Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 5
×

Персональні дані в ЄС, або Вступ до GDPR. Необхідний мінімум для ІТ-компаній

Вітаю, мене звати Костянтин Буяло, я адвокат та міжнародний адвокат в Україні, Польщі та Словаччині, медіатор, старший партнер Адвокатського об’єднання OfficiumLaw.

Як розповідав раніше на DOU, за минулі роки ми напрацювали відповіді на багато питань українського ІТ-бізнесу в ЄС. Ми бачимо що наші ІТ-фахівці за професійними якостями якщо не попереду всіх у світі, то, без сумніву, гідно борються за першість!

Ми вже обговорювали податки та інтелектуальну власність в ЄС. Що ж до організації та ведення бізнесу за межами України та виконання вимог законодавства ЄС, в тому числі щодо GDPR, природно виникає багато питань. На написання цієї статті мене наштовхнув діалог в одному з чатів для ІТ в Польщі, хлопці обговорювали, як «адаптувати» зроблені в Україні GDPR документи до «місцевого законодавства».

Відповідь на це питання дуже проста та дуже багатьох розчаровує. Адаптувати папери — ніяк, ба більше, не треба намагатись це зробити!

Будь-хто з тих, хто працює з персональними даними осіб резидентів ЄС повинен побудувати систему захисту персональних даних, в якій детально описані бізнес та операційні процедури, а вже на базі такої системи та як її частка створюються певні документи.

Можемо вважати цей текст експрес-введенням в GDPR, написаним на основі нормативних актів та досвіду, напрацьованого з 2017 року.

Преамбулу закінчено, далі коротко та просто!

❗️ Довідка: поводження з персональними даними в ЄС регулює Регламент Європейського парламенту та ради (ЄС) 2016/679 від 27 квітня 2016 р. «Про захист фізичних осіб щодо обробки персональних даних і про вільний рух таких даних... (надалі „Регламент“ або „Цей Регламент“ або „GDPR“)».

Предмет і завдання

Регламент встановлює правила, що стосуються захисту фізичних осіб щодо обробки персональних даних, а також правила, що стосуються вільного руху персональних даних. Регламент захищає основні права та свободи фізичних осіб і, зокрема, їх право на захист персональних даних.

Вільне переміщення персональних даних у межах ЄС не повинно бути ані обмежено, ані заборонено з причин, пов’язаних із захистом фізичних осіб щодо обробки персональних даних.

Зверніть увагу: тільки фізичні особи. Поняття персональних даних не застосовується до юридичних осіб та право на захист персональних даних є одним з основних прав та свобод фізичних осіб.

Визначення термінів

Для початку приклад, до чого призводить не розуміння термінології:

Твердження: «Ім’я прізвище і мейл формату імяпрізвище@домена.пл — це особисті дані, і оберігаються гдпр. Мейл формату псевдонім@домена.пл — не особисті дані.»

Вказане твердження є невірним, оскільки будь-яка електронна адреса особи, яку можна ідентифікувати, є персональними даними.

В Регламенті визначено та застосовується багато термінів, я тут наведу деякі з них, які використовуються у статті:

