Защита персональных данных по-новому. Простыми словами

С 25 мая 2018 года вступил в силу Регламент ЕС 2016/679 о защите личных данных физических лиц. Что нужно о нём знать и кого он касается?

Содержание этого Регламента, в первую очередь, важно знать и понимать компаниям и предпринимателям, клиентами которых являются физические лица (потребители товаров и услуг), находящиеся на территории ЕС. Штрафные санкции за нарушение этого Регламента могут оказаться неподъемными для вашего бизнеса, а порой и просто привести к его блокированию или ликвидации. При этом неважно где ваш бизнес находится физически — если покупатель ваших товаров или услуг находится в ЕС, Регламент уже действует в отношении вашего бизнеса.

Приведу такой пример. Вы — предприниматель, живущий в Украине, и продающий через интернет некие товары. У вас осуществил покупку человек, например, тоже украинец, но находящийся в момент покупки в путешествии по Италии. С этого момента на вас (продавца) начинает распространяться действие Регламента. Таким образом, смело можно утверждать, что практически любому бизнесу в сети Интернет, следует соответствовать требованиям ЕС о защите личных данных физических лиц.

В этой публикации я расскажу о Регламенте с прицелом на то, каким образом следует пользоваться личными данными того, кто вольно или невольно стал случайным или постоянным пользователем вашего интернет-ресурса. Даже если он так и не стал вашим покупателем.

Полный текст Регламента (в «грубом» неофициальном переводе на русский) можно найти по этой ссылке. Аутентичного текста на русском или украинском — не существует.
internetinstitute.ru/...​tention-Leg-appendix2.pdf

На что следует особо обратить внимание и, соответственно, что вам следует изменить в своих сетевых ресурсах? Об этом далее.

Примечание. В тексте ниже применяется термин «контроллер» — его следует понимать, как часть компьютерного кода (программы) вашего интернет-ресурса, который используется для фиксации всего, что необходимо для соблюдения Регламента. Также применяется термин «регулятор» — его следует понимать как то лицо, которое устанавливает правила для контроллера (то есть, простыми словами — сам предприниматель).

1. Регламент касается прав только физических лиц (независимо от гражданства и места жительства) и не распространяется на защиту интересов юридических лиц. Регламент действует на всей территории Европейского Союза. Регламент применяется также к интернет-ресурсам физически расположенным вне территории ЕС, но доступным пользователям, находящимся на территории ЕС.

2. Действие Регламента касается личных данных физического лица, а также данных, по которым физическое лицо потенциально можно идентифицировать (например, даже IP адрес устройства пользователя и даже содержимое cookie-файла).

3. Действие Регламента не касается обработки личных данных физического лица в ходе чисто личной и бытовой деятельности (без связи с профессиональной или коммерческой деятельностью).

То есть, например, если один человек с помощью мессенджера пересылает другому человеку свой номер телефона, то защита Регламента между этими двумя людьми не действует. Однако, в этой ситуации она действует на сам мессенджер (оператор), который обязан обеспечить безопасность пересылки этого номера телефона.

Или другой пример. Предприниматель вяжет шерстяные носки и продаёт их через Инстаграм. Покупатель носков передает продавцу в личном сообщении свои контакты. В этом случае Регламент действует и на Инстаграм (который обязан обеспечить безопасность передачи личных данных), и на предпринимателя (который обязан обеспечить сохранность и целевое использование личных данных покупателя).

4. Интересно, что не обязаны соблюдать Регламент в полном объеме правоохранительные органы в целях предотвращения или расследования преступлений, а также в целях судебного преследования. При этом обязаны соблюдать Регламент государственные органы, получившие данные лица вне указанных выше целей. Простым языком — налоговики и таможенники, например, обязаны соблюдать Регламент.

Тут отдельно следует обратить внимание на данные, например, о судимости лица. Такие данные можно использовать только под контролем соответствующих государственных органов.

5. Также действие Регламента не распространяется на персональные данные умерших. Так что, прежде чем умирать, позаботьтесь о тайнах, содержащихся в вашей переписке и соцсетях.

6. Согласие лица на сбор, хранение, обработку и использование его личных данных должно быть чёткое и конкретное — не «в общем», а касаться каждого запрашиваемого параметра. Также должны быть указаны цели, для которых нужны данные, а также сроки, в течение которых они будут доступны продавцу и будут им использоваться, после чего будут удалены.

