Что такое GDPR (General Data Protection Regulation)
- 25 мая, 2021
- Законодательства, Защита данных
С появлением и развитием технологий люди стали более щедрыми на персональные данные, ведь взамен они получают удобство и комфорт. Мы настолько привыкли к этому, что не можем представить наш мир иначе. Однако означает ли это, что жить теперь безопаснее? Отнюдь. Вся эта информация вполне может быть использована против нас самих. А мы, субъекты данных, потеряли над ними контроль в новой цифровой реальности.
Европейцы всерьез занялись этим вопросом. И, как результат, 27 апреля 2016 года приняли Общий Регламент защиты персональных данных. Начал применяться новый закон только спустя два года (25 мая 2018 года), чтобы у бизнеса был запас времени к нему подготовиться. Правила GDPR внесли дополнения в прежние нормы защиты приватности в Европе, которым было практически два десятилетия. И конечно, это вызвало множество вопросов у бизнеса: что делать? к кому обращаться? насколько опасно несоблюдение требований? Команда Data Privacy Office разобрала самые спорные и популярные вопросы.
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Что такое GDPR?
Вы когда-нибудь задумывались, где хранятся отпечатки пальцев или снимки лица для разблокировки смартфона? Или для чего при оформлении заказа в интернет-магазине вас просят указать дату рождения, что, казалось бы, лишняя информация для покупки? Может ли кто-то получить доступ к вашей медицинской карте в поликлинике? Как организации находят ваш номер телефона, чтобы позвонить и рассказать о выставке или акции? Или что знают социальные сети о своих пользователях?
Каждый день мы делимся с окружающими тем, что принято называть персональными данными. Например, во время знакомства или общения, при поиске работы или записи на прием к доктору, заказывая товары, оплачивая услуги. При этом даже не задумываясь, что будет происходить с этими данными дальше.
Каждый день мы делимся с окружающими тем, что принято называть персональными данными. Например, во время знакомства или общения, при поиске работы или записи на прием к доктору, заказывая товары, оплачивая услуги. При этом даже не задумываясь, что будет происходить с этими данными дальше.
Так зачем же нужен GDPR? С появлением и развитием технологий люди стали более щедрыми на персональные данные, ведь взамен они получают удобство и комфорт. Мы настолько привыкли к этому, что не можем представить наш мир иначе. Однако означает ли это, что жить теперь безопаснее? Отнюдь. Вся эта информация вполне может быть использована против нас самих. И, что не есть хорошо, мы, субъекты данных, потеряли над ними контроль в новой цифровой реальности.
Европейцы всерьез занялись этим вопросом. И, как результат, 27 апреля 2016 года был принят Общий Регламент защиты персональных данных (General Data Protection Regulation). Начал применяться новый закон только спустя два года (25 мая 2018 года), чтобы у бизнеса был запас времени к нему подготовиться. Правила GDPR внесли дополнения в прежние нормы защиты приватности в Европе, которым было практически два десятилетия. И конечно, это вызвало множество вопросов: что делать? к кому обращаться? насколько опасно несоблюдение требований?
Что такое персональные данные?
01
Персональные данные
Любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу («субъекту данных», т. е. к человеку).
02
Идентифицированное физическое лицо
Человек, идентификатор (имя, номер телефона, личный номер, логин и т. д.) которого имеется среди данных.
03
Поддающееся идентификации физическое лицо
Сергей использует во время обучения не только живые кейсы, но и наглядные диаграммы, блок-схемы, доступ к которым у вас сохранится и после окончания курса.
Персональными данными является не только сам идентификатор, но и относящаяся к человеку информация. Говоря простыми словами, имя, номер паспорта, ID удостоверения, логин, никнейм, адрес электронной почты, номер телефона, IP-адрес, данные банковских карт – всегда персональные данные, потому что являются идентификаторами. Номер автомобиля, почерк, видеозапись или фотография – вероятно персональные данные, потому что легко позволяют идентифицировать. А адрес, семейный статус, пол, гендер, сведения с электронных кошельков, информация о состоянии здоровья, сведения о просмотренных страницах, поисковых запросах, постах в социальных сетях – персональные данные, когда известно к кому именно они относятся.
Здесь существуют свои нюансы.
Без идентификатора информация становится анонимной. Относящаяся информация будет представлять собой персональные данные только в случаях, когда можно провести дополнительное “расследование”, не используя специальные устройства и без чрезмерных затрат времени и сил.
То есть, если у нас нет разумной возможности идентифицировать субъекта данных, то такая информация является не персональной, а анонимной.
Например:
К персональным данным относится информация, описывающая субъекта данных, – Ивану Купале 38 лет и он юрист. В данном случае персональная информация — это не только имя человека, но и его профессия, и возраст.
Если мы не знаем полного имени, но нам известно, что какому-то человеку по имени Иван в нашем городе 38 лет, эта информация для нас будет анонимной.
Однако если нам сказали, что какому-то человеку по имени Иван 38 лет, он живет в нашем городе и работает в маленькой юридической фирме “Адвокатское бюро Купала и партнеры”, мы сможем легко его идентифицировать. Эта информация будет считаться персональными данными.
Важно отметить, что определение персональных данных постепенно меняется. Раньше, до эры компьютеров и мобильных телефонов, для признания данных персональными нужно было, чтобы человек с их помощью мог гипотетически быть идентифицирован кем угодно на земле. Сейчас же этот критерий сужается лишь до круга лиц, которые потенциально могут получить доступ к этим данным и воспользоваться ими для идентификации.
Чтобы наглядно представить все вышенаписанное, наш прайваси-эксперт Сергей Вoрoнкевич, CIPP/E, CIPM, CIPT, MBA, FIP, создал авторскую формулу персональных данных.
Консалтинг по национальным законам
Приведение проектов, процессов, продуктов и компании в соответствии с международными и локальными законами: GDPR, ССPA, UAE PDPL, PIPL и других.
Какие же права получили люди благодаря GDPR?
В первую очередь новый закон принят в связи с развитием технологий, из-за которых люди могут утратить право на личную жизнь. Мы уже рассказывали о том, что такое приватность и как она рассеивается в современном мире. Теперь поговорим о правах, которыми мы, как субъекты данных, можем пользоваться по GDPR.
Право на доступ (статья 15 GDPR)
У каждого человека есть возможность получить свои данные или доступ к ним. Речь идет не только о той информации, которую он сам предоставил, но и о той, которую компания (контролер данных) собрала о нем из других источников или даже создала сама. Кстати, здесь мы подробнее рассказали о роли контролера и процессора. При этом субъект данных может и не подозревать, что такой сбор имел место, а данное право дает возможность субъекту об этом узнать:
- Для каких целей используются его личные данные;
- Кому и в какие страны передаются (а вот здесь подробнее о трансграничной передаче данных);
- Сколько времени хранятся;
- Откуда получены (источники данных);
- Информацию о важных для него решениях, которые принимаются автоматически;
- Есть ли у него право на удаление, или уточнение данных, или на их “заморозку” (ограничение обработки), а также на подачу жалобы в надзорный орган.
Как компания может реализовать это право? Она должна предоставить персональные данные в любой форме, в которой человек их запрашивает (в виде электронного письма или бумажного документа). Также можно предоставить доступ к персональным данным в личном кабинете пользователя. По правилам Регламента они предоставляются бесплатно. Плату можно взимать за дополнительные копии, а также в случае явно необоснованных или чрезмерных запросов.
Право на уточнение (статья 16 GDPR)
Право на удаление данных (статья 17 GDPR)
Также известное как право быть забытым. Субъект вправе потребовать от компании-контролера удалить его данные. Правда, не всё так просто. GDPR предусматривает лишь несколько обстоятельств, позволяющих воспользоваться этим правом:
Если данные больше не нужны для той цели, для которой они собирались первоначально.
Ведь согласно принципу ограничения хранения – данные и так стоило удалить.
Если данные обрабатываются незаконно.
В противном случае субъект всегда может обратиться с жалобой в надзорные органы.
Если данные принадлежат ребенку и собирались онлайн-сервисом по его согласию.
Подробнее об этом прописано в статье 8(1) GDPR.
Если человек отозвал свое согласие на обработку.
Когда правовое основание для обработки– согласие.
Разберем подробнее последний пункт.
В статье 8 GDPR говорится об обработке персональных данных детей, а именно согласия детей при оказании им услуг информационного общества. Согласие ребенка является действительным только если: 1) ребенку исполнилось 16 лет или 2) вместо него получено согласие/разрешение родителя. Дело в том, что дети не всегда понимают, к чему могут привести их действия в интернете. Поэтому при получении запроса на удаление подобных данных нужно немедленно это осуществить.
