;
  • the duration, or permanence, of the data processing activity;
  • and the geographical extent of the processing activity.

The guidelines also list several examples of large-scale processing, including the processing of patient data by a hospital, the processing of customer data in the regular course of business by a bank, or the processing of personal data for behavioral advertising by a search engine.

Thus an organization may be conducting data processing on a large scale even while the organization itself is of relatively modest size. For smaller organizations, it may not be feasible to hire a full-time DPO. In this case, a DPO can be hired or shared among several smaller organizations, provided the DPO is easily accessible by each organization and can effectively carry out their duties for each organization. Conversely, if an organization is too large for a single DPO working alone to handle all the duties, it may be necessary to provide the DPO with support staff. The GDPR allows for both situations.

What are the qualifications of a GDPR Data Protection Officer?

The importance and breadth of the DPO’s duties make finding a qualified candidate an essential step in GDPR compliance. While the GDPR does not list specific qualifications, it does stipulate that the level of knowledge and experience required of an organization’s DPO must be determined according the complexity of the data processing operations being carried out. When evaluating a candidate or creating a job listing for the position, these are some of the most important qualifications to keep in mind:

  • Significant (over 5 years) experience working with EU and global privacy laws, including drafting of privacy policies, technology provisions, and working on compliance
  • Significant experience working with IT programming or infrastructure, including certification in information security standards
  • Significant experience in performing audits of information systems, attestation audits and risk assessments
  • Demonstrated leadership skills achieving stated objectives coordinating with a diverse set of stakeholders and managing multiple projects at once
  • Demonstrated ability to continuously coordinate with multiple parties and supervisors while maintaining independence
  • Demonstrated communication skills to address different audiences, from the board of directors to data subjects, from managers to IT staff and lawyers
  • Demonstrated self-starter with ability to gain required knowledge in dynamic environments and remain up-to-date on cutting-edge developments
  • Demonstrated record of engaging with emerging laws and technologies
  • Experience in legal and technical training and in awareness raising
  • Experience in dealing successfully with different business cultures and industries

How to hire a Data Protection Officer

Because your DPO will need close knowledge of how your organization processes and protects its data and its legal obligations, a logical starting point for recruiting would be your own IT or legal department. In particular, the duties of the Chief Data Officer are similar to that of a DPO. Once a competitive internal candidate is identified, they should receive trainings or certification on the GDPR. While the GDPR will create certification bodies in the near future, organizations such as the International Association of Privacy Professionals (IAPP) and the Association of Data Protection Officers already offer courses on data security and privacy.

Recruiting a DPO from outside your organization will require persistence. The IAPP estimates there will be a demand for 28,000 Data Protection Officers in 2018. That level of need should far outpace the availability of highly qualified candidates, making your search for a DPO especially challenging. Larger organizations should consider recruiting at any of the larger European technology fairs, such as the CEBIT festival in Berlin or the InfoSecurity Show in London. Smaller organizations should consider their actual needs and look into paying for a managed recruitment service.

Data Protection Officer – основные нюансы и функции

Что ж, GDPR (General data protection regulation / Общий регламент по защите данных) (далее — «Регламент») уже вступит в силу в мае 2018 года. Особенности нового Регламента, который направлен на более жесткую защиту персональных данных, мы раскрыли в предыдущей статье.

В данной публикации мы хотели бы обсудить некоторые нововведения в рамках GDPR, с которыми субъектам, которые намерены работать с клиентами в рамках Европейского Союза, придется столкнуться. Одной из таких особенностей является требование о назначении Инспектора по защите данных (Data Protection Officer или сокращенно DPO).

Следует обратить внимание, что Директивой 95/46 / ЕС Европейского Парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных», которая действует в настоящее время, такого требования не предусмотрено. Новый же Регламент, по оценкам некоторых экспертов, потребует назначения 75000 Инспекторов по защите данных по всему миру для возможности соблюдения условий GDPR и контроля за использованием персональных данных лиц, находящихся на территории ЕС.

