ECSO AWARENESS CALENDAR 2021
29 декабря, 2021
Тэйлгейтинг и пиггибэкинг
31 декабря, 2021
В последние пару лет ведется много разговоров об общеевропейском регламенте 2016/679 (коротко именуемом GDPR), который вступил в силу в мае 2018 года.
В данной публикации я постараюсь простыми словами и без занудных подробностей разъяснить ключевые моменты этого постановления.
Для начала разберёмся с названием – «General Data Protection Regulation» («Общий регламент по защите данных»), которое уже само по себе говорит о том, что перед нами регламент, то есть свод нормативных правил.
Таким образом, данный документ 25 мая 2018 года стал законодательным актом, действующим во всех странах Европейского Союза. Данное уточнение требуется в связи с тем, что, в отличии от директивы, которая предписывает странам-участницам составить свои законы в определённом направлении, регламенту не требуются никакие прочие действия.
GDPR устанавливает правила по защите персональных данных европейских граждан, которые не следует путать с корпоративными данными, к которым, например, относятся прототипы, проекты, патенты, балансовые отчёты и проч.
По сути дела, все субъекты (компании, организации, а также прочие граждане), в том числе за пределами ЕС, обрабатывающие персональные данные европейских граждан, должны соблюдать регламент.
Прежде чем перейти к конкретному рассказу об основном содержании GDPR, необходимо разобраться с некоторыми определениями. Зачастую при переводе терминов происходит некоторая путаница, поэтому в скобках приводятся их английские эквиваленты.
Персональные данные (personal data)
Согласно статье 4 GDPR, это «любая информация, касающаяся физического лица – определённого или идентифицируемого косвенным образом через посредство прочих сведений всех видов…»
Соответственно, к персональным данным относятся имя и фамилия, адрес, а также номерной знак транспортного средства.
При этом не имеет значения, что данные могут быть доступны всеобщему обзору (например, в случае номерного знака автомобиля), персональные данные формируются из непосредственного соотношения номерного знака с конкретным человеком.
Ещё один важный термин, который нужно знать – это Обработка (processing).
Под обработкой подразумеваются
«любые операции или комплекс операций, совершаемые с использованием или без использования автоматизированных средств, применительно к персональным данным, к которым относятся сбор, регистрация, организация, структурирование, хранение, адаптация или изменение, извлечение, просмотр, использование, сообщение путём пересылки, распространения или предоставления доступа в любой другой форме, сравнение или сопоставление, ограничение, удаление или уничтожение».
Теперь перейдём к наиболее важным терминам, касающимся ключевых фигур.
Субъект данных (data subject)
Субъект данных (заинтересованное лицо) – это тот, кому принадлежат данные (то есть каждый из нас является субъектом данных или заинтересованным лицом в отношении своих собственных личных сведений).
Держатель данных (controller)
Держатель данных – это компания или орган, который запрашивает персональные данные для их обработки и определяет механизм и цели обработки. Внимание: держатель не обрабатывает данные, а принимает решение об их обработке.
Ответственный за обработку данных (processor)
Это физическое или юридическое лицо, государственное учреждение или орган, который обрабатывает персональные данные по поручению держателя данных.
Ответственный за защиту данных (Data Protectiom Officer)
Эта фигура, также обозначаемая английским акронимом DPO, назначается держателем персональных данных и ответственным за обработку данных в качестве квалифицированного консультанта в данной области (обычно это юрист). По сути дела, этот человек должен оказывать помощь обработчикам персональных данных по соблюдению предписаний GDPR, предоставляя консультации, необходимую информацию и осуществляя надлежащий контроль.
Особые категории персональных данных (special categories of personal data)
До появления GDPR эти сведения определялись в качестве конфиденциальных данных, к которым относится следующая информация:
расовая или этническая принадлежность, политические воззрения, религиозные или философские убеждения, принадлежность к профсоюзу, а также генетические данные, биометрические данные, позволяющие безошибочно идентифицировать физическое лицо, сведения о состоянии здоровья, половой жизни или сексуальной ориентации человека.
Неправомерное использование персональных данных (personal data breach)
Нарушение безопасности, приводящие к случайному или неправомерному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к переданным, хранимым или каким-либо образом обрабатываемым персональным данным.
Псевдонимизация (pseudonymisation) – этот пугающий с виду термин на самом деле имеет довольно простое определение:
обработка персональных данных таким образом, чтобы их было невозможно соотнести с конкретным субъектом данных без использования дополнительной информации.
Представьте, что у вас есть два журнала. Один из них разделён на два столбца: в первом приведены ФИО людей, а во втором – присвоенный им цифровой код. Во втором журнале указывается в первом столбце цифровой код, а во втором – персональные данные, подлежащие защите. Для того, чтобы узнать, кого касаются конкретные сведения, необходимо сопоставить информацию, содержащуюся в обоих журналах. Таким образом, персональные данные, содержащиеся во втором журнале «псевдонимированы».
После столь длинного, но тем не менее необходимого вступления давайте вместе разберёмся с тем, какие права имеют европейские граждане в отношении персональных данных.
Разумеется, наиболее значимой является первая статья (всего в документе их насчитывается 99). В частности, пункт 2, как мне кажется, является ключевой частью регламента:
«Настоящий регламент защищает права и фундаментальные свободы физических лиц, в частности, право на защиту персональных данных»,
Что конкретно это означает? О защите каких прав и свобод идёт речь?