✅ «персональні дані» означає будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи («суб’єкта даних»);
✅ «фізична особа, яку можна ідентифікувати» — це особа, яку можна ідентифікувати прямо чи опосередковано, зокрема за ідентифікатором, таким як ім’я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або за одним чи кількома факторами, характерними для фізичних, фізіологічних, генетична, розумова, економічна, культурна чи соціальна ідентичність цієї фізичної особи;
✅ «обробка» означає будь-яку операцію або набір операцій, які виконуються з персональними даними або наборами персональних даних за допомогою автоматизованих засобів чи ні, наприклад збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, консультації, використання, розголошення шляхом передачі, розповсюдження або іншим чином надання доступу, узгодження або комбінування, обмеження, видалення або знищення;
✅ «псевдонімізація» означає обробку персональних даних таким чином, що персональні дані більше не можна віднести до конкретного суб’єкта даних без використання додаткової інформації, за умови, що така додаткова інформація зберігається окремо та підлягає технічним та організаційним заходам. Які дозволяють гарантувати, що персональні дані не приписуються ідентифікатору або ідентифікованій фізичній особі;
✅ «контролер» означає фізичну або юридичну особу, державний орган, агентство чи інший орган, який самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних; якщо цілі та засоби такої обробки визначаються законодавством ЄС або держави-члена, контролер або спеціальні критерії для його призначення можуть бути передбачені законодавством ЄС або держави-члена;
✅ «процесор (обробник)» означає фізичну або юридичну особу, державний орган, агентство чи інший орган, який обробляє персональні дані від імені контролера;
✅ «згода» суб’єкта даних означає будь-яку вільно надану, конкретну, інформовану та недвозначну вказівку на бажання суб’єкта даних, за допомогою якої він або вона шляхом заяви або чіткої підтверджувальної дії означає згоду на обробку персональних даних, що стосуються його або її;
✅ «порушення персональних даних» означає порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, що передаються, зберігаються або обробляються іншим чином;
✅ «представник» означає фізичну або юридичну особу, засновану в ЄС, яка призначена контролером або процесором у письмовій формі відповідно до ст. 27, представляє контролера або процесора щодо їхніх відповідних зобов’язань згідно з Регламентом.

Сфера застосування

Регламент застосовується до обробки персональних даних повністю або частково автоматизованими засобами та до обробки персональних даних із застосуванням засобів, відмінних від автоматизованих засобів, які є частиною системи зберігання даних або призначені для формування частини системи зберігання даних.

За певних умов GDPR поширюється на компанії, які не знаходяться в Європі. Особливістю Регламенту є те, що він поширюється на організації, які можуть мати мало спільного з ЄС. Наприклад, ви можете бути американською компанією з веброзробки, розташованою в Сан-Франциско, штат Каліфорнія, і продаєте сайти переважно компаніям з США. Але якщо ви відстежуєте та аналізуєте відвідувачів з ЄС на сайті вашої компанії, на вас можуть поширюватися зобов’язання щодо виконання положень GDPR.

Суть GDPR полягає в захисті даних громадян і резидентів ЄС. Таким чином, Регламент поширюється на організації, які обробляють такі дані, незалежно від того, є вони організаціями з ЄС чи ні, що називається «екстратериторіальним ефектом».

У статті 3 Регламенту визначено територіальну сферу дії закону: цей Регламент застосовується до обробки персональних даних у контексті діяльності установи контролера або процесора в ЄС, незалежно від того, чи відбувається обробка в ЄС, чи ні.

Цей Регламент застосовується до обробки персональних даних суб’єктів даних, які перебувають у ЄС, контролером або процесором, не зареєстрованим у ЄС, де діяльність з обробки пов’язана з:

  • пропозиція товарів або послуг таким суб’єктам даних у ЄС, незалежно від того, чи вимагається оплата суб’єкта даних; або
  • моніторинг їхньої поведінки, оскільки вона відбувається в межах ЄС.

Цей Регламент застосовується до обробки персональних даних контролером, зареєстрованим не в ЄС, але в місці, де законодавство держави-члена застосовується відповідно до міжнародного публічного права.

У статті 3.1 зазначено, що GDPR поширюється на організації, які розташовані в ЄС, навіть якщо дані зберігаються або використовуються за межами ЄС. Стаття 3.2 йде ще далі й застосовує закон до організацій, які не входять до ЄС, якщо виконуються дві умови: організація пропонує товари чи послуги людям у ЄС або організація відстежує їхню поведінку в інтернеті. (Стаття 3.3 стосується більш незвичних сценаріїв, наприклад, у посольствах ЄС.)

Якщо застосовується стаття 3.2, контролер або обробник повинен письмово призначити представника в ЄС.