Назначение DPO

Четкого определения понятия Data Protection Officer по тексту GDPR нет, однако по содержанию Регламента следует понять, что DPO — это лицо, которое должно назначаться контроллером * и / или обработчиком ** данных с целью обеспечения соответствия их деятельности положениям GDPR.

Нужно заметить, что обязанность по назначению DPO не касается всех субъектов, осуществляющих обработку персональных данных в пределах ЕС.

Читать еще:  Ключ лицензии для office 365

Так, проанализировав положения GDPR и некоторые обобщения, которые были сформированы Рабочей группой 29, которая занимается анализом и обобщением положений Регламента, следует констатировать, что Data Protection Officer должен назначаться в тех случаях, когда:

  • обработка данных осуществляется органом публичной власти;
  • основные виды деятельности компании требуют систематического и регулярного мониторинга субъект персональных данных в больших масштабах;
  • основные виды деятельности предусматривают обработку персональных данных в больших масштабах особых категорий персональных данных и касаются уголовных осуждений и правонарушений.Однако, положение GDPR не всегда требует обязательного назначения DPO. Например, частные предприниматели или компании не обязаны назначать DPO в следующих случаях:
  • основные виды деятельности лишь изредка включают в себя мониторинг персональных данных с незначительным нарушения интересов субъектов персональных данных;
  • не производится обработка персональных данных особых категорий вообще;
    осуществляется обработка персональных данных особой категории только малой группы субъектов персональных данных.Что же касается других категорий субъектов, осуществляющих деятельность, так или иначе касается персональных данных лиц, находящихся на территории Европейского Союза, то на них распространяются основные требования GDPR при назначении Инспектора по защите данных и игнорирование таких требований является нежелательным.

В данном случае не следует забывать также, что обязанность по назначению DPO, где это необходимо, также распространяется и на субъектов хозяйствования, зарегистрированных на территории Украины, однако осуществляют деятельность и осуществляют обработку данных / мониторинг поведения субъектов персональных данных на территории ЕС.

Инспектор по защите данных может быть принят как в штат компании, которая в этом нуждается, а также работать как независимый подрядчик. Четких требований относительно формы сотрудничества с DPO Регламент не содержит.

Обязанности и полномочия DPO
Стоит обратить внимание на то, что инспектора по защите данных выдвигается целый ряд требований перед началом осуществления им своей профессиональной деятельности. Прежде всего, такое лицо должно быть профессионалом в сфере защиты персональных данных, а также разбираться в европейском и внутреннем законодательстве. Лучшим доказательством такой квалификации может быть сертификат специалиста по защите данных, подтверждает профессионализм и который выдается соответствующими организациями в пределах Европейского Союза.

После своего назначения или после заключения соответствующего соглашения о сотрудничестве / оказания услуг, DPO обязан, как того требует статья 39 GDPR, осуществлять свои прямые обязанности, основной перечень которых, но не ограничиваясь, приводится ниже:

  • Информирование и консультирование контроллеру, обработчик и их сотрудникам в отношении обязанностей по защите данных;
  • Мониторинг и анализ деятельности на соответствие условиям GDPR, включая распределение обязанностей между персоналом;
  • Повышение осведомленности и проведение тренингов для персонала, работа которого касается обработки данных.Кроме того, Инспектор по защите данных обязан, когда этого требуют обстоятельства, взаимодействовать с государственными надзорными органами в сфере защиты данных, как на местном уровне, так и с органами, осуществляющими общий контроль за соблюдением условий GDPR в Европейском Союзе и во всем мире в целом.

Если после проведения анализа своей деятельности все же будет установлено, что вы подпадаете под требование GDPR о назначении DPO, советуем вам заняться этим вопросом самым тщательным образом, так как в случае игнорирования этого требования, вы может то попасть под действие штрафных санкций, размер которых , как мы все знаем, достаточно не маленький.

Но, в том случае, когда вы являетесь представителем SMEs (small and medium enterprises) и объем вашей деятельности не обязывает назначать DPO, все же советуем вам иметь в штате лицо, имеющее достаточно квалификации для работы с персональными данными ваших клиентов или же советуем обратиться к специалистам, которые предоставляют услуги по упорядочению данных на коммерческих условиях.

