Рекомендации РКН по GDPR

Рекомендации РКН по GDPR
Пару недель назад РКН выложил на своей странице в ВК большую заметку " Что нужно делать, чтобы избежать санкций по GDPR? ". Это очень удивительно, ведь на официальном сайте ведомства до сих пор про GDPR есть лишь упоминание мнения Жарова  ("В ноябре на VIII Международной конференции [Защита персональных данныхk руководитель Роскомнадзора Александр Жаров отметил, что требования Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России, поскольку Российская Федерация не является участницей международных договоров с ЕС. На них распространяется действие только российских законов в этой сфере в соответствии с общепринятыми международными принципами обработки персональных данных.") и больше ничего...

На мой взгляд, заметка достаточно адекватная, но скорее обзорная, каких-то конкретных рекомендаций в ней нет. Да и не все вопросы освещены, так, например, не упомянули про  разницу между контролерами и процессорами (обработчикам) (ст.24-31), про необходимость хранения записей об обработке (ст.30), про официального представителя в ЕС (ст.27), про вопросы безопасности и концепцию "проектируемой безопасности" (ст.32), про оценку воздействия (DPIA, ст.35, 36). Даже про такие важные моменты, как уведомление об утечках (ст.33-34) и наличию DPO (ст.37-39), сказали лишь мельком. 

Как и многие другие статьи по теме GDPR, авторы пугают штрафами, но почему-то не говорят, что они должны быть "эффективными, соразмерными и оказывать сдерживающее воздействие" (ст.83). Так же не рассказывают про механизм взимания штрафов с российских компаний, находящихся на территории РФ, на мой взгляд, оштрафовать в таком случае практически невозможно...

Аналогично и про область действия GDPR и попадание под его действие российских компаний упомянули без деталей и примеров. Какой-то дополнительной ясности пояснения РКН не принесли. А жаль, хотелось бы...

Ну, так или иначе, заметка РКН достаточно интересная, приведу ее сюда полностью (вдруг удалят):
name="'more'">


Что нужно делать, чтобы избежать санкций по GDPR?

Для того чтобы понять, распространяется ли GDPR на деятельность вашей компании, предлагаем для начала пройти небольшой тест и ответить на следующие вопросы:
  1. Есть ли у компании представительства (филиалы) на территории Европейского Союза?
  2. Обрабатываете ли вы персональные данные граждан стран-участниц Европейского Союза по поручению европейского оператора?
  3. Руководствуетесь ли при осуществлении деятельности по обработке персональных данных законодательством Европейского Союза или страны-участницы Европейского Союза?
  4. Осуществляете ли отдельные виды обработки персональных данных европейских граждан, в частности хранение, накопление, с использованием технических мощностей, находящихся на территории Европейского Союза?
Если вы ответили [даk хотя бы на один вопрос, то с большой вероятностью можно сказать, что на деятельность вашей компании GDPR все же распространяется.

Что делать и что иметь в виду?

I. Проведите аудит информационных потоков вашей компании
Какие персональные данные граждан Европейского Союза вы собираете?

Насколько собираемый объем персональных данных необходим для достижения целей их обработки?

Если есть возможность, минимизируйте либо анонимизируйте обрабатываемый перечень персональных данных.

Конкретные способы анонимизации и определение минимального предела обрабатываемых персональных данных GDPR не установлены и находятся в ведении оператора.
II. Проанализируйте локальную нормативную базу на предмет соответствия вашей деятельности требованиям GDPR
При проведении проверок в отношении компаний ключевое значение имеет состояние нормативной локальной базы. Отсутствие в локальных актах положений о принятии мер по исполнению GDPR существенно осложнит процедуру доказательства их реализации, что в итоге может привести к негативным выводам проверяющих.

Необходимо поддерживать в актуальном состоянии:

документы, определяющие политику компании в отношении обработки персональных данных;
локальные акты по вопросам обработки персональных данных;
положения о порядке и условиях обработки персональных данных в типовых формах и договорных документах.