Например:
22-летняя Мария заметила, что 8 лет назад регистрировалась на различных игровых сайтах, которые собирали и обрабатывали ее персональные данные. Родители подтверждали ее согласие на участие в различных акциях и розыгрышах на этих сайтах. И теперь, когда действует GDPR, Мария может требовать удалить всю информацию о ее участии в акциях и розыгрышах, которая была собрана, когда она ещё была ребенком.
Право быть забытым вовсе не абсолютно. Например, таким ограничением является право свободы слова и печати. Также под исключения попадают варианты, когда обработка данных является необходимой для целей архивирования в интересах общества, научных и исторических исследований.
Право на ограничение обработки (статья 18 GDPR)
Статья 18 GDPR предоставляет субъектам право приостановить использование их персональных данных по нескольким довольно редким причинам. Такие ситуации имеют место, когда:
- Cтавится под сомнение точность или достоверность персональных данных;
- Обработка является незаконной и субъект данных возражает против удаления;
- Контролер больше не нуждается в обработке персональных данных, но они необходимы субъекту для заявления, осуществления правовых исков и т. д.;
- Субъект данных поставил перед контролером вопрос о том, превалируют ли легитимные интересы контролера над интересами субъекта (как только будет принято решение о возобновлении или прекращении обработки, необходимо об этом проинформировать субъекта).
«Ограничение обработки» было бы правильно перевести как «заморозка обработки». Данные все еще хранятся, но уже никак не используются.
Право на переносимость данных (статья 20 GDPR)
Субъекты данных имеют право на получение своих персональных данных в машиночитаемой форме, если это технически можно осуществить. На первый взгляд кажется, что это не отличается от права на доступ, но здесь речь идет о файлах, которые другая компания-контролер сможет импортировать в свою систему. Для использования этого права необходимы два условия:
- Во-первых, право на переносимость данных может быть осуществлено, только если основанием обработки персональных данных является согласие или договор;
- Во-вторых, обработка должна быть автоматизированной.
Чтобы избежать утечек, субъект данных может попросить одного контролера передать данные напрямую другому контролеру, без посредников. Например, социальная сеть VКontakte по одному клику могла бы передать все ваши альбомы с фотографиями Facebook. Пока же реализовать такой механизм довольно сложно как с технической, так и с финансовой стороны. Сейчас Google, Facebook, Microsoft, Twitter и Apple работают над DataTransfer Project – инициативой с открытым исходным кодом, направленной на разработку инструментов, которые обеспечат перенос данных напрямую.
Надеемся, что в ближайшем будущем все компании смогут осуществлять такую процедуру, соблюдая при этом все необходимые меры защиты.
Право на удаление данных (статья 17 GDPR)
Также известное как право быть забытым. Субъект вправе потребовать от компании-контролера удалить его данные. Правда, не всё так просто. GDPR предусматривает лишь несколько обстоятельств, позволяющих воспользоваться этим правом:
Право на возражение (статья 21 GDPR)
Субъект может возразить против обработки своих персональных данных. Правда, и здесь есть свои “но”. Воспользоваться этим правом можно только в том случае, если основанием для обработки выступает легитимный или публичный интерес.
Контролер обязан рассмотреть возражение, проанализировать ситуацию и принять решение: так ли важна данная обработка для компании или общественности и не превалируют ли интересы человека в данном конкретном случае?
Если субъект возражает против обработки в целях прямого маркетинга, то обработку следует прекратить немедленно.
Право не быть объектом автоматизированного принятия решений (статья 22 GDPR)
В современном мире, при бурном развитии информационных технологий, многие решения принимаются не конкретным человеком, а с помощью автоматизированных средств. GDPR позволил субъектам возразить против решений, которые принимает компьютер без участия человека, так как в алгоритм могла закрасться ошибка или предубеждение автора.
Однако это право не действует, если:
📎 решение необходимо для заключения или исполнения контракта;
📎 решение основывается на четко выраженном согласии субъекта (explicit consent).
Право подать жалобу в надзорный орган (статья 77 GDPR)
Субъект вправе потребовать защиту у надзорного органа по месту жительства, по месту работы или по месту нарушения. Например, субъект, живущий и работающий в Москве, может обратиться в надзорный орган в Париже, если его права были нарушены французской компанией. Надзорный орган обязан рассмотреть жалобу и проинформировать заявителя о результатах разбирательства. Если субъекта не устраивает решение надзорного органа, он может обжаловать его в суде (статья 78 GDPR).
Право на компенсацию
При нарушении GDPR контролер (или процессор) обязан не только заплатить штраф, но и предоставить субъекту данных компенсацию за любой ущерб, нанесенный в результате обработки его персональных данных.
Все вышеперечисленное подтверждает актуальность и значимость Регламента. Сегодня, при бурном развитии информационных технологий, когда интернет стал неотъемлемой частью жизни практически каждого человека, наши данные находятся далеко не в безопасности. Поэтому очень важно, чтобы каждый знал о тех правах, которыми он обладает благодаря GDPR. В таких условиях во избежание проблем с клиентами и надзорными органами компаниям необходимо информировать пользователей об их правах. Этого требуют статьи 13 и 14 GDPR. Обычно такое информирование подразумевает публикацию Privacy Policy/Notice (политика конфиденциальности или политика приватности). Мы разработали полный чек-лист по GDPR для таких политик/уведомлений.
Принципы обработки данных
Ещё Директива 96/46/ЕС, предшественница Регламента, сильно изменила европейское законодательство о защите персональных данных. Однако в GDPR эти правила были прописаны более подробно. Это касается и шести основных принципов обработки личной информации в самой главной статье закона – статье 5 Регламента. Мы предлагаем разобраться в них более детально.
Принцип законности, справедливости и прозрачности
Персональные данные могут быть получены только законным способом. Существует лишь шесть законных оснований для обработки персональных данных (статья 6 GDPR):
- Жизненный интерес
- Контракт
- Требование закона
- Публичный интерес
- Легитимный интереc
- Согласие
Чтобы избежать утечек, субъект данных может попросить одного контролера передать данные напрямую другому контролеру, без посредников. Например, социальная сеть VКontakte по одному клику могла бы передать все ваши альбомы с фотографиями Facebook. Пока же реализовать такой механизм довольно сложно как с технической, так и с финансовой стороны. Сейчас Google, Facebook, Microsoft, Twitter и Apple работают над DataTransfer Project – инициативой с открытым исходным кодом, направленной на разработку инструментов, которые обеспечат перенос данных напрямую.
Надеемся, что в ближайшем будущем все компании смогут осуществлять такую процедуру, соблюдая при этом все необходимые меры защиты.
Принцип ограничения целью
Для любой обработки компания должна назвать конкретную цель, а потом строго ее придерживаться, не выходя за рамки названной цели. Например, если вы запрашиваете адрес клиента, чтобы доставить ему товар, то вы не вправе отправлять на этот адрес новогодние поздравления, поскольку это уже иная цель, которую вы не заявляли.
Принцип минимизации данных
Из предыдущего принципа следует, что у каждой обработки должна быть конкретная цель и компания не должна выходить за ее рамки. Принцип минимизации же гласит, что компании не могут собирать лишние данные о клиентах. Лишние — это те данные, без которых можно достичь цель. То есть, им запрещено обрабатывать данные, которые не нужны для выполнения цели. Если вы запрашиваете информацию, чтобы доставить клиенту товар, то адреса и телефона для оперативной связи достаточно, а дата рождения будет излишней.
Принцип точности
Персональные должны быть точны и актуальны в той мере, в которой это необходимо для достижения заявленной цели. Следуя Регламенту, компания должна принять все необходимые меры для обновления или удаления неверной информации. Например, если постоянный клиент меняет адрес, то мы должны исправить его в своей системе, чтобы посылка нашла адресата.
Принцип ограничения хранения
После достижения всех заявленных целей информацию следует удалить. Принцип означает, что персональные данные не могут быть использованы дольше, чем они нужны для реализации цели обработки. Например, если в вашем ресторане кто-то заказал пиццу, то уже завтра этого адреса в системе быть не должно, ведь пицца доставлена (цель достигнута).
Принцип целостности и конфиденциальности
Личные данные всегда представляли угрозу для своих обладателей. Но в эпоху информационного общества количество данных и уровень угроз выросли, и поэтому Регламент обязует защищать персональные данные от несанкционированного или случайного доступа, повреждения или уничтожения. И, конечно, выстраивать такую систему информационной безопасности, при которой не произойдет утечки информации, что особенно актуально в 21 веке.
Например, доставляя медицинские препараты на дом, мы обязаны скрыть от получателя имена других покупателей в списке (например, достаточно закрыть их листком бумаги, когда клиент расписывается за доставку).
Принцип подотчетности
Согласно статье 5(2) GDPR контролер обязан в любой момент времени быть способным продемонстрировать выполнение всех вышеперечисленных принципов. Более того, отсутствие доказательств равнозначно невыполнению (презумпция виновности).