Приклади застосування

Пропозиція товарів або послуг

Підліток з Варшави міг би легко замовити піцу онлайн у місцевій піцерії в Маямі та доставити її додому до друга. Але GDPR не поширюється на випадкові події. Скоріше регулятори шукають інші підказки, щоб визначити, чи збиралася організація пропонувати товари та послуги людям у ЄС. Для цього вони шукатимуть такі речі, як, наприклад, чи створила японська компанія рекламу німецькою мовою чи вказала ціни в євро на своєму сайті.

Іншими словами, якщо ваша компанія не в ЄС, але ви обслуговуєте клієнтів з ЄС, ви повинні відповідати GDPR.

Спостереження за їхньою поведінкою

Якщо ваша організація використовує вебінструменти, які дозволяють відстежувати файли cookie або IP-адреси людей, які відвідують ваш сайт з країн ЄС, ви підпадаєте під дію GDPR. На практиці незрозуміло, наскільки суворо це положення буде тлумачитися і наскільки необхідно його виконувати.

Припустимо, ви маєте тенісний корт у Сіднеї, орієнтоване виключно на вашу місцевість, але іноді люди з Австрії заходять на ваш сайт. Чи опинилися б ви під прицілом європейських регуляторів? Це малоймовірно. Але технічно вас можуть притягнути до відповідальності за відстеження цих даних.

Винятки з правил

Є два важливих винятки. По-перше, GDPR не поширюється на «суто особисту чи домашню діяльність». Якщо ви влаштуєте вечірку з друзями, будьте впевнені, вам не доведеться впроваджувати у себе на кухні GDPR (хоча ви все одно можете цього захотіти!).

GDPR поширюється лише на організації, які займаються «професійною або комерційною діяльністю». Отже, якщо ви збираєте електронні адреси друзів, щоб зібрати кошти на побічний бізнес-проєкт, тоді GDPR може стосуватися вас.

Для організацій із кількістю працівників менш як 250 осіб передбачено певне спрощення документування. Малі та середні підприємства (МСП) не звільнені від GDPR, але регламент звільняє їх від зобов’язань щодо ведення записів щодо дій з обробки певних видів персональних даних (див. ст. 30.5).

Це застосовується до організацій з кількістю працівників менш як 250 осіб, за винятком випадків, коли обробка, яку воно здійснює, може призвести до ризику для прав і свобод суб’єктів даних, обробка не є випадковою, або обробка включає спеціальні категорії даних.

Санкції за порушення

У цій статті я не маю мети детально розібратись з процедурою накладання штрафів, тут надаю лише короткий опис фінансових ризиків, з якими стикаються організації через невідповідність вимогам Регламенту.

Дозвольте навести дві цитати, які красномовно характеризують серйозність підходу щодо покарання:

«Штрафи за недотримання вимог Регламенту покликані зробити невідповідність дорогою помилкою як для великих, так і для малих компаній.»

«Жорсткі штрафи GDPR спрямовані на те, щоб передові практики безпеки даних не були занадто дорогими, щоб їх не застосувати.»

Штрафи, накладені відповідно до статті 83 Регламенту є досить гнучкими та дають дуже широке поле для творчості контролюючим органам. Будь-яка організація, яка не відповідає вимогам Регламенту, незалежно від її розміру, несе значну відповідальність.

Менш серйозні порушення можуть призвести до штрафу в розмірі до 10 мільйонів євро або 2% світового річного доходу фірми за попередній фінансовий рік, залежно від того, яка сума більша.

Скоріш за все ваші організації є контролери та обробники (порушення статті 8, 11, 25-39, 42 і 43) — організації, які збирають і контролюють дані (контролери), а також ті, з якими укладено контракт на обробку даних (обробники), повинні дотримуватися правил захисту даних, законної основи для обробки та інше.