Целая глава регламента посвящена «Правам субъекта данных». Она подразделяется на пять подглав, которые мы сейчас бегло проанализируем.
Прозрачность и порядок выполнения
В данном разделе содержится только одна статья (номер 12), озаглавленная: «Прозрачность информации, коммуникаций и порядка осуществления прав субъекта данных».
По сути, в статье говорится о том, что держатель данных (собирающий данные) должен изъясняться ясным и недвусмысленным образом по отношению к субъекту данных и оказывать ему содействие в его запросах (касательно персональных данных, обрабатываемых держателем) и в осуществлении в целом прав, предусмотренных регламентом.
Информация и доступ к персональным данным
Здесь мы подходим к сути дела. В общих словах можно сказать, что перед обработкой наших данных держатель должен сообщить:
кто и зачем будет обрабатывать наши данные, в течение какого времени они будут храниться, а самое главное – он должен сообщить о том, что мы вправе в любой момент запросить возможность просмотра, внесения изменений или удаления наших персональных данных, находящихся в его распоряжении.
Исправление и удаление
Мы имеем право делать запросы о внесении изменений в наши данные (исправлении) или их удалении, так называемое «право на забвение». По сути, мы можем в любой момент отозвать своё согласие на обработку и сделать запрос о том, чтобы о нас забыли (это может пригодиться для того, чтобы предохранить себя от некоторых чрезмерно агрессивных маркетинговых кампаний).
Большой интерес представляет право на перенос данных (статья 20), которое позволяет субъекту данных запросить (у держателя) все касающиеся его персональные данные, «в структурированном, типовом и пригодном для автоматического считывания формате».
Фактически, данная статья обязала Google, Facebook и прочих интернет-колоссов приводить активную ссылку, с помощью которой мы можем запросить все свои данные, имеющиеся в их распоряжении. Это реально возможно, и я рекомендую вам хотя бы раз попробовать.
Право на возражение и автоматизированное принятие решений в отношении физических лиц
Оно идет рука об руку со статьей о праве на забвение, но применяется в тех случаях, когда не было необходимости спрашивать нашего разрешения на обработку наших данных, поскольку это было «в законных интересах контролера данных или третьих лиц» (ст. 6, часть 1, литера f).
Ограничения
Само собой разумеется, что ЕС может ограничить права и обязанности, установленные в соответствии с регламентом, для защиты более важных интересов, таких как государственная безопасность, независимость судебной власти и судопроизводства, общественная безопасность, защита субъекта данных или прав и свобод других лиц, а также прочих критически важных аспектов.
Ответственность держателя данных и ответственного за обработку данных
В четвёртой главе описаны обязательства держателя данных и ответственного за обработку персональных данных. В частности, здесь описаны все виды ответственности, которые несут означенные лица в отношении регламента, обязательство по защите обрабатываемых персональных данных (путём шифрования или применения псевдонимизации), ведению журнала обработки, оценке воздействия обработки перед её проведением.
Последнее, что следует упомянуть – аспект неправомерных действий в отношении персональных данных (data breach). Раздел 2 главы 4 посвящён именно безопасности при обработке. Одной из важнейших, несомненно, является статья 33:
Уведомление контролирующего органа о нарушении в отношении персональных данных
первый пункт касается пресловутого уведомления надзорного органа об «утечке данных».
«В случае неправомерных действий в отношении персональных данных держатель данных должен без неоправданной задержки уведомить о нарушении компетентный надзорный орган в соответствии со статьёй 55, по возможности, в течение 72 часов с момента, когда об этом стало известно, за исключением случаев малой вероятности того, что нарушение персональных данных может представлять угрозу для прав и свобод физических лиц». Если уведомление не поступает в надзорный орган в течение 72 часов, необходимо дополнительно указать причины задержки».
В заключение поговорим о том, за счёт чего данный регламент получил столь большую известность: речь идёт о чрезвычайно больших административных наказаниях и денежных штрафах, налагаемых на держателей данных, не соблюдающих постановление.
Не вдаваясь в излишние подробности, скажем только, что штрафы варьируются в зависимости от типа нарушения, но их размер очень существенный. Так, например, в случае неназначения ответственного за обработку данных сумма штрафа может доходить 10 миллионов евро или (для компаний) 2% от оборота. За более серьезные нарушения, такие как неуведомление о неправомерном обращении с данными, санкции могут достигать 20 миллионов евро или 4% от оборота.
Согласно результатам исследования, проведённого DLA Piper в январе 2020 года, с момента вступления в силу GDPR в Европе было выявлено 160 тысяч нарушений в отношении персональных данных, за которые были наложены штрафы на общую сумму 114 миллионов евро. Список нарушителей возглавляет Голландия с показателем в 40647 случаем неправомерного обращения с данными, за ней следуют Германия (37636), Великобритания (22181), Ирландия (10516) и Дания (9806).
Лидером по штрафам является Франция с показателем 51 миллион евро, за ней следуют Германия (24,5 миллиона) и Австрия (18 миллионов).
А как обстоят дела в Италии? По данным вышеуказанного отчёта, с 25 мая 2018 года по январь этого года в надзорный орган поступило 1886 уведомлений о неправомерном обращении с персональными данными (так что мы вышли на одиннадцатое место в Европе), а общая сумма штрафов составила 11,55 миллиона евро (четвёртое место в Европе).
В конце мая ожидается выход нового аналитического отчёта по прошествии двух лет с момента вступления в силу регламента GDPR.