* ( «Контролер» (controller) — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных (статья 4 Регламента GDPR).) *

** ( «Обработчик» (processor) — это физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контроллера.) **

GDPR — регламент по защите персональных данных. Уже сегодня!

Сегодня, 25 мая 2018, в Европейском Союзе вступает в силу General Data Protection Regulation (GDPR; рус. — Общий регламент защиты персональных данных).

GDPR регламентирует процесс обработки персональных данных и распространяет свое действие не только на компании из ЕС, но и на компании из других стран, в том числе из Беларуси.

Партнер международной юридической компании PETERKA & PARTNERS Наталия Аношка разобралась, что изменилось для белорусских компаний в сфере защиты персональных данных и на что следует обратить внимание, чтобы не нарушать GDPR.

КТО ОБЯЗАН СОБЛЮДАТЬ РЕГЛАМЕНТ?

Все компании, обрабатывающие персональные данные физических лиц находящихся на территории ЕС, и:

  • предлагающие товары или услуги субъектам данных ЕС как на возмездной, так и на безвозмездной основе, или
  • осуществляющие мониторинг субъектов данных ЕС.

Под действие GDPR могут попадать компании из различных индустрий, обрабатывающие персональные данные, в частности, такие как:

  • разработчики онлайн-игр, мобильных приложений и интернет-магазины;
  • финансовые, транспортные и фармацевтические компании;
  • туристические, медиа и телеком-организации;
  • и многие другие.

Справочно: обработка персональных данных включает в себя сбор, запись, организацию, структурирование, хранение, переработку или изменение, восстановление, использование, раскрытие посредством передачи, рассылку или иной способ предоставления для доступа, совмещение или комбинирование, ограничение, стирание или уничтожение информации.

КАКИЕ ШТРАФЫ ГРОЗЯТ ЗА НАРУШЕНИЕ РЕГЛАМЕНТА?

С сегодняшнего дня, каждая компания, обрабатывающая персональные данные и попадающая под действие GDPR, вне зависимости от ее размеров и направления бизнеса, обязана соблюдать требования о защите персональных данных. Несоблюдение GDPR может повлечь не только репутационные риски, но и серьезные административные штрафы за отдельные нарушения предусмотрен штраф в размере до 20 млн евро или 4% от годового оборота (процент может быть посчитан от оборота международной группы компаний, а не одного субъекта-нарушителя).

ЧТО ОТНОСИТСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ?

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»), например, имя, адрес электронной почты, местоположение человека, профессия, пол, здоровье, любые связанные с этим элементы данных.

GDPR подразделяет субъекта данных на:

  • идентифицированное физическое лицо (фотография в паспорте человека);
  • идентифицируемое физическое лицо (у вас есть фотография, загрузив которую в поисковик Google, вы может идентифицировать изображенного на ней человека).

ЧТО ОБЯЗАНЫ ДЕЛАТЬ КОМПАНИИ, ЧТОБЫ СОБЛЮДАТЬ GDPR ?

  • Получать согласие на обработку:

Компания должна получить или обеспечить получение согласия субъекта данных на обработку персональных данных. При этом важным фактом является выражение согласия субъекта посредством ясного утвердительного действия, устанавливающего конкретное и однозначное указание на согласие. Согласие не может быть выражено в виде молчания, ранее проставленной галочки при посещении сайта или бездействия. Если обработка данных имеет несколько целей, то согласие нужно запросить для каждой из этих целей. Субъект данных должен иметь право легко предоставить и отозвать свое согласие.

Обработка «чувствительных» персональных данных:

Чувствительные персональные данные (расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения и т.д.) заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Их обработка без прямого согласия субъекта данных или в предусмотренных GDPR случаях запрещена.

  • Обеспечить должный уровень защиты:

Для обеспечения безопасности обработки GDPR предлагает такой способ защиты как псевдонимизация, который означает обработку персональных данных таким образом, что персональные данные не могут быть соотнесены с конкретным субъектом данных без использования дополнительной информации.

Ссылка на основную публикацию
Adblock
detector