Защита персональных данных в соответствии с GDPR

GDPR устанавливает подробные требования к компаниям и организациям по сбору, хранению и управлению персональными данными. Это касается как европейских организаций, которые обрабатывают персональные данные физических лиц в ЕС, так и организаций за пределами ЕС, которые нацелены на людей, живущих в ЕС.

Когда применяется Общий регламент по защите данных (GDPR)?

GDPR применяется, если:

• ваша компания обрабатывает персональные данные и находится в ЕС, независимо от того, где происходит фактическая обработка данных
• ваша компания учреждена за пределами ЕС, но обрабатывает персональные данные в связи с предложением товаров или услуг физическим лицам в ЕС или отслеживает поведение физических лиц на территории ЕС

Предприятия, находящиеся за пределами ЕС, обрабатывающие данные граждан ЕС, должны назначить представителя в ЕС.

Когда Общий регламент по защите данных (GDPR) не применяется?

GDPR не применяется, если:

• субъект данных мертв
• субъект данных является юридическим лицом
• обработка осуществляется лицом, действующим в целях, выходящих за рамки его торговли, бизнеса или профессии.

Что такое персональные данные?

Персональные данные — это любая информация об идентифицированном или идентифицируемом лице, также известном как субъект данных. Персональные данные включают в себя такую информацию, как:

• имя
• адрес
• Номер удостоверения личности/паспорта
• доход
• культурный профиль
• Адрес интернет-протокола (IP)
• данные, хранящиеся в больнице или у врача (которые однозначно идентифицируют человека в медицинских целях).

Специальные категории данных

Вы не имеете права обрабатывать персональные данные о чьих-либо:

• расовое или этническое происхождение
• сексуальная ориентация
• политические взгляды
• религиозные или философские убеждения
• членство в профсоюзе
• генетические, биометрические данные или данные о здоровье, за исключением особых случаев (например, когда вам было дано явное согласие или когда обработка необходима по причинам существенного общественного интереса на основании законодательства ЕС или национального законодательства)
• персональные данные, связанные с уголовными судимостями и правонарушениями, если это не разрешено законодательством ЕС или национальным законодательством.

Кто обрабатывает персональные данные?

Во время обработки персональные данные могут проходить через различные компании или организации. В рамках этого цикла существует два основных профиля, связанных с обработкой персональных данных:

• Контроллер данных – решает цель и способ обработки персональных данных.
• Обработчик данных – хранит и обрабатывает данные от имени контролера данных.

Кто контролирует обработку персональных данных внутри компании?

Уполномоченный по защите данных (DPO), который может быть назначен компанией, отвечает за мониторинг обработки персональных данных, а также за информирование и консультирование сотрудников, обрабатывающих персональные данные, об их обязанностях. DPO также сотрудничает с Управлением по защите данных (DPA), выступая в качестве контактного лица с DPA и отдельными лицами.

Когда следует назначить ответственного за защиту данных?

Ваша компания обязана назначить DPO, если:

• вы регулярно или систематически отслеживаете отдельных лиц или обрабатываете особые категории данных
• данная обработка является основной деятельностью
• вы обрабатываете данные в больших масштабах.

Например, если вы обрабатываете персональные данные для таргетированной рекламы через поисковые системы на основе поведения людей в Интернете, вам необходимо иметь DPO. Однако если вы отправляете своим клиентам рекламные материалы только один раз в год, вам не понадобится DPO. Аналогично, если вы врач, который собирает данные о здоровье пациентов, DPO, вероятно, не понадобится. А вот если вы обрабатываете персональные данные по генетике и здоровью для больницы, то DPO потребуется.

DPO может быть штатным сотрудником вашей организации или может быть нанят внешним подрядчиком на основе сервисного контакта. DPO может быть физическим лицом или частью организации.

Обработка данных для другой компании

Контроллер данных может использовать только того обработчика данных, который предлагает достаточные гарантии; они должны быть включены в письменный договор между участвующими сторонами. Контракт также должен содержать ряд обязательных положений, например, что обработчик данных будет обрабатывать персональные данные только по указанию контролера данных.

Передача данных за пределы ЕС

Когда персональные данные передаются за пределы ЕС, защита, обеспечиваемая GDPR, должна распространяться вместе с данными. Это означает, что если вы экспортируете данные за границу, ваша компания должна обеспечить соблюдение одной из следующих мер:

• Защита страны, не входящей в ЕС, считается ЕС адекватной.
• Ваша компания принимает необходимые меры для обеспечения соответствующих гарантий, например, включает конкретные положения в согласованный контракт с неевропейским импортером персональных данных.
• Ваша компания полагается на конкретные основания для передачи (отмены), такие как согласие физического лица.

Когда разрешена обработка данных?