Например, если контролер не способен посредством внутренней документации, технического задания или демонстрации функционала ПО доказать, что наша система удаляет адреса, по которым мы доставляли пиццу, то мы нарушили принцип подотчетности. Надзорный орган может выписать нам штраф, не углубляясь в расследование того, действительно ли мы храним данные дольше, чем необходимо.
Надеемся, сейчас у вас сформировалось представление обо всех принципах GDPR. Однако это только первый шаг. Регламент – это не просто свод правил, которые можно выучить и универсально применять. Он включает множество исключений, поэтому при необходимости не бойтесь обратиться к профессионалам, которые помогут во всем разобраться и построить верный маршрут на пути к правильно выстроенной системе защиты персональных данных согласно GDPR.
Территория действия GDPR
Задуматься о соответствии GDPR стоит каждой компании, деятельность которой так или иначе связана с Евросоюзом. При этом, чтобы находиться под действием Регламента, даже не обязательно иметь офисы в странах ЕС.
Сейчас объясним, как вы можете определить, нужно ли вашей компании соблюдение требований GDPR в том или ином бизнес-процессе.
Всё верно, GDPR не действует на компании, а применяется к отдельным процессам (“обработкам”) с персональными данными. Для одних компаний под GDPR окажутся все обработки, а для других – лишь некоторые процессы. Давайте выясним какие.
Сначала задайте себе вопрос:
“Используются ли в данном процессе персональные данные?”
Положительный ответ? Тогда впереди еще пять шагов. Тем не менее, в некоторых случаях вам достаточно лишь одного “да”, чтобы правила GDPR были применимы к соответствующему процессу в вашей компании.
Шаг 1. Есть ли у вашей компании организационные единицы на территории ЕС?
Прежде чем ответить на этот вопрос, следует разобраться в понятии “организационная единица” (establishment). Согласно преамбуле 22, организационной единице не обязательно иметь статус юридического лица. Это может быть не только филиал или представительство, но и офис, удаленное рабочее место или даже один сотрудник. Если у вашей компании есть организационная единица в одной из стран Евросоюза и обработка данных связана с деятельностью этой единицы, к такой обработке применяются правила GDPR.
В качестве примера приведем дело Weltimmo (WELTIMMO S.R.O. V. NEMZETI A DATVEDELMI ES INFORMACIOSZABADSAGH ATOSAG (венгерский надзорный орган)). Есть компания, зарегистрированная в Словакии, которая осуществляет свою деятельность в том числе на территории Венгрии, где у нее есть почтовый ящик, банковский счет и представитель. Зашел вопрос о том, право какой страны – Словакии или Венгрии – действует в отношении деятельности компании через представителя в Венгрии в этом случае. После разбирательства Европейский суд (CJEU) решил, что всё же применимо венгерское право. Обосновали тем, что организация имеет представителя в Венгрии, пусть и не зарегистрированного в качестве филиала, отправляет и принимает почту по венгерскому адресу, пользуется банковским счетом, оформленным в местном банке, а значит осуществляет регулярную работу на территории Венгрии.
Также GDPR применим для обработок за пределами ЕС в контексте деятельности этой оргединицы, то есть процессов в вашей неевропейской компании (дочерней или материнской), тесно связанных с деятельностью европейской оргединицы. Например, в кейсе «González v. Google Spain» суд признал, что поисковая индексация как обработка персональных данных, которую производили на территории США, находится в контексте деятельности испанской оргединицы «Google Spain», а следовательно, должна соответствовать европейским нормам.
Если на вопрос этого Шага вы ответили “да”, то GDPR действует на вашу обработку персональных данных и проходить остальные Шаги схемы вам не нужно. Теперь вы можете проводить через схему следующую обработку.
Шаг 2. Есть ли у вашей компании организационные единицы на территории ЕС?
Речь идет не о гражданстве, а именно о месте нахождения субъектов. Если вы работаете с данными людей из ЕС, то переходите к Шагу 3. Если ваши субъекты находятся за пределами ЕС, то GDPR не действует, но может применяться законодательство страны, где находится человек (например, российское, китайское или американское законодательство)
Поэтому если в вашем московском офисе работает гражданин Испании, к обработке его персональных данных будет применяться российское законодательство, но не GDPR. Остальные шаги схемы для данной обработки проходить не нужно.
Если же кто-то из субъектов данных физически находится в Евросоюзе, то переходите к Шагу 3.
Шаг 2. Есть ли у вашей компании организационные единицы на территории ЕС?
Вы окажетесь на этом шаге схемы, если ваша компания, не имеющая организационных единиц в Евросоюзе, продает товары или оказывает услуги европейцам, например, через Интернет. При этом, товары и услуги необязательно должны быть платными. К примеру, мобильное приложение, которое вы скачали в бесплатной версии, – тоже услуга.
Поскольку речь идет не о применении Регламента к компании, а к отдельной ее обработке, нужно анализировать отдельный процесс. И процессы могут быть разными, например:
- Наем сотрудников в офис,
- Восстановление пароля от онлайн-сервиса,
- Ретаргетинг/ремаркетинг по посетителям, бывавшим у вас на сайте,
- Заполнение оценочной анкеты.
В указанном выше перечне ретаргетинг/ремаркетинг является непосредственным предложением товара или услуги, оценочная анкета и восстановление пароля – связаны с оказанием услуги. Следовательно, по данным обработкам на вопрос №3 мы отвечаем «да» и переходим к Шагу 4.
А вот наем сотрудников в офис – это обработка персональных данных, не связанная непосредственно с предложением товаров и услуг европейцам. Предложение работы не является ни товаром, ни услугой. Поэтому по схеме мы переходим сразу к Шагу 5, где будем проверять, мониторим ли мы поведение кандидатов на должность.
Например:
Украинская платформа онлайн-образования продаёт свои курсы программирования на английском языке по всему миру, включая ЕС. Вопрос: нужно ли платформе соответствовать GDPR? Онлайн-курсы на данной платформе – это услуги и на вопрос №3 мы говорим: «да». Поэтому необходимо перейти на Шаг 4, чтобы выяснить, нацелена ли деятельность хотя бы на одну страну ЕС.
Шаг 4. Предусматриваете ли вы возможность предоставления товаров и услуг субъектам в ЕС?
Фактически, это вопрос про присутствие на европейском рынке. Иногда может быть непонятно, применим ли GDPR, когда к вам поступил заказ от субъекта на территории ЕС. В таком случае нужно задать вопрос: “Собирались ли вы предлагать товары или услуги на территории ЕС или заказ случайный?” Ответ на этот вопрос не всегда очевиден.
Например, магазин из Москвы продает дизайнерскую одежду. Сайт компании доступен на русском и английском языках. Заказ можно оплатить в любой валюте (в том числе в евро), при этом товары доставляются по всему миру. Можно предположить, что есть таргетинг на рынок ЕС. Значит, если поступит заказ от человека, проживающего в Европейском союзе, то при его обработке нужно будет соблюдать требования GDPR.
Рассмотрим другой пример. Магазин расположен в Санкт-Петербурге и доставляет цветы по городу за российские рубли. В то же время житель Польши заказал цветы на сайте магазина, чтобы доставить их своей девушке из России. Поскольку магазин изначально ориентируется только на россиян и не предполагает выходить за пределы страны, то сделавший заказ поляк не будет находиться под защитой GDPR.
Таким образом, если ваш ответ на вопрос про присутствие на рынке ЕС на Шаге 4 – “да”, то к вашей обработке будут применяться положения GDPR. Если же ваш ответ – “нет”, то переходите к Шагу 5.
Шаг 5. Связана ли обработка с мониторингом поведения физических лиц, которые находятся на территории ЕС (например, с помощью Google Analytics)?
«Мониторинг поведения» включает наблюдение и последующий поведенческий анализ/профилирование физических лиц. В основном неевропейские компании делают это через Интернет с целью предсказать личные предпочтения людей, их поведение и отношение к чему-либо.
Следовательно, если вы осуществляете мониторинг ваших европейских потребителей, то этот процесс регулируется GDPR. Примером мониторинга будет отслеживание поведения пользователей на сайте с помощью файлов куки. Это позволяет предлагать им более подходящие товары или услуги, чем нередко пользуются владельцы интернет-магазинов.
Рассмотрим еще несколько ситуаций, описанных в руководстве надзорного органа:
Например:
Американская консалтинговая компания консультирует торговый центр во Франции по вопросам планировки розничной торговли. Для этого с помощью WiFi она анализирует перемещения людей по этому центру. В данном случае анализ перемещений покупателей и есть мониторинг их поведения. Поскольку торговый центр расположен во Франции, то и мониторинг относится к поведению покупателей во Франции. И к данной обработке будет применим GDPR.