Ограничений в части отдельной регламентации обработки персональных данных европейцев на локальном уровне сегодня нет. Можно издать как один общий документ, так и отдельные локальные акты по каждому представительству или по каждой стране Европейского Союза, на территории которой осуществляется ваша деятельность, подпадающая под действие GDPR. При этом, последний вариант представляется наиболее удобным при взаимодействии с местными уполномоченными органами.

III. Информируйте о своей деятельности по обработке персональных данных доступно и понятно
Право граждан стран Европейского Союза на получение информации об обработке их персональных данных является одним из ключевых в системе прав субъектов, заложенных в GDPR.

Часто документ, определяющий политику в отношении обработки персональных данных, закопан на сайте компании очень глубоко. Это может привести к жалобам пользователей, которые не смогут его найти. Поэтому рекомендуется размещать ссылку на политику на всех страницах сайта, где осуществляется сбор персональных данных.

При использовании метрических программ, направленных на сбор cookie-файлов, обеспечьте правовую основу для их сбора и последующего использования.

Восприятие оператором факта посещения сайта как согласия субъекта в форме конклюдентного действия является неверным, обеспечение всплывающего окна с уведомлением о факте сбора cookie-файлов является недостаточным. Реализовать функцию получения согласия можно, например, в форме акцепта оферты (пользовательского соглашения).

IV. Ограничивайте хранение персональных данных законными сроками, достижением цели обработки или отзывом согласия субъекта на обработку персональных данных
При сборе персональных данных европейских граждан, в том числе в интернете, обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации, на компанию не распространяется.

V. Предусмотрите право на забвение и на перенос данных в локальных актах для подтверждения принятия мер, направленных на соблюдение требований GDPR
В сравнении с российским законодательством в GDPR перечень прав субъекта персональных данных получил развитие.

Помимо права на получение информации об обработке персональных данных, права на доступ, уточнение и удаление обрабатываемых персональных данных в GDPR предусмотрено право на забвение.

Суд справедливости Европейского Союза (CJEU Court of Justice of the European Union) в решении по делу Google Spain в 2014 году заключил, что субъекты вправе требовать удаления информации о них из результатов поиска, если она не представляет общественного интереса, при этом удаление информации возможно, если это не противоречит интересам общества или иным фундаментальным правам европейцев, заложенным в общеевропейских нормативных правовых актах.

Еще одним новшеством является право на переносимость данных. Смысл данного права заключается в том, что компании обязаны предоставлять бесплатно и без иных ограничений электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.

VI. Запрашивайте отдельное согласие по каждой цели обработки
GDPR устанавливает требования в отношении формы получения согласия на обработку данных в виде утверждения или в форме четких активных действий субъекта. Таким образом, исключается возможность получения согласия по умолчанию, по бездействию субъекта.

Согласие на обработку персональных данных может быть признано недействительным, если у субъекта не было выбора или не было возможности отозвать свое согласие. Остается неизменным обязанность подтвердить получение соответствующего согласия.

Запрашивайте отдельное согласие по каждой цели обработки тем самым у субъекта появляется возможность отозвать согласие по деятельности, цель которой реально достигнута;

Конкретизируйте в согласии перечень обрабатываемых персональных данных, порядок и условия отзыва, а также конкретизируйте положения о третьих лицах, кому планируется передавать персональные данные субъектов или кого предполагается привлекать в рамках договора поручения.

Согласие на обработку данных ребенка должно быть авторизовано родителями или законными представителями. Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно.

VII. Назначьте ответственного за защиту персональных данных
Компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны Европейского Союза.

Какие штрафы грозят за нарушение GDPR?
Максимальный штраф за нарушение норм GDPR составляет 20 млн евро или 4% оборота денежных средств. Такое наказание предусматривается, как правило, за нарушения, связанные с несоблюдением прав и законных интересов субъектов.

Кроме того, компания может быть оштрафована на 2% оборота денежных средств за то, что не уведомила надзорный орган и субъекта персданных об утечке в течение 72 часов или не провела оценку возможного ущерба. Эти правила применяются ко всем участникам процессов обработки персональных данных.

Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Andrey Prozorov

Информационная безопасность в России и мире