Серйозніші порушення суперечать самим принципам права на конфіденційність або права «бути забутим», які є основою GDPR. Ці типи порушень можуть призвести до штрафу в розмірі до 20 млн євро або 4% світового річного доходу фірми за попередній фінансовий рік, залежно від того, яка сума є більшою. До них відносяться будь-які порушення статей, які регулюють:

  • Основні принципи обробки (статті 5, 6 і 9) — обробка даних має здійснюватися законним, чесним і прозорим способом. Організаціям дозволяється обробляти дані, лише якщо вони відповідають одній з законних підстав. Крім того, певні типи персональних даних, включаючи расове походження, політичні погляди, релігійні переконання, членство в профспілках, сексуальну орієнтацію та стан здоров’я або біометричні дані заборонені для збору та обробки, за винятком особливих обставин.
  • Умови згоди (стаття 7) — якщо обробка даних організацією виправдана на основі згоди особи, ця організація повинна мати документацію, щоб підтвердити це.
  • Права суб’єктів даних (статті 12-22) — особи мають право знати, які дані збирає організація та що вона з ними робить. Вони також мають право отримати копію зібраних даних, виправити ці дані, а в деяких випадках — право на видалення цих даних. Люди також мають право передати свої дані іншій організації.
  • Передача даних міжнародній організації або одержувачу в третій країні (статті 44-49) — перш ніж організація передасть будь-які персональні дані третій країні або міжнародній організації, Єврокомісія повинна вирішити, що ця країна або організація забезпечує адекватний рівень захисту. Самі перекази повинні бути захищені.
  • Невиконання розпорядження наглядового органу — якщо організація не виконує розпорядження контролюючих органів GDPR, їй загрожує величезний штраф, незалежно від того, яким було початкове порушення.

Крім того, Регламентом надано суб’єктам даних право вимагати компенсації від організацій, які завдають їм матеріальної чи нематеріальної шкоди внаслідок порушення вимог регламенту.

Слід звернути окрему увагу на відповідальність контролера даних, багато компаній використовують треті сторони (електронну пошту або хмарні служби тощо) для обробки своїх даних. Це може бути корисним, якщо третя сторона має вищий технологічний потенціал, однак це не звільняє організацію, яка звертається за послугами (тобто контролера) від забезпечення обробки персональних даних відповідно до GDPR. Якщо контролер не зможе чітко продемонструвати, що він «жодним чином не несе відповідальності за подію, яка призвела до збитків», він нестиме повну відповідальність за будь-які порушення, спричинені третьою стороною, яка не відповідає вимогам Регламенту.

З цієї причини важливо ретельно перевіряти будь-які сторонні служби, якими ви користуєтеся.

Наступна частина присвячена інформації щодо того, чим мусить бути та на чому ґрунтується система поводження з персональними даними. В цій частині коротко викладу та докладу зусиль, щоб пояснити ключові положення регуляції GDPR.

Принципи захисту даних

Оскільки, як зазначалось раніше, GDPR — це не просто сукупність паперів, а жива система організаційних та технічних заходів, знання та розуміння принципів є вкрай важливим. Якщо при побудові системи GDPR ви будете співвідносити кожну свою дію з цими принципами, успіх вам фактично гарантовано.

Якщо ви обробляєте дані, ви повинні робити це відповідно до сімох принципів, викладених у Регламенті:

  • законність, справедливість та прозорість — обробка має бути законною, справедливою та прозорою для суб’єкта даних;
  • обмеження мети — ви повинні опрацьовувати дані в законних цілях, явно вказаних суб’єкту даних при їх зборі;
  • мінімізація даних — ви повинні збирати та обробляти стільки даних, скільки необхідно для зазначених цілей;
  • точність — ви повинні підтримувати точність та актуальність особистих даних;
  • обмеження зберігання — ви можете зберігати особисті дані лише стільки часу, скільки необхідно для зазначеної мети;
  • цілісність та конфіденційність — обробка повинна виконуватися таким чином, щоб забезпечити належну безпеку, цілісність та конфіденційність (наприклад, з використанням шифрування);
  • підзвітність — контролер даних відповідає за можливість продемонструвати відповідність GDPR всім цим принципам.

Коли вам дозволено обробляти дані

У статті 6 перераховані випадки, у яких обробка особистих даних є законною.