Например, нельзя теперь просто написать «нажав кнопку регистрации, вы даете согласие на сбор, хранение, обработку и использование ваших личных данных». Нужно писать «нажав кнопку регистрации вы предоставляете согласие на сбор, хранение, обработку и использование в ***таких-то*** целях *** таких-то конкретных личных данных*** на весь срок использования вами этого сайта, а также после — ***например, до полного исполнения сделки между продавцом и покупателем***.» И даже этого будет мало.

7. Если интернет-ресурс используется несколькими предпринимателями или группой компаний, должно быть указано кому и каким образом станут доступны используемые интернет-ресурсом личные данные.

8. Особое отношение к личным данным детей. При прямых коммерческих сделках нужно согласие родителей. Но не требуется согласие родителей в рамках, например, создания ребенком собственного профиля в социальных сетях. Защищается от родителей и переписка ребенка.

9. Любая обработка личных данных должна быть законной, справедливой, разумной, соответственной задачам и прозрачной. Пользователь должен быть предупрежден о возможных рисках, связанных с обработкой личных данных.

Здесь советую особо обратить внимание на обрабатываемый объем данных. Он не должен выходить за рамки объективно требующихся. А также на описание рисков — всё, о чём вы не предупреждали, но оно случится, будет не в вашу пользу. Кроме того, следует обратить внимание на чёткое требование Регламента — все сообщения пользователю обязаны быть понятными, лаконичными и не допускать разночтений.

Технически ваш интернет-ресурс должен содержать «контроллеры», позволяющие без сомнений убедиться в том, что пользователю были предоставлены соответствующие предупреждения и что пользователем были предоставлены все необходимые предварительные! согласия. Иначе, обработка данных будет считаться незаконной.

При этом не имеет значение согласия осуществлены на платной или бесплатной основе — регулируются они одинаково.

Также вы обязаны предоставить пользователю исчерпывающую информацию о продавце и порядке обжалования его действий или бездействий.

10. Вводится презумпция запрета обработки данных. Иными словами, всё, на что нет прямого и чёткого согласия лица, запрещено.

11. Особая защита вводится для медицинских данных, а также данных научных экспериментов. Но это достаточно специализированная отрасль, поэтому здесь мы не станем её обсуждать.

12. Контроллер должен использовать все разумные меры для проверки личности пользователя.

Тут следует не переусердствовать. Например, если пользователь совершает на вашем ресурсе разовую мелкую бытовую покупку, то вовсе необязательно требовать у него паспортные данные. Если же вы их затребуете, вам следует разъяснить зачем они вам нужны. Но, если, например, вы торгуете алкоголем, вам следует убедиться, что покупатель совершеннолетний.

13. Вводится понятие «право на забвение». Любые данные не должны храниться бесконечно — должен быть определен максимальный срок хранения, после чего контроллер должен их удалить и обеспечить возможность удостовериться в полном удалении. Тоже самое касается случая, когда пользователь просит удалить его данные. Такое удаление должно совершиться безоговорочно. Если же по каким-либо причинам полное удаление невозможно (например, срок давности по бухгалтерской операции), то пользователь должен быть об этом чётко уведомлен, а сами данные должны быть «спрятаны в сейф».

14. Ещё одно новое право — «право на исправление». Причём, это право содержит составную во времени — нельзя препятствовать исправлениям пользователя без оправданной задержки.

15. Интересное правило касается данных, используемых для принятия решения. Например, онлайн заявка на кредит. В этом случае не допускается полностью автоматическое (без «ручного» участия специалиста соответствующей отрасли) принятие решения. Человек, как гласит Регламент, должен быть защищён от того, что в отношении него решение будет принимать исключительно машина.

16. Регулятор должен производить системный анализ рисков и сбоев, и реагировать на них адекватно, прилагая усилия для исключения повторного возникновения их в будущем. Следует также убедиться (и хранить документы об этом), что приняты все технологические и организационные методы для безопасности данных. Также следует указывать пользователю от каких действий или бездействий ему нужно воздержаться дабы не допустить нарушений безопасности данных по его вине.

17. Если ваш бизнес не требует идентификации лица и, соответственно, обработки его данных, то вы не обязаны соответствовать данному Регламенту. Но где же найти такой бизнес.