Например:
Разработчик мобильных фитнес-приложений в Канаде анализирует физическую активность пользователей по всему миру для оптимизации работы и улучшения качества обслуживания. Данная обработка также регулируется европейским Регламентом.
Таким образом, если на вопрос о мониторинге вы ответили положительно, то к обработке будет применяться GDPR. Если же отрицательно, то применять GDPR к обработке не нужно. Однако всегда стоит помнить и о местном законодательстве.
Как мы видим, область применения GDPR очень широкая. Регламента попадает большое количество малых, средних и крупных бизнесов как в Евросоюзе, так и за его пределами, которые обрабатывают персональные данные своих клиентов. Мы выделили топ организаций, которым точно стоит обратить внимание на соответствие GDPR:
- IT-продукт и IT-аутсорс;
- Банки и финтех организации;
- Больницы и медицинские центры;
- Онлайн-школы и хабы курсов;
- Е-commerce и интернет-магазины;
- Гостиничный бизнес и хостелы;
- Туристические услуги и агенты;
- Логистика и перевозки (авиа, авто, ж/д, морские и т. д.);
- Услуги связи и телекоммуникации.
Хотя Регламент – это один из самых актуальных вопросов, который волнует предпринимателей по всему миру, соответствие GDPR можно рассматривать не как проблему, а как конкурентное преимущество. С одной стороны, компания вкладывает ресурсы в соблюдение GDPR, а с другой – получает заслуженное доверие и уважение со стороны клиентов и партнеров.
Соблюдение GDPR: с чего начать?
Очевидно, если вы дошли до этого пункта, вопрос “внедрять или не внедрять GDPR?” у вас не стоит. Давайте поговорим о конкретных действиях, которые необходимо выполнить компании, чтобы достичь compliance.
GDPR-compliance – это прежде всего выстраивание бизнес-процессов компании в соответствии с правилами Регламента. При внедрении GDPR компании зачастую используют план действий, который содержится в стандарте ISO 27701 (Управление информационной безопасностью). В него входят следующие мероприятия.
📎 Выявлять контекст организации, определять потребности организации в защите персональных данных, привлекаемых и заинтересованных в этом лиц, охвата работ. Иными словами, необходимо провести рекогносцировку на местности, выбрать союзников и сформулировать цель.
📎 Заручиться поддержкой руководства компании (а здесь рассказали, как уговорить босса дать деньги на внедрение GDPR), поскольку потребуется значительное изменение в процессах и существенные затраты. Кроме того, не редки случаи, когда компании вынуждены ограничить себя в маркетинговой деятельности, умерить свой аппетит к объемам персональных данных.
📎 Спланировать мероприятия по защите персональных данных, определить зоны ответственности различных департаментов, сотрудников.
📎 На берегу договориться, как будет оцениваться эффективность программы по защите персональных данных. То есть, сформулировать индикаторы успеха, KPI.
📎 Провести инвентаризацию персональных данных и информационных систем, заполнив Реестр обработок персональных данных по ст. 30 GDPR (RoPA).
📎 Оценить, какие есть риски для компании в связи с GDPR (штрафы, потери контрактов, сложности на отдельных рынках, лояльность клиентов). Определить, от каких именно процессов (обработок персональных данных) исходит большинство этих рисков.
📎 Разработать локальные нормативные правовые акты (политики информационной приватности и безопасности) исходя из уровня рисков, вида деятельности, корпоративной культуры, организационной структуры, рынка, потребностей и других характеристик компании.
Привести информационную безопасность компании к должному уровню. Для этого необходимо не только разработать положение об информационной безопасности, но и:
📎 назначить ответственных за безопасность лиц, наделить их необходимыми полномочиями либо выделить отдел по информационной безопасности;
📎 выстроить работы по контролю за информационными активами;
📎 разработать правила использования мобильных устройств и удаленной работы;
📎 обеспечить управление доступами к персональным данным;
📎 проводить скрининг сотрудников, внутренних и внешних аудитов;
📎 шифровать данные;
📎 управлять инцидентами;
📎 обеспечить физическую защиту данных;
📎 согласовать приобретение новых систем управления безопасностью, персональными данными и т.д.;
📎 подключать новых подрядчиков и вести их мониторинг.
📎 Выделить, структурировать и задокументировать все цели обработок персональных данных. Необходимо сформулировать цели не юридическим, а “человеческим” языком, причем настолько конкретно и ясно,
- чтобы можно было выделить в процессах различные обработки (processing activities) по GDPR;
- чтобы можно было подобрать одно-единственное правовое основание под каждую обработку;
- чтобы типичный представитель вашей целевой аудитории мог понять из формулировки, что будет происходить с его персональными данными.
📎 Правильно подобрать одно из шести правовых оснований для каждой цели/обработки персональных данных, проставив в Реестре обработок (RoPA) по одному правовому основанию напротив каждой строки/обработки. В случае, если основание – согласие, необходимо сформулировать и задокументировать его. Потом также придется выполнить требования ISO27701.7.2.4, запустив процесс сбора согласия, ISO27701.3.4 – изменения или отзыва, и ISO27701.2.3 – процесс доказывания его предоставления. Если же основание – легитимный интерес, необходимо очертить его рамки, усилить с помощью мер предосторожности (safeguards) и задокументировать данный интерес, проведя Оценку легитимного интереса (Legitimate Interest Assessment) и затем реализовав меры предосторожности, выбранные в Оценке. Если основание – требование закона, необходимо найти соответствующую норму, обязывающую обрабатывать персональные данные, и сослаться на нее в Реестре обработок.
📎 Если среди обрабатываемой информации есть также биометрические, медицинские и другие специальные категории персональных данных, то наряду с правовыми основаниями обработки необходимо найти одно из исключений по ст. 9(2) GDPR, которое позволяет снять запрет на обработку персональных данных для данной цели.
📎 Среди всего перечня обработок, которые ведет компания, необходимо найти все обработки, в которых правовым основанием является согласие. Далее необходимо убедиться, что компания будет способна продемонстрировать надзорному органу, аудитору или субъекту данных получение согласия на обработку. Также потребуется фиксировать обстоятельства этого (время, место дачи согласия, а также его содержание).
📎 Получать и регистрировать согласия от субъектов. Они могут быть получены в электронной, бумажной или устной формах. Но даже в случае устного согласия необходима их регистрация в соответствующем логе, журнале или карточке клиента. Учтите, что согласие получается не для всех обработок. Это не единственное основание, и отказ о другого правового основания (вроде контракта или легитимного интереса) в пользу согласия может быть нарушением GDPR.
📎 Проводить оценку воздействия на защиту персональных данных (DPIA) для отдельной обработки персональных данных, когда в ее результате скорее всего материализуется серьезный с точки зрения последствий риск. Причем учтите, что риск оценивается не для вашей компании, а с точки зрения последствий для субъекта персональных данных, его прав и свобод. Необходимо руководствоваться ст.35 GDPR и гайдлайнсом о DPIA.
📎 Связывать обязательствами всех подрядчиков, которым передаются персональные данные. Для этого нужно подписать Data Processing Agreement в соответствии со ст.28 GDPR. Соглашение должно содержать все положения, упомянутые в ст.28(3), а также перечень мер информационной безопасности, чтобы обеспечить целостность, конфиденциальность и доступность передаваемых персональных данных.
📎 Выявить процессы, в которых компания совместно с кем-то еще определяет цели и средства обработки, и заключить один или несколько договоров для со-контролеров. Роли и обязанности со-контролеров должны быть задокументированы в контракте или любом аналогичном обязательном документе, который содержит условия совместной обработки данных.
📎 Разработать, наполнить и поддерживать в актуальном состоянии Реестр обработок персональных данных по ст.30 GDPR (RoPA). Он представляет собой каталог целей обработки данных, а также содержит в себе сведения о собираемых данных, процессорах, сроках удаления и т.п. С просмотра Реестра обычно начинаются проверки и аудиты по GDPR. Он помогает оперативно отвечать на запросы субъектов данных, так как облегчает поиск их данных среди департаментов и информационных систем.
📎 Определить и задокументировать в каких точках субъект данных может ознакомиться с privacy notice / privacy policy для каждой обработки. Это не сводится лишь к политике на сайте. Необходимо предусмотреть способы информирования при оффлайн-взаимодействии (в офисе или на мероприятиях), а также при разговорах по телефону. Аналогично необходимо определить какие из прав GDPR есть у субъекта для каждой из обработок (каждого процесса) и каким образом субъект сможет реализовать свои права онлайн на сайте, в приложении, при получении мэйлов, смс, push-уведомлений, бумажных рассылок, либо когда ваш сотрудник беседует с ним по телефону. Например, необходимо определить имеется ли у человека право быть забытым в данном процессе и каким образом он будет при необходимости запрашивать копию своих персональных данных.
