Data Privacy Roadmap
Программа комплексного внедрения требований законодательств о защите персональных данных, основанная на многолетнем опыте работы с компаниями различных масштабов и сфер деятельности.
Мы уже не раз говорили о территории действия GDPR. Время затронуть тему материальной сферы действия, которой посвящена 2 статья Регламента. Если территориальная сфера действия отвечает на вопрос «где действуют правила Регламента», то материальная – «на что распространяются требования».
Во 2 статье GDPR не проводятся различия между “частными” и “публичными” контролерами и процессорами, соответственно, правила применяются как к государственным органам и институтам, так и к физическим и юридическим лицам, не связанным с осуществлением государственных функций.
По общему правилу, GDPR применяется, когда:
- Обработка персональных данных осуществляется полностью или частично с помощью автоматизированных средств.
- Проводится неавтоматизированная обработка персональных данных, формирующих часть системы данных либо предназначающихся стать их частью.
Что подразумевается под автоматизацией в GDPR?
Термин “автоматизированные средства” не определен в GDPR. Ориентируюсь на раздел книги Datenschutzrecht под редакцией С. Бринка, посвященный статье 2 GDPR, понятие интерпретируется широко и включает все процессы, в которых по крайней мере часть обработки данных осуществляется автоматически, с помощью определенной программы, без дальнейшего вмешательства человека. Исходя из Преамбулы 15 GDPR следует, что защита персональных данных должна оставаться технологически нейтральной и не зависит от используемых технологий. То есть, это обработка данных на любом “девайсе” – компьютере, планшете, смартфоне и т.д. Хотя этот термин, как правило, не вызывает трудностей в определении на практике, Суд ЕС все же рассматривал его применимость в некоторых решениях. Например, Суд установил, что проверка данных о трафике и местоположении, сверка данных с определенными параметрами является обработкой с помощью автоматизированных средств. Для распространения на обработку GDPR достаточно, чтобы она была частично автоматизированной. К примеру, это происходит, когда персональные данные вручную вводятся в цифровую базу данных.
Нужно ли соблюдать GDPR, если хранить данные на бумаге?
Регламент также применяется к неавтоматизированной обработке персональных данных, формирующих часть системы данных. Система данных определяется в ст. 4(6) GDPR как упорядоченный набор персональных данных, доступных по определенным критериям, независимо от того, является ли этот набор централизованным, децентрализованным или распределенным функционально либо географически. То есть, если обработка проводится на “бумаге” придерживаться GDPR необходимо только в том случае, если данные организованы в соответствии со специальными критериями (то есть они формируют систему) и возможен быстрый поиск сведений о конкретном субъекте. Например, медицинские карточки пациентов в поликлиниках, разложенные по участкам и буквам алфавита. Исключение неструктурированной обработки персональных данных из сферы действия GDPR коррелирует с изначальной целью регулирования защитить данные от обработки данных компьютерами, которые позволили легко структурировать и искать персональные данные.
Кроме того, GDPR защищает и те данные, которые предназначены для того, чтобы стать частью системы данных. Соответственно, сбор такой информации будет представлять собой обработку, регулируемую GDPR (даже до того, как они будут организованы в систему).
Концепция “системы данных” была рассмотрена Судом ЕС в деле Jehovah todistajat. В этом деле Суд должен был оценить законность запрета финского Управления по защите данных общине Свидетелей Иеговы собирать персональные данные в ходе обходов “от двери к двери”.
Обработка персональных данных осуществлялась не автоматическими средствами, поэтому возник вопрос о том, являются ли обрабатываемые данные частью или предназначались для формирования системы данных. Суд последовал расширительной интерпретации термина, указав, что Директива (как сейчас GDPR) не устанавливает никаких конкретных требований в отношении структуры или формы системы данных. В частности, Директива не предусматривала, что “персональные данные должны содержаться в конкретных списках или перечнях, чтобы установить существование системы данных”.
Суд пришел к выводу, что “система данных” сформирована, когда “данные структурированы в соответствии с конкретными критериями, которые на практике позволяют легко извлекать их для последующего использования.” В данном случае записи, созданные общиной, были собраны в качестве справочника и включали имя, фамилию и географическое положение, чтобы облегчить организации последующие посещения лиц, чьи данные попали в документ.
Материальная сфера действия ограничена вторым пунктом статьи 2 GDPR, где приводятся исключения, которые мы подробно рассмотрим в следующих публикациях.
Забронируйте бесплатную консультацию прямо сейчас!
- Внедрение GDPR
- Обучение GDPR
- Выстраивание системы защиты персональных данных
- Минимальный комплаенс для выхода на новые рынки
- Индивидуальные решения по вашим запросам