И ещё. В этой публикации указана лишь самая «общая» часть требований Регламента. Если у вас есть необходимость в дополнительной консультации относительно вашего конкретного бизнеса или вам нужна «юридическая экспертиза» действующих на вашем интернет-ресурсе процедур, функций и текстов на соответствие Регламенту — обращайтесь в личных сообщениях.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

вот еще неплохая колонка по GDPR, сегодняшнее про штрафы psm7.com/...​-i-izbezhat-shtrafov.html

В Украине можно на видео снимать людей в общественных местах? Например в РФ я могу любого снимать даже если он непосредственный объект видеосъёмки чем часто пользуюсь при конфликтах (на улице, в магазине и т.п.)

Если тот, кого вы снимаете, возражает против съемки — нельзя. Если возражений нет, то и препятствий нет. Можно снимать в судах и гос.учреждениях, действия полиции и чиновников. Однако, эта съемка не должна создавать препятствий в обычной процедуре действий снимаемого служащего.

1. Вы уверены, что нельзя если снимать на видео человека в общественном месте если он против? Не вижу принципиальной разницы зафиксирую ли я его глазами в моей памяти памяти или на видео в памяти устройства.

2. Т.е. я могу не спрашивая разрешения производить видеозапись открытого судебного процесса? Если так то это очень круто.

По обоим пунктам да :)

Коментар порушує правила спільноти і видалений модераторами.

А это legal advice или нет?

У вас осуществил покупку человек, например, тоже украинец, но находящийся в момент покупки в путешествии по Италии. С этого момента на вас (продавца) начинает распространяться действие Регламента.

Вы точно уверены что это будет так работать? В самом законе используется формулировка «in the Union», но идет ли речь о резиденте ЕС или просто находящемся там временно нерезиденте из этой формулировки непонятно. В то же время, на gdpreu.org написано следующее:

Two primary groups of entities must therefore comply with the GDPR.

Firms located in the EU
Firms not located in the EU, if they offer free or paid goods or services to EU residents or monitor the behavior of EU residents

Различные «эксперты» в сети расходятся во мнениях: некоторые считают что закон защищает только резидентов и/или граждан, другие считают что закон защищает любого проезжающего по территории ЕС, а некоторые идут ещё дальше и считают что если гражданин/резидент ЕС выехал за пределы ЕС, то GDPR в этот момент его не защищает. Но официальных пояснений ни у кого нет.

У вас есть ссылки на пояснения законодателей или регулирующих органов на этот счет?

Примечание. В тексте ниже применяется термин «контроллер» — его следует понимать, как часть компьютерного кода (программы) вашего интернет-ресурса, который используется для фиксации всего, что необходимо для соблюдения Регламента. Также применяется термин «регулятор» — его следует понимать как то лицо, которое устанавливает правила для контроллера (то есть, простыми словами — сам предприниматель).

У меня не много экспертизы в GDPR, но всё-таки по моим данным Data Controller — это организация или лицо, собирающее данные и управляющее ими. А Data Processor — третья сторона, осуществляющая обработку данных (если такая сторона существует). Цитата с gdpreu.org:

Article 4 defines data controllers and data processors as below:

(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;
For example, if Acme Co. sells widgets to consumers and uses Email Automation Co. to email consumers on their behalf and track their engagement activity, then with regard to such email activity data, Acme Co. is the data controller, and Email Automation Co. is the data processor.

This distinction is important for compliance. Generally speaking, the GDPR treats the data controller as the principal party for responsibilities such as collecting consent, managing consent-revoking, enabling right to access, etc. A data subject who wishes to revoke consent for his or her personal data therefore will contact the data controller to initiate the request, even if such data lives on servers belonging to the data processor. The data controller, upon receiving this request, would then proceed to request the data processor remove the revoked data from their servers.

Регламент применяется также к интернет-ресурсам физически расположенным вне территории ЕС, но доступным пользователям, находящимся на территории ЕС.

Нет, одного только факта доступности недостаточно (Recital 23):

Whereas the mere accessibility of the controller’s, processor’s or an intermediary’s website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union.

Также действие Регламента не распространяется на персональные данные умерших. Так что, прежде чем умирать, позаботьтесь о тайнах, содержащихся в вашей переписке и соцсетях.

И да, и нет. Хотя нам конечно уже всё равно будет.

Особое отношение к личным данным детей. При прямых коммерческих сделках нужно согласие родителей. Но не требуется согласие родителей в рамках, например, создания ребенком собственного профиля в социальных сетях. Защищается от родителей и переписка ребенка.

Неправда (Article 8):

1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child. Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.
=> Dossier: PermissionOpening Clause

2. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology.
=> Dossier: IdentificationObligation

3. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child.