Правила защиты данных ЕС означают, что вы должны обрабатывать данные справедливым и законным образом для определенной и законной цели и обрабатывать только те данные, которые необходимы для достижения этой цели. Вы должны убедиться, что выполняете одно из следующих условий для обработки персональных данных:

• было дано согласие заинтересованного лица
• личные данные необходимы для выполнения договорных обязательств с физическим лицом
• личные данные нужны для выполнения юридического обязательства
• персональные данные нужны для защиты жизненно важных интересов человека
• персональные данные обрабатываются для выполнения задачи в интересах общественности
• действуют в законных интересах вашей компании, при условии, что основные права и свободы человека, чьи данные обрабатываются, серьезно не затрагиваются. Если права человека преобладают над интересами вашей компании, вы не можете обрабатывать персональные данные.

Согласие на обработку данных – согласие

GDPR применяет строгие правила обработки данных на основании согласия. Цель этих правил состоит в том, чтобы гарантировать, что человек понимает, на что он или она соглашается. Это означает, что согласие должно быть добровольным, конкретным, информированным и недвусмысленным в форме запроса, изложенного ясным и понятным языком. Согласие должно быть дано посредством утвердительного действия, например, путем установки флажка онлайн или подписания формы.

Когда кто-то дает согласие на обработку своих персональных данных, вы можете обрабатывать данные только для тех целей, для которых было дано согласие. Вы также должны предоставить им возможность отозвать свое согласие.

Предоставление прозрачной информации

Вы должны четко предоставить лицам информацию о том, кто и почему обрабатывает их персональные данные. Как минимум, должно быть включено следующее:

• кто вы
• почему вы обрабатываете персональные данные
• какова правовая основа
• кто получит данные (если применимо)

В некоторых случаях в предоставленной вами информации также должно быть указано:

• контактную информацию Уполномоченного по защите данных (DPO), когда это применимо.
• какой законный интерес преследует компания, когда вы полагаетесь на это правовое основание для обработки персональных данных
• меры, применяемые для передачи данных в страну за пределами ЕС
• как долго данные будут храниться
• права человека на защиту данных (т. е. право на доступ, исправление, удаление, ограничение, возражение, переносимость и т. д.)
• как согласие может быть отозвано (когда согласие является юридическим основанием для обработки)
• существует ли законодательное или договорное обязательство по предоставлению данных
• в случае автоматизированного принятия решения – информация о логике, значении и последствиях решения

Вы должны представить эту информацию ясным и простым языком.

Особые правила для детей

Если вы собираете персональные данные ребенка на основании согласия, например, используя учетную запись в социальной сети или учетную запись для загрузки, вы должны сначала получить согласие родителей, например, отправив уведомление родителю или опекуну. Возраст, до которого человек считается ребенком, различается в зависимости от места проживания и составляет от 13 до 16 лет.

Право на доступ и право на переносимость данных

Вы должны обеспечить, чтобы люди имели право на бесплатный доступ к своим личным данным. Если вы получили такой запрос, вам необходимо:

• сообщите им, обрабатываете ли вы их личные данные
• сообщить им об обработке (цель обработки, категории соответствующих персональных данных, получатели их данных и т. д.)
• предоставить им копию обрабатываемых персональных данных (в доступном формате)

Если обработка основана на согласии или договоре, физическое лицо также может попросить вас вернуть ему его персональные данные или передать их другой компании. Это известно как право на переносимость данных. Вы должны предоставить данные в широко используемом и машиночитаемом формате.

Право на исправление и право на возражение

Если человек считает, что его персональные данные неверны, неполны или неточны, он имеет право на их исправление или дополнение без неоправданной задержки.

В этом случае вам следует уведомить всех получателей данных, если какие-либо личные данные, которыми вы с ними поделились, были изменены или удалены. Если какие-либо личные данные, которыми вы поделились, были неверными, вам также, возможно, придется сообщить об этом любому, кто их видел (если только это не считается требующим непропорциональных усилий).

Физическое лицо также может в любое время возразить против обработки своих персональных данных для конкретного использования, когда ваша компания обрабатывает их на основании вашего законного интереса или для выполнения задачи в общественных интересах. Если у вас нет законного интереса, который преобладает над интересами отдельного лица, вы должны прекратить обработку персональных данных.

Аналогичным образом, человек может попросить ограничить обработку его персональных данных, пока не будет установлено, преобладает ли ваш законный интерес над его интересом. Однако в случае прямого маркетинга вы всегда обязаны прекратить обработку персональных данных по запросу человека.