Навіть не думайте торкатися чиїхось особистих даних — не збирайте їх, не зберігайте, не продавайте рекламодавцям, — якщо ви не можете виправдати це однією з наступних умов:

  1. Суб’єкт даних дав вам конкретну та не двозначну згоду на обробку даних (наприклад, вони підписалися на ваш список розсилки електронною поштою).
  2. Обробка необхідна до виконання чи підготовки до укладання договору, стороною якого є суб’єкт даних (наприклад, перед здаванням нерухомості в оренду потенційному орендарю необхідно виконати перевірку даних).
  3. Вам необхідно опрацювати його відповідно до вашого юридичного зобов’язання (наприклад, ви отримали ухвалу суду у вашій юрисдикції).
  4. Вам потрібно обробити дані, щоб врятувати чиєсь життя (ви, мабуть, знаєте, коли це застосовується).
  5. Обробка необхідна для виконання завдання у громадських інтересах чи виконання деяких офіційних функцій. (Наприклад, ви — приватна компанія, що надає комунальні послуги).
  6. У вас є законний інтерес до обробки будь-яких особистих даних. Це найбільш гнучка законна основа, хоча «основні права та свободи суб’єкта даних» завжди мають пріоритет над вашими інтересами, особливо, якщо це дані дитини (тут складно навести приклад, тому що необхідно враховувати безліч факторів у кожному конкретному випадку).

Трошки більше про «законний інтерес»

Законні інтереси є найбільш гнучкою законною основою для обробки, але ви не можете припустити, що вона завжди буде найбільш прийнятною.

Існують три елементи основи законних інтересів. Можемо розглядати це як тест з трьох частин. Потрібно:

  • визначити законний інтерес;
  • показати, що для цього необхідна обробка;
  • збалансувати його з інтересами, правами і свободами особи.

Законними інтересами можуть бути ваші власні інтереси або інтереси третіх осіб. Вони можуть включати комерційні інтереси, індивідуальні інтереси або ширші суспільні вигоди.

Обробка повинна бути необхідною. Якщо ви можете обґрунтовано досягти того самого результату іншим менш нав’язливим способом, законні інтереси не застосовуватимуться.

Ви повинні збалансувати свої інтереси з особистими правами і свободами. Ведіть облік та документацію оцінки ваших законних інтересів, щоб допомогти вам продемонструвати відповідність, якщо потрібно. Ви повинні надати деталі своїх законних інтересів суб’єктам персональних даних.

Як бачите, законний інтерес — досить широке поняття та, можливо, обираючи між ним та згодою суб’єкта простіше буде обрати згоду суб’єкта, але не завжди.

Як тільки ви визначили законну основу для обробки даних, вам необхідно задокументувати цю основу та повідомити суб’єкт даних (прозорість!). І якщо ви пізніше вирішите змінити своє обґрунтування, у вас має бути вагома причина. Задокументувати цю причину та повідомити суб’єкт даних теж необхідно.

Згода

Існують чіткі правила щодо того, що є згодою суб’єкта даних на обробку своєї інформації. Згода має бути «добровільною, конкретною, поінформованою і не двозначною».

Запити про згоду мають «чітко відрізнятися від інших питань» та бути представлені «ясною і зрозумілою мовою».

Суб’єкти даних можуть відкликати цю згоду, коли захочуть, і ви повинні поважати їхнє рішення. Ви не можете у відповідь просто змінити правову основу обробки з одного обґрунтування на інше.

Діти до 13 років можуть давати згоду лише з дозволу своїх батьків.

Вам необхідно зберегти документальне підтвердження згоди.

Підзвітність

Регламентом визначено, що контролери даних повинні мати можливість продемонструвати, що вони відповідають GDPR. Це зовсім не те, що ви можете зробити постфактум: якщо ви вважаєте, що дотримуєтеся GDPR, але не можете показати, якими саме засобами це досягається, значить, ви не дотримуєтеся GDPR.

Серед способів зробити це:

  • Визначте обов’язки захисту даних у своїй команді.
  • Ведіть докладну документацію про дані, які ви збираєте, як вони застосовуються, де зберігаються, хто за них відповідає тощо.
  • Навчіть свій персонал та впровадьте технічні та організаційні заходи безпеки.
  • Укладіть договір про обробку даних з третіми сторонами, які будуть обробляти дані для вас.
  • Призначте співробітника із захисту даних (хоча він потрібен не всім організаціям).