📎 Если вы принимаете исключительно автоматизированные серьезные решения в отношении субъектов данных, вам необходимо определить какие обязательства возникают у вас перед людьми в связи с тем, что эти значимые решения были автоматизированы. Необходимо выполнять эти обязательства. Например, 1) уведомлять субъектов о существовании и логике автоматизированных решений, 2) снижать риски причинения вреда правам и интересам людей, 3) предоставлять им право возражать против автоматизированного решения.
📎 Определить о чем компания должна информировать людей в связи с обработкой их персональных данных. Этот перечень потребуется для наполнения политик приватности и уведомлений информацией о ваших процессах. По нему мы будем проверять, насколько полную информацию мы предоставляем субъектам данных. В GDPR эта информация указана в ст.13 и 14 GDPR, а также Guidelines on transparency. Кроме того субъекты данных могут запрашивать информацию индивидуально. В GDPR перечень такой информации содержится в ст.15(1).
📎 Предоставить с помощью политики приватности и других уведомлений четкую и легкодоступную информацию об обработке персональных данных. Например, среди всего прочего указанного в ст.13–14 GDPR нужно сообщать о цели, правовых основаниях, длительности каждой обработки, получателях персональных данных. Требуется назвать компанию, контакты ее DPO, а также наименования других компаний, с которыми она совместно контролирует обработку данных. Политики приватности должны быть понятны типичному представителю целевой аудитории, а значит, нужно сделать перевод политики приватности для каждого языка в интерфейсе, избавиться от юридического сленга, публиковать информацию в визуально наглядной форме, например, форматировать и структурировать текст, добавлять иконки, картинки, видео, таблицы и подсказки. Также придется перевести содержание с юридического языка на “человеческий”, сделать удобную навигацию, разделить бесконечную простынь текста на связные кусочки, чтобы показывать их в подходящий момент (just in time notice).
📎 Разработать и внедрить процесс для отзыва согласий на обработку персональных данных. В рамках процессно-ориентированного подхода необходимо определить “клиентов” процесса, его цели и результаты, показатели эффективности и необходимые ресурсы, поставщиков, исполнителей и владельца процесса отзыва или изменения согласия.
📎 Разработать и внедрить процесс обработки возражений против обработки, которая ведется на основании легитимного или публичного интересов. В отличие от процесса отзыва согласия предполагается рассмотрение индивидуальных запросов и возможность отказа в реализации данного права, если запрос необоснованный.
📎 Разработать и внедрить бизнес-процесс реализации прав на доступ, корректировку и удаление персональных данных.
📎 Разработать и внедрить процесс уведомления сторонних организаций и лиц получивших от нас персональные данные, что субъект данных воспользовался своим правом на отзыв, корректировку данных или возражение против их обработки. Это требуется, чтобы получатели данных могли самостоятельно решить нужно ли им также удалять, блокировать или корректировать данные.
📎 Подготовиться к запросам субъекта на 1) доступ к своим персональным данным (обращению за их копией) в человеко-читабельном виде, а также 2) переносимость данных в машино-читабельной форме: определить объем выгрузки и задействованные информационные системы, а также внедрить соответствующий бизнес-процесс.
📎 Разработать и задокументировать процедуры того, как компания будет отвечать на запросы субъектов персональных данных без неоправданной задержки, но не позже одного месяца. Запросы могут касаться права на доступ, корректировку, удаление, блокирование персональных данных, а также право, не быть объектом решений, принятых автоматически, и право отозвать согласие и возражать против обработки.
📎 Исходя из заявленной цели обработки требуется свести объем собираемых данных к минимально нужному.
📎 При работе с данными, которые оказались в информационной системе организации, необходимо своевременно удалить ненужные сведения, сократить круг лиц, имеющих к ним доступ.
📎 Определить, какая точность необходима для каждой из обрабатываемых категорий персональных данных с точки зрения заявленной организацией цели. Для тех данных, точность которых важна, следует разработать процедуру уточнения (например, ошибок в именах) и регулярной актуализации устаревающих данных (например, адресов жительства или телефонов).
📎 По возможности использовать анонимные данные или как можно быстрее переходить на них с персональных. С помощью реестра обработок компания должна навести порядок в информации: какие из сведений для каких конкретных целей используются. После этого требуется проследить, чтобы эти сведения не использовались для иных целей.
📎 Необходимо предусмотреть технические или организационные механизмы удаления или полной анонимизации персональных данных после истечения сроков хранения данных.
📎 Выявлять, в каких местах информационной системы, каких подразделениях организации в результате регулярной обработки персональных данных могут появляться дубликаты или временные файлы, содержащие личную информацию. Затем необходимо разработать процедуры и правила удаления этих файлов, как только они перестали быть нужны.
📎 Для каждой обрабатываемой категории персональных данных необходимо установить срок обработки или критерий его определения. Эти сроки формируют Графики или Расписания удаления данных.
📎 Внедрить и задокументировать процедуры утилизации носителей с персональными данными.
📎 Использовать надежные каналы для передачи персональных данных, чтобы не допустить потерю личной информации или ее попадание в чужие руки.
📎 Оформить трансграничную передачу персональных данных (в том числе доступа к ним) за пределы Европейского Союза. Самый эффективный механизм передачи в нашем случае – это подписание Standard Contractual Clauses (приложение к Data Protection Agreement) при условии ведения регулярного контроля за подписывающими соглашения поставщиками (опросники и выборочные аудиты).
📎 Вести учет стран, в которые компания отправляет персональные данные.
📎 Регистрировать передачу персональных данных каким-либо третьим лицам (процессорам, партнерам, аудиторам госорганам и т.д.) и обеспечить, чтобы они содействовали выполнению запросов субъектов данных. Например, запросов на доступ, удаление, корректировку и т.д.
📎 Необходимо регистрировать раскрытие персональных данных каким-либо третьим лицам (процессорам, партнерам, аудиторам госорганам и т.д.).
Назначить ответственного за защиту персональных данных (в отдельных случаях это обязательное условие). Процесс приведения компании к соответствию GDPR требует грамотного подхода. Для достижения эффективности, лучше всего обратиться к профессионалу. Но в некоторых случаях Регламент требует наличие DPO (data protection officer) в штате.
Кажется, что всё это сложно и непонятно? Давайте разберем некоторые вещи подробнее.
У каждой обработки должна быть цель. Например, человек решил приобрести билет на самолет. Вы должны четко и понятно объяснить: мы собираем ваши паспортные данные (обработка), чтобы вы смогли приобрести билет (цель №1) и, чтобы проверить, не находитесь ли вы в черном списке для въезда в эту страну (цель №2). Для каждой цели должно быть свое правовое основание. ! Подумайте, какое правовое основание подходит для цели №1, а какое для цели №2. Цель нужно сообщить субъектам данных в политике приватности (так называемой «политике конфиденциальности»). Затем нужно строго придерживаться заявленной цели, чтобы выполнить принцип «ограничения целью» (см. выше). В зависимости от цели находится правовое основание.
Есть следующие варианты правовых оснований обработок:
📎 Жизненный интерес – обработка данных необходима, чтобы спасти кого-то от тяжелого увечья или смерти. Угроза должна быть реальна и актуальна на момент обработки;
📎 Контракт – без обработки персональных данных невозможно исполнение предмета договора, оказание услуги;
📎 Требование закона – когда обработка данных необходима в силу предписаний правовых актов;
📎 Публичный интерес – в случае, если общественно значимая обработка данных возложена на государственный орган, а лицо, обрабатывающее данные, помогает такому органу в обработке. Важным условием является, что орган не справится без нашей помощи;
📎 Легитимный интерес – когда законные интересы компании превалируют над правами и свободами субъекта данных. Например, когда компания окажется под угрозой, если перестанет обрабатывать данные для данной цели;
📎 Согласие субъекта данных – разрешение человека обрабатывать данные для какой-то малозначимой для него цели, которое он дает компании. Оно должно быть добровольным, конкретным, даваться под конкретную цель. При этом человек должен быть информирован обо всех значимых аспектах использования его данных Согласие должно быть выражено активным действием.
В примере про покупку билета на самолет и проверку по «черному списку» используются два разных правовых основания: для цели 1 – контракт, для цели 2 – требование закона.
Документы по GDPR
Какие из документов должны присутствовать в компании, чтобы выполнить требования GDPR? Такой вопрос часто задают нашим консультантам. Ответа на него нет и быть не может. Дело в том, что документация отражает принятые компанией меры и не требуется каким-либо нормативным актом сама по себе (“бумажка ради бумажки”). Не все из мер обязательны для компаний, хотя есть и такие, которые необходимы большинству из них.
Data Processing Agreement (DPA)
DPA – это соглашение об обработке данных, в котором должны быть прописаны следующие моменты (ст. 28 GDPR):
- Права и обязанности контролера и процессора;
- Технические и организационные меры защиты;
- Отношения с суб-процессорами.отношения с суб-процессорами.
