Главная
Публикации

Общий регламент о защите данных, или ещё один закон-подстава

Общий регламент о защите данных, или ещё один закон-подстава


25 мая 2018 года на всей территории Европейского союза вступит в силу  Общий регламент о защите данных (General Data Protection Regulation - GDPR), выдвигающий новые требования к защите личных данных клиентов, партнеров и сотрудников предприятий.

Регламент коснется предприятий Латвии, которые имеют персональные данные клиентов, партнеров или сотрудников – то есть абсолютно всех. Неважно, в какой сфере занято предприятие, сколько у него сотрудников и клиентов. Важно только то, что если у компании есть хоть какая-то информация с личными данными, то оно автоматически попадает под действие нового регламента.

Даже если предприятие не обслуживает клиентов напрямую, но оно все равно, как минимум, хранит информацию о своих сотрудниках, и это тоже - личные данные.

Или, например, у предприятия есть клиенты - юридические лица. Казалось бы, при чем тут GDPR? Однако юридические компании представляют вполне конкретные физические лица, у которых есть личные персональные данные, и здесь мы снова попадаем под действие регламента.

Персональные данные — это любая информация, с помощью которой прямо или косвенно можно идентифицировать человека. К ней относится имя, данные о местоположении, онлайн идентификатор или факторы характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица. Определение достаточно широкое и из него вытекает, что даже IP адреса могут быть персональными данными. 

Персональные данные – это “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.

Основные принципы обработки персональных данных, отражённые в новом законе:

  1. Законность, справедливость и прозрачность. Персональные данные должны обрабатываться в соответствии с этим. Информация о целях, методах и объёмах их обработки должна быть простая и доступная.

  2. Минимизация данных. Нельзя собирать данные в большем объёме, чем это необходимо для целей обработки. 

  3. Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).

  4. Ограничение цели. Данные должны собираться и использоваться только в тех целях, которые заявлены компанией. 

  5. Ограничение хранения. Данные должны храниться не дольше, чем это необходимо для целей обработки, и в форме, которая позволяет идентифицировать субъекты данных.

  6. Целостность и конфиденциальность. При обработке персональных данных компания обязана обеспечить их защиту от несанкционированной или незаконной обработки, уничтожения и повреждения. 


Основные требования к обработке персональных данных:

  1. Уведомление о случаях нарушения. Компании обязаны уведомлять регулирующие   органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.

    Например, хакерская атака на Uber. Uber сообщил прессе, что хакеры    получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы уже действовал GDPR, то избежать штрафа в размере 4% от годового оборота было бы невозможно.

  2. Права субъекта данных (физического лица). Любой гражданин имеет право на информацию о том, кем и с какой целью его данные используются, хранятся и обрабатываются, как долго они хранятся, и какие у него есть права в том случае, если он захочет получить доступ к ним, удалить свои данные или изменить их.

    По новому регулированию, полученные CV нужно будет правильно хранить. Компания должна будет получить от претендентов согласие на хранение анкет, и просить претендентов указывать - как долго можно хранить их CV, а также сообщать о праве работника стереть анкету из базы данных предприятия по первому же его требованию.

  3. Право на переносимость данных. По требованию самого субъекта персональных данных компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании. 

  4. Согласие на обработку. Установлены высокие требования к форме получения согласия на обработку данных:

  • согласие должно быть выражено в форме утверждения или в форме четких активных действий пользователя

  • согласие будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя

  • если пользователь дал согласие на обработку своих персональных данных, компания должна иметь возможность продемонстрировать это

  • согласие не может быть выражено в виде молчания или бездействия пользователя - информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

Можно не соглашаться или возмущаться, но этот закон уже принят. Внедрение новых требований обязательно для всех и «соскочить» не удастся никому, это только вопрос времени. Проверки выполнения требований этого закона начнутся после 25 мая. Штрафы за невыполнения его требований весьма велики: до 20 млн. евро или до 4% годового дохода. Да, да – именно так.

Уже в определённых кругах радостно потирают руки от ожидания новых возможностей заработать или просто «урвать» о-о-очень большие деньги.

Что необходимо сделать каждой организации:

  1. Провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR.

  2. Пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений своих сайтов и онлайн-сервисов.

  3. Разработать внутреннюю политику защиты данных, обучить персонал, провести проверки деятельности по обработке данных.

  4. Разработать и внедрить систему защиты персональных данных и вести документацию по процессам обработки, внедрить меры по встроенной системе конфиденциальности.

  5. Назначить сотрудника, ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).
Кажется, сложно и непонятно, но всё не так страшно. Пакет документов достаточно типовой, то есть легко адаптируется к большинству организаций. Нужно просто иметь набор документов, описывающий то, что и так делается в соответствие со здравым смыслом, плюс ограничения в доступе и защита персональных данных.

И любая организация сама вполне может разработать такую систему. Но, если вы считаете, что этим должны заниматься «специально обученные люди», то мы ждём Вас. Телефон не изменился.

Нас выбрали