Співробітники із захисту даних

Всупереч поширеній думці, не кожному контролеру чи обробнику даних необхідно призначати співробітника із захисту даних (DPO).

Усі організації, незалежно від типу чи розміру, які обробляють особисту інформацію резидентів ЄС, повинні мати когось в організації, кому доручено контролювати дотримання Регламенту (частина «організаційних заходів», згаданих у статті 25). Однак, Регламент вимагає найняти справжнього спеціаліста із захисту даних, лише якщо ви відповідаєте одному з трьох критеріїв:

  • ви є органом державної влади, не судом, який працює в юридичній сфері;
  • ваша основна діяльність потребує систематичного та регулярного широкомасштабного моніторингу людей (наприклад, ви — Google);
  • ваша основна діяльність — це великомасштабне опрацювання особливих категорій даних, перелічених у статті 9 GDPR, або даних, що стосуються кримінальних вироків та правопорушень, згаданих у статті 10 (наприклад, ви працюєте в медичній установі).

Тут багато розпливчастих термінів. Регламент не дає визначення того, що означає обробка як «основна діяльність» або «у великому масштабі». Інструкції Єврокомісії щодо спеціалістів із захисту даних (Інструкція) містять деякі підказки, але жорстких правил досі немає.

Виходячи з практики, що склалася, «основною діяльністю» можна вважати:

  • ключові операції для досягнення цілей контролера або процесора. Сюди також входять усі дії, де обробка даних є невід’ємною частиною діяльності контролера або процесора. Наприклад, обробка даних про здоров’я, таких як записи про стан здоров’я пацієнтів, має розглядатися як один з основних видів діяльності будь-якої лікарні, тому лікарні повинні мати DPO.

Фактори, які організація повинна враховувати, вирішуючи, чи виконуватиме вона обробку даних у «великому масштабі»:

  • кількість відповідних суб’єктів даних — або як конкретну кількість, або як частку відповідної сукупності;
  • обсяг даних та/або діапазон різних елементів даних, що обробляються;
  • тривалість або постійність діяльності з обробки даних та географічне охоплення обробки.

У інструкції також наведено кілька прикладів широкомасштабної обробки, зокрема обробка даних пацієнтів лікарнею, обробка даних клієнтів у звичайній діяльності банком або обробка персональних даних для поведінкової реклами пошуковою системою.

Таким чином, організація може проводити обробку даних у великих масштабах, навіть якщо сама організація має відносно скромний розмір.

Для невеликих організацій може бути неможливим найняти DPO на повний робочий день. У цьому випадку DPO можна найняти в формі часткової зайнятості, за умови, що DPO легко доступний та може ефективно виконувати свої обов’язки. Навпаки, якщо організація надто велика, щоб одна особа з питань захисту даних могла виконувати всі обов’язки, може знадобитися надати їй допоміжний персонал. GDPR допускає обидві ситуації.

Статус та обов’язки DPO

Згідно зі статтею 38 Регламенту, яка встановлює позицію DPO, «Контролер та обробник повинні забезпечити належну та своєчасну участь уповноваженого із захисту даних у всіх питаннях, пов’язаних із захистом персональних даних». Іншим працівникам організації не дозволяється давати будь-які вказівки DPO щодо виконання їхніх завдань.

Отже, DPO не тільки має широкий спектр обов’язків, але й посаду захищено від потенційного втручання з боку організації. Нарешті, DPO пов’язаний конфіденційністю у виконанні своїх завдань і звітуватиме лише безпосередньо перед найвищим керівництвом організації.