Право на удаление (право на забвение)

В некоторых случаях человек может попросить контролера данных удалить его персональные данные, например, если данные больше не нужны для достижения цели обработки. Однако ваша компания не обязана это делать, если:

• обработка необходима для уважения свободы выражения мнений и информации
• вы должны хранить персональные данные для соблюдения юридического обязательства
• существуют другие причины общественного интереса к хранению персональных данных, например, цели общественного здравоохранения или научных и исторических исследований.
• вам необходимо сохранить персональные данные для предъявления юридического иска

Автоматизированное принятие решений и профилирование

Физические лица имеют право не подчиняться решению, основанному исключительно на автоматизированной обработке. Однако из этого правила есть некоторые исключения, например, когда они дали свое явное согласие на автоматическое решение. За исключением случаев, когда автоматизированное решение основано на законе, ваша компания должна:

• информировать человека об автоматизированном принятии решений
• дать человеку право на рассмотрение автоматизированного решения человеком
• дать человеку возможность оспорить автоматическое решение

Например, если банк автоматизирует принятие решения о том, выдавать ли кредит определенному лицу, это лицо должно быть проинформировано об автоматизированном решении и иметь возможность оспорить это решение и потребовать вмешательства человека.

Утечки данных – предоставление надлежащего уведомления

Нарушение данных – это когда персональные данные, за которые вы несете ответственность, случайно или незаконно раскрываются неавторизованным получателям, либо становятся временно недоступными, либо изменяются.

Если утечка данных все же произошла и представляет угрозу правам и свободам личности, вы должны уведомить об этом свой орган по защите данных в течение 72 часов после того, как вам стало известно об утечке.

В зависимости от того, представляет ли утечка данных высокий риск для пострадавших, от вашей компании также может потребоваться проинформировать всех затронутых лиц.

Отвечаем на запросы

Если ваша компания получает запрос от физического лица, желающего воспользоваться своими правами, вы должны ответить на этот запрос без неоправданной задержки и в любом случае в течение 1 месяца с момента получения запроса. Этот срок ответа может быть продлен на 2 месяца для сложных или множественных запросов при условии, что лицо будет проинформировано о продлении. Запросы должны рассматриваться бесплатно.

Если запрос отклонен, вы должны сообщить лицу о причинах этого и о его праве подать жалобу в Орган по защите данных.

Оценка воздействия

Проведение оценки воздействия на защиту данных (DPIA) является обязательным во всех случаях, когда предполагаемая обработка может представлять высокий риск для прав и свобод отдельных лиц, например, при использовании новых технологий.

Существует такой высокий риск, когда:

• для оценки отдельных лиц используются автоматизированные механизмы обработки и профилирования.
• общедоступная зона контролируется в больших масштабах (например, система видеонаблюдения)
• специальные категории данных или персональные данные, связанные с уголовными судимостями и правонарушениями, обрабатываются в больших масштабах (например, данные о здоровье)

Примечание. Органы по защите данных также могут рассматривать другие категории обработки данных как высокий риск.

Если меры, указанные в DPIA, не могут устранить все выявленные высокие риски, необходимо проконсультироваться с Органом по защите данных, прежде чем начнется запланированная обработка данных.

Ведение записи

Вы должны быть в состоянии доказать, что ваша компания действует в соответствии с GDPR и выполняет все применимые обязательства — в частности, по запросу или проверке со стороны Органа по защите данных.

Один из способов сделать это — вести подробный учет таких вещей, как:

• название и контактные данные вашей компании, участвующей в обработке данных
• причина(ы) обработки персональных данных
• описание категорий физических лиц, предоставляющих персональные данные
• категории организаций, получающих персональные данные
• передача персональных данных в другую страну или организацию
• срок хранения персональных данных
• описание мер безопасности, используемых при обработке персональных данных

Ваша компания также должна поддерживать и регулярно обновлять письменные процедуры и инструкции и доводить их до сведения своих сотрудников.

Если ваша компания представляет собой МСП или меньше, вам не нужно вести учет вашей деятельности по обработке, если она:

• не делаются регулярно
• они не затрагивают права и свободы вовлеченных лиц
• не иметь дело с конфиденциальными данными или судимостями

Защита данных по замыслу и по умолчанию

Задуманная защита данных означает, что ваша компания должна учитывать защиту данных на ранних этапах планирования нового способа обработки персональных данных. В соответствии с этим принципом контролер данных должен предпринять все необходимые технические и организационные шаги для реализации принципов защиты данных и защиты прав физических лиц. Эти шаги могут включать, например, использование псевдонимизации.

Защита данных по умолчанию означает, что ваша компания всегда должна устанавливать наиболее безопасную для конфиденциальности настройку по умолчанию. Например, если возможны две настройки конфиденциальности, и одна из настроек запрещает доступ к личным данным другим лицам, ее следует использовать в качестве настройки по умолчанию.

Нарушение правил и штрафы

Несоблюдение GDPR может привести к значительным штрафам в размере до 20 миллионов евро или 4 % от мирового оборота вашей компании за определенные нарушения. Орган по защите данных может ввести дополнительные корректирующие меры, например, приказать вам прекратить обработку персональных данных.