Инга Петрико, юрисконсульт облачного провайдера ActiveCloud, поделилась полезной информацией о том, что представляет собой европейский регламент GDPR, каковы основные принципы регламента и сфера применения в Беларуси, как внедрить регламент, и какие штрафы возможны при его несоблюдении?
GDPR:
Персональные данные (ПДн) – это любая информация, относящаяся к «субъекту данных», то есть идентифицированному (напр., ФИО, паспортные данные и т.д.) или поддающемуся идентификации (напр., IP адрес, местонахождения, имя (без фамилии) и т.д.) физическому лицу.
Территориальное действие GDPR:
Принципы GDPR:
1. Законность, справедливость, прозрачность:
- должны быть основания для обработки персональных данных (напр., согласие, договор и т.д.);
- прозрачно донести до субъекта данных то, что их ПДн собираются, используются, просматриваются или иным образом обрабатываются, а также то, в каком объеме персональные данные обрабатываются или будут обрабатываться (напр., Privacy policy).
2. Ограничения по целям использования:
- ПДн должны собираться для конкретных, отчетливых и законных целей (напр., в целях обновления продукта соглашаюсь на получение уведомлений о выходе новых версий);
- ПДн не должны обрабатываться для других целей (напр., можно рассылать уведомления о выходе новых версий, но нельзя передавать ПДн субъекта своим партнерам).
3. Минимизация данных:
- ПДн должны собираться только в том объеме, в каком это необходимо для достижения целей (напр., для доставки товара курьером необязательно собирать данные о семейном положении субъекта данных).
4. Точность:
- ПДн должны быть точными и при необходимости поддерживаться в актуальном состоянии;
- необходимо принять все разумные меры, чтобы ПДн, которые являются неточными были немедленно удалены либо уточнены.
5. Ограничения по срокам хранения:
- объявить субъекту ПДн, в течение какого срока будут храниться данные (напр., один год с момента получения данных либо в течение срока оказания услуг);
- ПДн субъектов данных должны храниться не дольше, чем это необходимо для целей, для которых они обрабатываются (адекватный срок);
6. Целостность и конфиденциальность:
- ПДн должны обрабатываться способом, обеспечивающим соответствующую безопасность ПДн, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения, с помощью соответствующих технических и организационных мер.
7. Подотчетность:
- контроллер должен соблюдать вышеуказанные принципы;
- должен быть в состоянии продемонстрировать соблюдение принципов.
Права субъектов персональных данных:
1. Право субъекта ПДн на доступ к своим данным.
2. Право субъекта ПДн на уточнение данных.
3. Право субъекта ПДн на удаление данных (право быть забытым).
4. Право субъекта ПДн на ограничение обработки данных.
5. Право субъекта ПДн на переносимость данных.
6. Право субъекта ПДн на возражение против обработки данных.
Штрафы за несоблюдение GDPR:
Часто задаваемые вопросы:
1. Применим ли GDPR к белорусским компаниям?
GDPR имеет экстерриториальное действие и применяется к обработке персональных данных субъектов ЕС (привязки к гражданству нет) белорусскими компаниями, если обработка таких данных связана с:
a) предложением товаров/услуг субъектам ЕС, независимо от того, требуется от них оплата или нет;
b) мониторингом поведения на территории ЕС.
2. Есть ли практика по наложению штрафов за несоблюдение GDPR белорусскими/российскими компаниям?
Пока таких штрафов нет, однако не стоит забывать про репутационные риски и про то, что если вы ориентированы на ЕС и не соблюдете GDPR, то субъекты из ЕС просто не будут с вами работать.
3. Можно ли, чтобы DPO был на аутсорсинге?
Да, можно. Data Protection Officer может быть, как внутренним, так и внешним лицом.
4. Что делать с персональными данными, которые были получены до вступления в силу GDPR?
Проанализировать все персональные данные, которые были получены до вступления GDPR в силу, выяснить есть ли законные основания для обработки таких данных. Если оснований нет – получить такое основание (напр., заключить договор либо получить согласие субъекта) либо удалить персональные данные субъектов.
5. Какие обязательные условия должны быть изложены в Privacy Policy?
Субъекту данных должна быть предоставлена следующая информация: наименование и контактные данные компании, при необходимости представителя, DPO; цели, для которых обрабатываются персональные данные, кому передаются персональные данные, передаются ли данные в третьи страны или международные организации, срок хранения персональных данных, права субъектов, в том числе право подачи жалобы в надзорный орган и т.д. Нужно стремиться к тому, чтобы описать максимально все, что вы делаете с персональными данными, чтобы у субъекта возникало как можно меньше вопросов.
6. Кому нужно назначать представителя в ЕС?
Для контролера или процессора, не осуществляющего в ЕС реальную деятельность через постоянную структуру, но предлагающего товары/услуги для ЕС или ведущего мониторинг поведения в ЕС.
Назначение представителя не распространяется на:
а. обработку, которая носит нерегулярный характер, не включает, в большом масштабе, обработку особых категорий данных или обработку персональных данных, относящимся к уголовным приговорам и преступлениям, и которая с малой долей вероятности может привести к риску для прав и свобод физических лиц с учетом характера, контекста, масштаба и целей обработки;
b. государственные органы или учреждения.
Если у вас возникли вопросы, обращайтесь за консультацией к нашим экспертам по информационной безопасности и защите персональных данных.