Контроллер должен использовать все разумные меры для проверки личности пользователя.

Это в каких таких случаях контроллер должен личность проверять?

Раз

Простыми словами

то нет. Юристы не говорят простыми словами, не для того они учились.

В то же время, на gdpreu.org написано следующее:

Вот это как раз тоже не legal advice, о чем они сами и пишут

Information outlined here solely reflects the views of its editors and authors and should not be construed as legal advice.

По сути это такое же обсуждение и комментарии непрофессионалов как и на этом сайте (уже четыре темы есть?)

Вот это как раз тоже не legal advice, о чем они сами и пишут

Так в том-то и дело, что они пишут, а не подают как достоверные факты. И цитируют оригинал закона.

Геннадий, отвечу по пунктам.
1. Конечно же это не есть юридическая консультация. Очевидно, что это скорее реферат.
2. Юристы, в том числе и я, в первую очередь используют первоисточник — сам текст документа. Все остальные вариации (кроме правовых позиций судов) могут восприниматься как мнение. А мнений может быть много. Правовых позиций (прецедентов) по этому документу ещё нет. Согласно же первоисточнику (п. 2, 4 преамбулы), регламент создан чтобы служить человечеству независимо от гражданства или места жительства. Поэтому, учитывая иные положения регламента, я обоснованно считаю, что регламент распространяет действие и на нерезидентов, но находящихся во времени и пространстве в юрисдикции ЕС.
3. Формулировки вольные, поскольку цель реферата — быть простым для восприятия.
4. Например, статья 8 часть 2 гласит: «контроллер должен прилагать разумные усилия для проверки в таких случаях...». Советую вам всё-таки познакомиться с первоисточником...

Советую вам всё-таки познакомиться с первоисточником...

В моём комментарии есть цитаты из первоисточника. И они говорят о том, что ваш реферат как минимум в некоторых местах некорректен.

Например, статья 8 часть 2 гласит: «контроллер должен прилагать разумные усилия для проверки в таких случаях...».

Я выше привел цитату из 8й статьи, в оригинале. Там речь идет только о том, что контроллер должен приложить разумные усилия для проверки что родители несовершеннолетнего дали согласия на обработку ПД. Но это не значит что каждый, кто предоставляет услуги жителям ЕС, должен «проверять личность». Иначе это нивелирует цель закона по защите ПД, если каждому интернет-ресурсу пользователи начнут предоставлять документы.

Советую вам всё-таки ознакомиться с первоисточником.

Вы, видимо, не обратили внимание на фразу в моем тексте «тут следует не переусердствовать...» и далее по тексту. Собственно, я к тому, что в этом вопросе между нами спора нет — это, действительно, НЕ значит, что каждый должен проверять личность. Следует разумно подходить к качеству и количеству собираемой информации.

К слову, Украина может этот Регламент принять также. По аналогии с Директивой ЕС о защите прав потребителей. А может и не принимать. Но поскольку в Украине признаются решения Европейского суда по правам человека не сомневаюсь что Регламент будут применять в отношении Украины.

Если ваш бизнес не требует идентификации лица и, соответственно, обработки его данных

Согласно GDPR любая обработка практически любых данных пользователя (если речь про веб-сайты) может трактоваться как обработка персональных данных.

Но пока что вижу что даже сами европейцы «забили» на закон и ограничиваются

"нажав кнопку регистрации, вы даете согласие на сбор, хранение, обработку и использование ваших личных данных

Дело в том, что реализация гражданских прав напрямую зависит от воли лица, которому право принадлежит. Это лицо самостоятельно и суверенно распоряжается своим правом. Иными словами, если мои гражданские права нарушены, я могу это нарушение или простить, или применить его последствия. Поскольку пока что судебных прецедентов не было, то и отношение слегка расслабленное. Кроме того, сам регламент считает охраняемое право не исключительным. Так что, уверен, суды выработают «баланс интересов», а всем останется лишь принять этот баланс.

Зашел прочитать «простыми словами», а тут 17 пунктов и скроллером крутить!

«Настраиваем дикобраза в OpenVZ через ssh посредством Rest-API с дискового телефона подводной лодки. 900 простых шагов.» ©

Впечатление от GDPR-из-каждого утюга ровно такое.

Я ж не обещал что будет мало — я обещал только простые слова 😀 В топике нет ни одного сложного слова 😂

Підписатись на коментарі