- Объем, характер и продолжительность обработки;
- Субъекты данных (указать, обрабатываются ли данные детей);
- Категории данных;
Standard Contractual Clauses (SCC)
Дополнением к DPA или его заменой в случае трансграничной передачи данных служат Standard Contractual Clauses (SCC)– стандартные контрактные условия.
Когда мы собираемся передать данные из ЕС за его пределы, одного DPA может оказаться недостаточно. Для того, чтобы осуществить трансграничную передачу, сначала нужно узнать, обеспечивает ли страна адекватный (достаточный) уровень защиты данных. Если страна “неадекватная”, то здесь можно узнать, как оформить трансграничную передачу данных.
Если кратко, то там написано, что можно использовать эти самые SCC, утвержденные Еврокомиссией. Стандартные контрактные условия (SCC) – типовой договор, который заключается между контролером и процессором. Его форму нельзя изменить, т.к. он типовой. Однако могут возникнуть ситуации, когда необходимо прописать дополнительные условия, например, про распределение расходов на аудиты защиты персональных данных. Тогда поступаем следующим образом: компания заключает DPA с этими условиями, а SCC идёт приложением к нему.
Privacy notice (policy)
Privacy notice (policy) или политика приватности – это открытый документ, рассказывающий про судьбу персональных данных, которые доверяет нам клиент. В нем, например, объясняется, какие персональные данные обрабатываются компанией, а также кому они передаются. Споры о том, какой перевод вернее: политика приватности или политика конфиденциальности, идут до сих пор. Мы считаем, что термин “политика конфиденциальности” неправильный, поэтому рекомендуем не называть так свои документы.
Раньше, до широкого распространения GDPR, понять текст документа могли только юристы: уж слишком много сложных терминов и конструкций. Сегодня, согласно одному из требований Регламента (ст. 12 GDPR), компания обязана проинформировать пользователей не юридическими канцеляризмами, а кратко, прозрачно, понятно и без использования сложной терминологии (интерактивность только приветствуется). Что и как нужно писать в политиках приватности, читайте более подробно в 12, 13 и 14 статьях GDPR либо далее по тексту.
Существуют небольшие различия в требованиях в зависимости от того, собирает ли компания персональные данные напрямую от субъекта данных или через посредников (получателей). Рассмотрим каждый из случаев.
Если компания собирает персональные данные от физического лица напрямую, она обязана включить в политику следующую информацию:
- Название и контактные данные компании, ее представителя и сотрудника по защите данных;
- Цели обработки персональных данных и их правовые основания, в том числе легитимные интересы организации;
- Детали, касающиеся трансграничной передачи и механизм защиты данных;
- Период хранения данных;
- Права субъектов данных;
- Существование автоматизированной системы принятия решений, включая профилирование;
- Является ли предоставление персональных данных частью законодательного или договорного требования или обязательства и возможные последствия непредоставления персональных данных.
Если же организация получает ваши данные косвенно (через другую компанию), в политике приватности должна быть указана вся та же информация, за исключением последнего пункта. Плюс перечисляем виды (категории) персональных данных, которые получены о человеке из стороннего источника.
Политика приватности – индивидуальный документ для каждой компании, поэтому шаблон политики приватности не подойдет. “Дата Прайваси Офис” разработал специальный чек-лист составления политики приватности, который не позволит вам что-то упустить, когда вы составляете privacy policy “с нуля”, или проверить правильность уже созданного документа.
Data Protection Impact Assessment (DPIA)
DPIA – это способ систематически и всесторонне анализировать риски, вызываемые обработкой данных, а также подбирать меры защиты.
Причем мы смотрим не на риски для компании, а на риски нарушения прав и свобод людей. Сюда относится, в том числе, угроза причинения психологического, физического, социального и экономического вреда субъектам данных.
Если вы понимаете, что обработка данных скорее всего приведет к серьезному риску, то прежде, чем ее начинать, обязательно сделайте DPIA. В ст. 35(3) GDPR приведены примеры, когда серьезные негативные последствия наступят с большой вероятностью. В этих случаях обязательно проведение DPIA. Это, например:
- Большое количество камер наружного наблюдения,
- Работа с медицинскими карточками в госпитале,
- Кредитный рейтинг,
- Мониторинг рабочих устройств сотрудников и их действия в интернете,
- Сбор данных о геолокации,
- Использование финансовой информации для платежей.
Таким образом, Data Protection Impact Assessment является своеобразной подушкой безопасности, позволяющей выявить риски и предотвратить их. Это станет правильным вложением в будущее компании, так как защитит от проблем с надзорными органами, партнерами и клиентами.
Legitimate Interest Assessment (LIA)
Если вы работаете с персональными данными на базе такого правового основания, как легитимный интерес, то обязательно нужно делать его оценку. Это и формальная процедура, и документ с четко регламентированным содержанием. В нем нужно взвесить все “за” и “против” обработки как для компании, так и для субъекта данных.
LIA проводится в три этапа:
📎 Оценка наличия легитимного интереса,
📎 Определение необходимости обработки,
📎 Баланс интересов (интересы субъекта данных VS интересы компании).
Легитимные интересы компании стоит периодически пересматривать. Со временем, в зависимости от внешних и внутренних факторов, цель, характер или контекст обработки могут измениться. Есть большая вероятность, что это повлияет на баланс между вами и субъектом данных. Следовательно, следует обновить LIA соответствующим образом.
Эта процедура помогает избежать проблем в будущем и укрепить доверие со стороны клиентов, при этом не в ущерб самой организации.
C чего начать?
После того, как вы определили, что…
📎 вы обрабатываете персональные данные,
📎 ваши действия охвачены GDPR,
📎 вы контролер или процессор…
… наступила пора выполнить вышеописанные правила как на уровне отдельных процессов (обработок), так и на уровне всей организации.
Давайте теперь посмотрим, что именно нужно сделать в первую очередь.
Сначала необходимо определить наилучший маршрут к соответствию GDPR для вашей компании: обучить команду или подключить внешнего эксперта.
Обучение
Пройдя через него, ваши сотрудники смогут выполнять бóльшую часть задач, а компания сможет самостоятельно внедрить GDPR. Это произойдет с меньшим темпом и меньшей эффективностью, но компания удержит при этом все знания и весь опыт внутри себя. К тому же, это самый недорогой вариант. Учтите, однако, что выполнение GDPR – дело всей компании, а не отдельных сотрудников. Один или несколько специалистов все равно не смогут обеспечить внедрение GDPR во всей компании. Им может не хватить времени, рабочих рук, поддержки руководства, а порой – и компетенций. Недостаток компетенций может компенсировать помощь консультантов. Чуть ниже мы расскажем про варианты обучения.
Консалтинг
Он нужен, когда у вас четко определен объем работ, который нужно выполнить к какому-то дедлайну, например, к заключению договора о партнерстве, прохождению аудита или запуску продукта на европейский рынок. В такой ситуации вы хотите действовать наверняка и получить реальные результаты в самые сжатые сроки. Консалтинг подходит вам, если нужно решить вопрос соответствия GDPR как можно быстрее и вы не располагаете собственными кадровыми ресурсами для этого, но готовы привлечь стороннего специалиста.
Обучение + Консалтинг
Этот вариант для вас, если объем работ по защите персональных данных большой, времени очень мало, а работа над GDPR горит. Тем не менее, для вас важно сохранить опыт и знания внутри организации для реализации будущих проектов по защите персональных данных. Здесь потребуется мобилизация персонала компании, а также привлечение сторонних консультантов.
По этому сценарию мы реализуем программу GDPR Roadmap. В рамках этой программы формируется privacy team внутри компании. Эта команда обладает полным пониманием специфики организации. В нее также входят опытные консультанты Data Privacy Office. Они помогают сформулировать индивидуальную стратегию реализации GDPR. Вместе эта команда шаг за шагом внедряет положения Регламента и настраивает самоподдерживающуюся систему информационной приватности компании.
Обучение
На текущий момент не существует всемирной единой сертификации согласно 42 статье GDPR. Поэтому все сертификаты, дипломы и грамоты о “100% GDPR compliance”, которые можно разместить на сайте, не больше, чем маркетинговая уловка. Несмотря на это, на просторах Интернета можно найти довольно много различных организаций, которые предлагают пройти обучение и получить сертификат, который покажет всему миру, что ваша компания соответствует Регламенту. И, конечно, подтверждение будет якобы подписано международной ассоциацией. Однако это лишь иллюзия, которая станет тревожным звоночком для надзорных органов.
Зато получить сертификат может специалист (не компания). Обучив сотрудников и руководителей департаментов, имеющих дело с персональными данными, компания снижает свои риски по GDPR и повышает доверие клиентов. Начав с обучающих курсов и получения сертификатов от Data Privacy Office, вы сделаете первый шаг в сторону GDPR-Compliance.