Регламент покладає на DPO шість основних завдань:

  1. отримувати коментарі та запитання від суб’єктів даних, пов’язані з обробкою їхніх персональних даних і GDPR;
  2. інформувати організацію та її співробітників про їхні зобов’язання відповідно до GDPR та будь-яких інших чинних положень щодо захисту даних держав-членів ЄС;
  3. щоб контролювати дотримання організацією GDPR та будь-яких інших застосовних положень щодо захисту даних у державах-членах ЄС, навчати персонал та проводити аудити;
  4. проводити оцінку впливу на захист даних;
  5. співпрацювати з наглядовим органом із захисту даних;
  6. діяти як координаційний центр для наглядового органу захисту даних з питань, пов’язаних з обробкою персональних даних та інших питань, якщо це доречно.

На практиці обсяг роботи спеціаліста із захисту даних означає, що це — не посада, наприклад, для молодшого юриста або джуніор бізнес-аналітика. DPO повинен мати технічну експертизу для проведення оцінок GDPR і юридичне розуміння законів про конфіденційність у всіх юрисдикціях, у яких працює їх організація. Він повинен почуватися як вдома, консультуючи керівників щодо того, яку стратегію захисту даних прийняти, пояснюючи примхи GDPR персоналу та клієнтам початкового рівня.

Враховуючи незалежність DPO та швидкий темп технологічного розвитку, будь-який потенційний DPO повинен бути самостійним, бути в курсі новин технологій і GDPR і працювати з мінімальними вказівками та наглядом.

Регламент не містить переліку конкретних кваліфікацій, але він передбачає, що рівень знань і досвіду, необхідні для DPO, має визначатися відповідно до складності операцій з обробки даних, які виконуються.

Ось рекомендований кваліфікаційний перелік для ідеального кандидата на посаду DPO:

  • значний (понад 5 років) досвід роботи з законодавством ЄС та світовим законодавством про конфіденційність, включаючи розробку політики конфіденційності, технологічних положень та роботу над відповідністю;
  • значний досвід роботи з ІТ-програмуванням або інфраструктурою, включаючи сертифікацію за стандартами інформаційної безпеки;
  • значний досвід проведення аудитів інформаційних систем, атестаційних аудитів та оцінки ризиків;
  • продемонстровані лідерські навички досягнення поставлених цілей, координація роботи з різними зацікавленими сторонами та керування кількома проєктами одночасно;
  • продемонстрована здатність постійно координувати роботу з кількома сторонами та керівниками, зберігаючи при цьому незалежність;
  • продемонстровані комунікативні навички для спілкування з різними аудиторіями, від ради директорів до суб’єктів даних, від менеджерів до ІТ-персоналу та юристів;
  • продемонстрований самостійний початківець зі здатністю здобувати необхідні знання в динамічних середовищах і бути в курсі передових розробок;
  • продемонстрований досвід роботи з новими законами та технологіями;
  • досвід юридичної та технічної підготовки та підвищення обізнаності;
  • досвід успішної роботи з різними бізнес-культурами та галузями.

Такі високі кваліфікаційні вимоги безперечно свідчать про те, що більшості малих та середніх підприємств доцільно розробити та впровадити систему GDPR, залучивши зовнішніх консультантів та в рамках такого впровадження озброїти власний персонал необхідними знаннями та навичками для підтримання в належному стані впровадженої системи.

Ви також можете призначити DPO, навіть якщо це не вимагається. Є переваги у тому, щоб хтось обіймав цю посаду.

Безпека даних

Ви повинні безпечно обробляти дані, застосовуючи відповідні технічні та організаційні заходи.

Щоб мати можливість продемонструвати відповідність Регламенту, контролер повинен прийняти внутрішню політику та впровадити заходи, які відповідають, зокрема, принципам захисту даних за дизайном і захисту даних за замовчуванням.

Такі заходи можуть включати, серед іншого, мінімізацію обробки персональних даних, псевдонімізацію персональних даних у найкоротші терміни, прозорість щодо функцій та обробки персональних даних, надання можливості суб’єкту даних контролювати обробку даних, надання контролеру можливості створювати та покращувати функції безпеки.

Технічні заходи означають будь-що, від вимоги до ваших співробітників використовувати двофакторну автентифікацію в облікових записах, де зберігаються особисті дані, до укладання контрактів з постачальниками хмарних послуг про використання наскрізного шифрування.

