17 сентября 2018
GDPR: заблуждения и реальность
Новый регламент Европейского союза о защите персональных данных (General Data Protection Regulation, GDPR), вступивший в силу 25 мая 2018 года, значительно повлиял на организацию обработки и защиты персональных данных не только компаний, учреждённых в ЕС. За счет экстерриториального действия в сферу влияния регламента попадает немалое количество компаний, базирующихся на территории нашей страны. Сам закон разработан для защиты персональных данных жителей и резидентов ЕС, а также для того, чтобы владельцам персональных данных было проще осуществлять контроль за своими данными.
Основными принципами в работе с персональными данными, которых должны придерживаться компании, попадающие под действие GDPR, являются:
- законность, справедливость и прозрачность процесса обработки;
- обеспечение целостности и конфиденциальности данных;
- обеспечение точности обрабатываемых данных;
- определение конкретных, ясных и законных целей;
- ограничение сроков хранения;
- минимизация данных.
И если с этими принципами уже ознакомилось большинство обработчиков персональных данных, то некоторые частные вопросы до сих пор вызывают сомнения у бизнеса. Мы решили внести ясность и разобрать наиболее популярные тезисы, определив, какие из них действительно соответствуют реальности, а какие являются заблуждениями.
Тезис 1. При обработке данных хотя бы одного гражданина Евросоюза организация должна соответствовать требованиям и соблюдать правила GDPR. — Заблуждение.
В действительности все определяет не количество жителей ЕС, чьи данные обрабатываются, а род деятельности компании и аудитория, на которую она нацелена. Если в деятельности компании периодически мелькают данные жителей ЕС, а обработка этих данных не является самой целью, то такая обработка не попадает под влияние регламента.
Другое дело, когда обработка персональных данных осуществляется с целью предоставления услуг, оплата которых может производиться в одной из валют государств-членов ЕС. Тогда даже незначительное количество обработанных данных вынуждает соблюдать прописанные в регламенте требования.
Тезис 2. Предоставление услуг и товаров через интернет, нацеленное на европейский рынок, обязывает действовать в рамках GDPR. — Реальность.
В соответствии с ч. 2, ст. 3 любая маркетинговая деятельность, в том числе продажи и предоставление услуг в интернет-магазинах, в которых целевой аудиторией являются жители ЕС, регулируется требованиями регламента. Чтобы разобраться с тем, входят ли жители ЕС в целевую аудиторию достаточно ответить на два простых вопроса относительно интернет-ресурса:
- Поддерживается ли ресурсом хотя бы один из официальных языков ЕС?
- Предоставлена ли возможность совершения платежей в одной из валют ЕС?
Если хотя бы один из ответов положительный, интернет-ресурс и компания в целом должны соответствовать требованиям регламента. В таком случае советуем проверить применимость следующих требований на практике:
- Запрос о согласии должен быть представлен способом, который четко отличен от других вопросов в понятной и легкодоступной форме, с использованием ясного и простого языка.
- Субъекту должна быть предоставлена возможность простым способом отозвать данное согласие (примером может служить всем известная галочка о согласии, которая ни в коем случае не должна стоять по умолчанию).
- Потребитель должен быть в четкой и понятной форме проинформирован о целях обработки его персональных данных, как данные будут защищены, и о том, что данные лиц младше 16 лет могут быть обработаны лишь с согласия родителей.
- Если на сайте предусмотрена регистрационная форма для создания аккаунта, то любые поля для ввода персональных данных должны быть редактируемыми, как и должна быть кнопка, с помощью которой аккаунт может быть удален в любое время.
Тезис 3. Получение согласия на обработку персональных данных не обязательно. — Заблуждение.
Актуальность данного заблуждения зашкаливает. И да, согласие на обработку персональных данных все так же необходимо получать, только вот к способу и форме получения согласия не выдвигается жестких требований, как, например, в 152-ФЗ. Достаточно ясно обозначить цели, в соответствии с которыми данные будут обрабатываться. Остается неизменным и то, что согласие должно быть получено, как и факт получения согласия должен быть подтвержден каким-либо способом. Одна очень важная особенность, на которой акцентирует внимание регламент — должен быть подтвержден факт того, что согласие получено на добровольной основе.
Тезис 4. Свобода выбора в реализации защитных мер для соответствия требованиям регламента. — Реальность.
В регламенте используются общие формулировки для обозначения защитных механизмов, что позволяет компаниям действовать не строго по намеченному пути, а дает возможность выбрать подходящие ей защитные меры. Так, например, информация, относящаяся к обработке данных может быть предоставлена в письменной форме, электронной или же устной (при подтверждении личности).
Тезис 5. Все персональные данные должны храниться на территории Евросоюза. — Заблуждение.
В регламенте не установлены требования о территории, на которой должны храниться персональные данные, как на материальных носителях, так и в электронном виде. Соблюдая правила защиты персональных данных по GDPR и обрабатывая их надлежащим образом, вы можете вести базы данных с лицами из стран ЕС в любой другой стране.
Тезис 6. Кодекс поведения и кодекс сертификации подтверждают соответствие GDPR. — Реальность.
При первом рассмотрении регламента может показаться, что требования описаны слишком размыто, и тут же возникает вопрос: «Как привести процесс обработки персональных данных в соответствие регламенту, и, при необходимости, подтвердить это соответствие?».
В самом же регламенте есть ответ на этот вопрос — кодекс сертификации и кодекс поведения. Кодексы разрабатываются при содействии надзорных органов, Европейского Совета по защите данных и Европейской комиссии, затем проходят этапы утверждения на уровне этих же организаций. Те компании, что имеют в своем арсенале утвержденные кодексы поведения и сертификации (и, конечно же, осуществляют обработку и защиту персональных данных соблюдая, эти кодексы) по праву считаются соответствующими регламенту и исполняющими обязательства перед субъектами персональных данных.
Как мы видим, новый регламент о защите персональных данных ЕС оброс слухами, развенчивая которые, приходит понимание того, что его требования направлены на обеспечение защиты персональных данных, а не на усложнение жизни организаций, обрабатывающих эти данные. Этот проект нацелен на улучшение и упрощение взаимодействия не только субъектов данных с организациями, которые обрабатывают их данные, но и организаций с надзорными органами.
С вступлением в силу регламента субъект данных получает больше прав относительно своих данных. Фирмы же обязывают более внимательно относиться к данным, не использовать и не передавать их бесконтрольно. Все это предполагает соблюдение технических и организационных мер защиты. В процессе соответствия компаниям регламенту немаловажную роль играют надзорные органы, содействуя компаниям в реализации предписанных мер, а также в решении спорных вопросов.
Следуя требования GDPR и поддерживая тесный контакт с надзорными органами, компания демонстрирует свою добросовестность и намерения сотрудничества с лицами, проживающими на территории ЕС. Таким организациям доверяют потребители, а другие компании охотно сотрудничают с ними. Если у вас есть вопросы или сомнения по поводу соответствия требованиям европейского регламента о защите персональных данных, вы можете обратиться к нашим опытным специалистам, которые проводят аудит на предмет соответствия GDPR.
Ирина Лапуриди
Специалист по защите информации, Акрибия
Специалист по защите информации, Акрибия
Другие публикации по теме