GDPR Data Privacy Professional
Cамый популярный курс по GDPR в странах СНГ, который проводится с 2018 года. Обеспечит вас комплексными знаниями о GDPR, пониманием логики европейских требований в части защиты персональных данных. Подходит для сотрудников всех профилей, в том числе не юристов. Этот курс доступен как синхронно онлайн и оффлайн, так и в записи.
Программа курса:
- Согласие как правовое основание для обработки ПД
- Требования, предъявляемые к согласию
- Реализация получения согласия в UX
- Контракт как правовое основание для обработки ПД
- Требование закона как правовое основание для обработки ПД
- Жизненно важный интерес как правовое основание для обработки ПД
- Публичный интерес как правовое основание для обработки ПД
- Легитимный интерес как правовое основание для обработки ПД
- Балансирующий тест Legitimate Interest Assessment (LIA)
- Check-box vs risk based подходы
- Понятие риска
- Вероятность и серьезность риска
- Терминология GDPR касательно рисков
- Требования GDPR по Оценке воздействия на защиту персональных данных (Data Protection Impact Assessment / DPIA)
- Необходимость в DPIA
- Запуск DPIA по результатам предварительной оценки риска или BIA (Business Impact Assessment), SIA (Security Impact Assessment)
- Общий подход выполнения DPIA
- Этап описания операций по обработке, персональных данных и средств их обработки
- Этап выявления юридических меры и меры по обработке рисков
- Этап выявления и оценки рисков.
- Источники рисков, события, угрозы и риски
- Инструменты для проведения Оценки воздействия на защиту персональных данных
- Порядок реализации прав субъекта данных (сроки, плата, идентификация субъекта данных)
- Право на информацию об обработке
- Право на доступ к персональным данным
- Право на исправление
- Право на ограничение обработки
- Право быть забытым
- Право на переносимость данных
- Право на возражение против обработки ПД
- Право не быть объектом автоматизированного решения
- Ограничения прав субъектов данных
- Кейс «Кошмарное письмо субъекта данных»
- Обзор требований GDPR к информационной безопасности
- Уведомление надзорных органов и субъектов об утечке данных
- Технические и организационные меры управления рисками в области информационной безопасности
- Обзор правил GDPR относительно трансграничной передачи ПД.
- Документирование трансграничной передачи персональных данных
- Соглашение на обработку персональных данных (DPA)
- Обязующие корпоративные правила (Binding corporate rules)
- Стандартные контрактные положения (Standard contractual clauses)
- Кодексы поведения и сертификации
- Отступление от соблюдения обязательств касательно трансграничной передачи в особых случаях
- Обзор семи основополагающих принципов спроектированной информационной приватности Энн Кавукиан (Privacy by Design)
- Приватность по умолчанию (Privacy by default)
Встроенная приватность (Embeded Privacy) - Полная функциональность с суммарным положительным результатом
- Защита на протяжении всего жизненного цикла
- Концепция приватности, информационной приватности и защиты персональных данных, виды приватности
- История информационной приватности
- Классификация нарушений приватности Даниэля Солова
- Роль информационной приватности в обществе
- Обзор эволюции правового регулирования защиты персональных данных
- Обзор действующих законов, стандартов и регламентов защиты ПД
- Кейсы, судебные решения, разъяснения в сфере информационной приватности
- Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера №108
- Директива 95/46
- Обзор нормативной базы защиты персональных данных в ЕС c 25 мая 2018 г. (GDPR+)
- История принятия Общего регламента защиты персональных данных ЕС (GDPR)
- Сфера регулирования и территория действия GDPR
- Структура GDPR (преамбула, статьи касающиеся бизнеса)
- Обзор связанных с GDPR актов
- Национальное законодательство
- Судебные прецеденты
- Разъяснения и мнения Рабочей группы 29 статьи (Art29WP) / Европейского совета по защите персональных данных (EDPB)
- Разъяснения национальных надзорных органов
- Обзор рисков, штрафов, ответственности при обработке ПД
- Сопоставление правовых режимов в Беларуси, Украине и России с правилами, действующими в ЕС.
- Понятие персональных данных (ПД), идентификатора, субъекта данных
- Формула персональных данных «(id-x)+info»
- Разбор кейсов (не-)персональных данных
- Биометрические данные
- Обработка ПД и ее виды
- Профилирование
- Псевдонимизация ПД
- Анонимизация ПД
- Обработка специальных категорий ПД
- Обработка данных несовершеннолетних
- Контролер данных, со-контролеры или отдельные контролеры
- Процессор данных
- Распределение ответственности между контролером и процессором
- Правило информирования и прозрачности
- Правило ограничения целью
- Правило минимизации данных
- Правило ограничения срока хранения ПД
- Правило точности ПД
- Правило целостности и конфиденциальности ПД
- Правило подотчетности (документирования) защиты ПД
- Представитель компании в ЕС
- Инспектор по защите персональных данных (Data Protection Officer / DPO)
Программа основана на body of knowledge международной сертификации CIPP/E с учетом специфики СНГ, а именно необходимости углубленного рассмотрения:
📎 трансграничной передачи,
📎 территории действия GDPR,
📎 особенностей национального регулирования России, Беларуси, Украины.
Этот курс позволяет ответить на 80% задач и вопросов по GDPR и сэкономить на внешних консультантах.
GDPR Data Privacy Manager
Курс предназначен для людей, которые ранее прошли основной курс GDPR Data Privacy Professional (GDPR DPP), и представляет собой практическую подготовку по формированию и сопровождению полноценной системы защиты персональных данных.
Программа курса:
- Реализация принципа подотчетности (accountability) по GDPR
- Обзор стандартов семейства ISO 27000
ISO 27001 и ISO 27701 - Nymity Privacy Management Accountability Framework
- NIST Privacy Framework
- AICPA/CICA Privacy Maturity Model
- Анализ информационных активов, бизнес-потребностей, а также нормативных и контрактных требований.
- Организационная структура, занимающаяся защитой персональных данных
- Потребности и ожидания заинтересованных лиц
- Охват программы информационной приватностью
- Модели руководства программой защиты персональных данных (Governance Models)
- Nymity Accountability Status Workbook
- Nymity Data Privacy Accountability Scorecard
- Оценка и обработка рисков для информационной приватности
- Выбор и внедрение контролей
- Внутренние инструкции
- Виды политик
- Процессный подход
- Реестр обработок
- Data Protection Impact Assessment (DPIA)
- Оценка процессоров (вендоров)
- Обработка запросов субъектов персональных данных (DSARs)
- Уведомления о нарушения безопасности персональных данных (data breach notification)
- Поддержка руководства и других стейкхолдеров
- Матрица ролей и ответственности по внедрению GDPR
- Распределение обязанностей по RACI Chart
- Команда по защите персональных данных (Privacy team)
- Data Protection Officer
- Условия сбора и обработки данных
- Обязательства перед субъектами данных
- Спроектированная приватность и приватность по умолчанию
- Обмен, передача и раскрытие персональных данных
- Определение необходимых ресурсов и их выделение
- Приобретение и поддержание компетенций
- Повышение осведомленности
- Внутренняя коммуникация
- Внешняя коммуникация
- Мониторинг, измерение, анализ и оценка деятельности
- Аудит, его этапы и виды
- Несоответствие и корректирующее действие
GDPR Data Privacy Technologist
Курс освещает основные аспекты обеспечения приватности данных в IT-продуктах и сервисах. Он направлен на построение процессов защиты персональных данных при разработке, использовании IT-решений. Это обучение доступно только в записи.
Программа курса:
- Связь между приватностью и безопасностью
- Что такое безопасность информации
- Как оцениваются риски безопасности информации
- Что такое приватность
- Как оцениваются риски приватности (Taxonomy of Privacy)
- Разбор инцидентов: что нарушено – безопасность или приватность
- Сходства и различия подходов в обеспечении безопасности и приватности
- Краткий экскурс в историю европейского законодательства
- Технические требования по защите приватности в GDPR
- Технические требования по защите приватности в ePrivacy Directive
- Защита приватности в США
- Защита приватности в прочих странах
- Тенденции в сфере защиты приватности (плохие и хорошие новости)
- Физическая сетевая среда (Ethernet, оптика, Wi-Fi, Bluetooth)
TCP/IP (адресация узлов, адреса и порты) - Основные сетевые протоколы
- Базы данных и SQL-серверы
- Active Directory и Single Sign-On
SSO, SAML и службы федерации AD - Симметричная и несимметричная криптография, безопасные протоколы
- Облачные системы и сервисы
- Информационная инфраструктура организации: информационные системы, локальные и глобальные сети, облачные системы
- Риски информационных систем (разбор SQL-инъекций и XSS-атак, OWASP и пр.)