Організаційні заходи — це такі речі, як навчання персоналу, додавання політики конфіденційності даних до довідника співробітника або обмеження доступу до особистих даних лише тим співробітникам вашої організації, яким це необхідно.

Якщо стався витік даних, у вас є 72 години, щоб повідомити про це суб’єктів даних або ви будете змушені сплачувати штраф. Ця вимога про повідомлення може бути скасована, якщо ви використовуєте технологічні заходи безпеки, такі як шифрування, щоб зробити крадіжку даних марною для зловмисника.

Захист даних з дизайну та за замовчуванням

Відтепер все, що ви робите у своїй організації, має «за дизайном та за замовчанням» враховувати захист даних.

На практиці це означає, що ви повинні враховувати принципи захисту даних при розробці будь-якого нового продукту або фічі.

Беручи до уваги сучасний рівень техніки, вартість впровадження та характер, обсяг, контекст і цілі обробки, а також ризики різної ймовірності й тяжкості для прав і свобод фізичних осіб, пов’язані з обробкою, контролер повинен: як під час визначення засобів обробки, так і під час самої обробки впровадити відповідні технічні та організаційні заходи, такі як псевдонімізація, які призначені для ефективної реалізації принципів захисту даних, таких як мінімізація даних.

Інтегрувати необхідні засоби захисту в процес обробки, щоб відповідати вимогам Регламенту та захистити права суб’єктів даних.

Контролер повинен запровадити відповідні технічні та організаційні заходи для забезпечення того, що за умовчанням обробляються лише персональні дані, необхідні для кожної конкретної мети обробки. Це зобов’язання стосується обсягу зібраних персональних даних, обсягу їх обробки, терміну їх зберігання та їх доступності. Зокрема, такі заходи гарантують, що за замовчуванням персональні дані не будуть доступні для невизначеної кількості фізичних осіб.

Припустимо, наприклад, ви запускаєте нову програму для своєї компанії. Ви повинні подумати про те, які особисті дані програма може збирати від користувачів, а потім подумати про способи мінімізувати обсяг даних і про те, як ви захистите їх за допомогою новітніх технологій.

Права людей на недоторканність приватного життя

Ви контролер даних та/або обробник даних. Але як людина, ви також є суб’єктом даних. GDPR визнає цілу низку нових прав на недоторканність приватного життя для суб’єктів даних, мета яких — надати людям більший контроль над даними, які вони довіряють контролерам.

Для організації важливо розуміти ці права, щоб забезпечити відповідність побудову належної системи GDPR.

Нижче наводиться короткий виклад прав суб’єктів даних на конфіденційність:

  1. Право бути поінформованим.
  2. Право доступу.
  3. Право на внесення виправлень.
  4. Право на видалення даних.
  5. Право на обмеження обробки даних.
  6. Право на перенесення даних.
  7. Право на заперечення.
  8. Права щодо автоматизованого прийняття рішень та складання профілю.

Таким чином плавно та в незначному у порівнянні з нормативними актами обсязі, близько 4К слів, ми розглянули базові положення що стосуються захисту персональних даних в ЄС.

Сподіваюсь, стаття стане ключем до розуміння вимог Регламенту Європейського парламенту та ради й фундаментом для побудови надійної системи GDPR у вашій організації. Закликаю до обговорення матеріалу та вашого особистого досвіду в коментарях.

👍ПодобаєтьсяСподобалось5
До обраногоВ обраному5
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Дуже довга стаття але по факто все значно простіше.
1. Треба знати де і як зберігаються особисті дані
2. Треба вміти витягнути дані з місця збереження і надати користувачу в прийнятному форматі, наприклад пдф
3. Треба видалити/хешувати дані якщо того просять.
Це робиться легко якщо у вас event-driven архітектура з чітким розумінням доменів.

GDPR — это полный трэш. Малым компаниям проще закрыться, чем все это выполнять. Ещё и штрафы бешанные.

Підписатись на коментарі