- Как защитить информационные системы
- Риски локальных сетей (сетевые атаки, вирусное заражение, ботнеты и пр.)
- Как защитить локальные сети
- Риски глобальных сетей (перехват трафика, утрата мобильных устройств и пр.)
- Как защитить глобальные сети
- Риски облачных систем (несанкционированный доступ к информации и пр.)
- Как защитить облачные системы
- Примеры архитектуры защищённых систем
- Компоненты организации (департаменты, клиенты, удалённые пользователи, субконтракторы, поставщики)
- Риски производства на примере software development
- Риски отдела маркетинга и продаж
- Риски отдела рекрутинга
- Риски HR и администрации
- Риски остальных отделов (бухгалтерия и финансы, юридический отдел, IT)
- Риски удалённых пользователей, удалённых сотрудников и филиалов (включая BYOD)
- Риски субконтракторов и поставщиков
- Collection (сбор)
- Use (использование)
- Disclosure (раскрытие)
- Retention (время жизни)
- Destruction (уничтожение)
- Privacy by Design
- Data protection by Design and by Default (с примерами)
- Что такое State of the Art
- State of the Art на практике (за что фирму оштрафовали на 660K евро)
- Privacy enhancing technologies (PETs)
- OWASP Top 10 Privacy Risks 2015
- Как доказать клиентам GDPR compliance вашей организации
- Nymity Privacy Management Accountability Framework
- Стандарт ISO/IEC 27001:2013
- Стандарт ISO/IEC 27701:2019
- Что выбрать?
- Cookies и трекинг в Интернете
- Онлайн-реклама
- Кнопки социальных сетей
- Микротаргетинг
- Устройства IoT (пример Amazon Ring)
- RFID, Wi-Fi, Bluetooth, NFC
- Биометрия
- Видеонаблюдение и распознавание лиц
Консалтинг
Решение обратиться к консультанту особенно актуально при сжатых сроках и отсутствии права на ошибку. Он гарантирует правильность действий и даст вам их четкое обоснование. Если обратиться к консультантам Data Privacy Office, то они еще и сделают это с учетом вашего бизнеса, а также имеющихся ресурсов и процессов.
Клиенты Data Privacy Office зачастую заказывают комплексные продукты вроде GDPR Roadmap или Аутсорс DPO. Речь о них пойдет чуть ниже. Но некоторые выбирают отдельные услуги по GDPR (Аудит соответствия GDPR, Аудит политики приватности, Проведение DPIA, Консалтинг по национальным законам, Реестр персональных данных).
Внедрение GDPR Roadmap
Программа системного внедрения защиты персональных данных по международному стандарту ISO 27701. Подходит и IT-стартапам, и крупным банкам, и финтех-компаниям. Это возможность делегировать нам координацию проекта по приведению вашего бизнеса к GDPR-Compliance. Мы используем собственную методику “GDPR Roadmap” для быстрой постановки защиты персональных данных в молодых компаниях, которые пока не могут похвастаться выстроенными процессами.
Этапы внедрения:
- Формирование privacy team (рабочей группы) для имплементации и ее обучение на основе body of knowledge международной сертификации CIPP/E;
- Определение пробелов и болевых точек, которые находятся под действием GDPR;
- Подбор и планирование подходящих мероприятий по ISO27701 и их приоритизация;
- Оценка ресурсов на реализацию GDPR Roadmap;
- Создание action plan проекта внедрения системы защиты приватности;
- Внедрение GDPR в процессы по принципу: исключение нарушений GDPR, не мешая осуществлению бизнес-целей.
Внедрение GDPR Roadmap
Компания получает опытного и компетентного специалиста, который способен оперативно и правильно решать вопросы по GDPR и – что не менее важно – нести за них ответственность.
Эксперт Data Privacy Office становится вашей защитой от надзорного органа:
- Ведение коммуникации и консультация коллег по любым прайваси-вопросам;
- Координация работы над защитой персональных данных;
- Рассмотрение обращений субъектов персональных данных;
- Анализ несоответствий требованиям Регламента;
- Коммуникация с надзорными органами в любой стране ЕС и СНГ;
- Внедрение GDPR в процессы по принципу: исключение нарушений GDPR, не мешая осуществлению бизнес-целей.
- Коммуникация с надзорными органами в любой стране ЕС и СНГ;
- Регулярное обновление внутренних и внешних документов;
- Проведение оценки воздействия на защиту персональных данных (DPIA) для рисковых процессов;
- Менеджмент утечек персональных данных и уведомлений субъектов данных и надзорных органов.
Штрафы при невыполнении правил GDPR
Как вы могли понять, General Data Protection Regulation – это серьезный нормативный правовой акт прямого действия, нарушение которого предусматривает серьезные санкции. Европейский Союз, стремясь гарантировать защиту персональных данных, установил достаточно суровые штрафы.
За нарушение Регламента предусмотрены штрафы в размерах до EUR 10 000 000 либо до EUR 20 000 000: величина варьируется в зависимости от статьи GDPR. Если оборот компании больше полмиллиарда евро, то максимальный штраф считается в процентах от мирового оборота за прошлый год: от 2% до 4%. Санкции устанавливает ст. 83 GDPR.
Важно еще то, что надзорные органы имеют право налагать административные штрафы как на контролеров, так и на процессоров данных. Штрафы могут идти вместо либо вместе с другими мерами, предписанными надзорными органами.
Топ-6 самых больших штрафа за время действия Регламента:
01
В январе 2019 года компания Google была оштрафована на 50 млн евро за то, что их политика приватности не соответствовала требованиям GDPR.
Политика была написана на много страниц и на сложным языке, из-за чего пользователи не понимали, как обрабатываются их персональные данные. Кроме того, согласие на обработку персональных данных также не соответствовало Регламенту, поскольку за пользователей уже заранее были проставлены галочки во всех полях.
02
Компания H&M была оштрафована Гамбургским надзорным органом на 35.3 миллионов евро.
Такое решение было принято после того, как шведский масс-маркет бренд проводил мониторинг нескольких сотен своих сотрудников. В данную обработку попали данные о личной жизни работников, которые впоследствии стали доступны по всей компании.
03
Компания TIM (telecommunications operator) была оштрафована надзорным органом Италии на 27.8 миллионов евро.
Компания совершила целый ряд нарушений, в числе которых: отсутствие согласия на маркетинговую деятельность, обращение к субъектам данных, которые просили не связываться с маркетинговыми предложениями, недействительные согласия, собранные в приложениях TIM, отсутствие надлежащих мер безопасности для защиты персональных данных, отсутствие четких сроков хранения данных.
04
В июле 2018 года авиакомпания British Airways получила штраф в размере 22 миллиона евро за отсутствие надлежащих технических мер информационной безопасности по ст. 32 GDPR.
05
Сеть отелей Marriott International, Inc оштрафовали на 20,5 миллионов евро.
В 2016 году Marriott поглотила другую группу компаний, которая тоже была связана с отельным бизнесом. Позже выяснилось, что с 2014-го у этой группы компаний была серьезная уязвимость в системе защиты информации. В Marriott о ней узнали только в 2018 году, уже после утечки. Она коснулась 339 миллионов пользователей. Среди информации оказались банковские сведения и другие персональные данные.
06
Amazon был оштрафован на 746 000 000 евро.
Управление по защите данных Люксембурга (CNPD) оштрафовало Amazon на рекордные 746 миллионов евро в результате 19 страничной жалобы от французской группы по защите приватности «La Quadrature du Net» в 2018 году. В жалобе от имени более чем 10 000 потребителей указано, что Amazon манипулирует клиентами в коммерческих целях, выбирая, какую рекламу и информацию они получают.
Эти пять случаев только подтверждают слова о важности соблюдения Регламента. Внедрять GDPR обычно намного выгоднее для компании, чем действовать по принципу “а вдруг пронесет”. Надзорные органы обычно обнаруживают нарушения благодаря недовольным клиентам, СМИ, блогерам, недовольным бывшим сотрудникам и т.д. Кроме этого, приватность становится маркетинговым дифференциатором для новых брендов и привлекает клиентов. Наконец, навести порядок у себя в системах и поставить процессы – задача, с которой рано или поздно столкнется любой бизнес, стремящийся к успеху.
Надеемся, эта статья оказалась вам полезна. Теперь вы понимаете основные правила GDPR и то, как с ними работать. Однако, если вам будет тяжело справиться своими силами, то вы всегда можете обратиться за помощью к нашим экспертам. Это станет вложением в будущее вашей компании, а также конкурентным преимуществом на рынке уже сейчас. Так, будучи GDPR-Compliant вы заработаете доверие и уважение со стороны клиентов и партнеров, что несомненно является ценным ресурсом для любого бизнеса.