Защита персональных данных согласно GDPR

В 2018 году вступил в силу принятый Европейской Комиссией и Европарламентом Регламент (ЕС) 2016/679, более известный как GDPR. Он призван создать единый правовой режим персональных данных и обеспечить их обработку системой базовых принципов.

Персональные данные согласно GDPR — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных)

Идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно посредством ссылки на имя, фамилию, идентификационный номер, данные о местоположении, онлайн-идентификатор либо на один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных параметров, а также на факторы социальной идентичности.

Категории особо чувствительных данных, обработка которых запрещена:

  • информация о расовом и этническом происхождении, политических взглядах, религиозных и философских убеждениях, членстве в профсоюзах;
  • генетические и биометрические данные для уникальной идентификации физического лица;
  • данные о здоровье, половой жизни или сексуальной ориентации физического лица.

GDPR разделяет два типа субъектов, обрабатывающих персональные данные: контролера данных и процессора данных.

Контролер — это физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими (со-контролеры) определяет цели и способы обработки персональных данных. Именно на контролере лежит большая часть ответственности за обработку персональных данных.

Процессор, или обработчик — это подрядчик контролера, физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени и по поручению контролера.

Регламент закрепил принцип экстерриториальности обработки персональных данных: он применяется ко всем компаниям, которые обрабатывают персональные данные резидентов и граждан ЕС, независимо от юрисдикции таких компаний. К примеру, если украинская компания предоставляет товары и услуги в Интернете гражданам ЕС, она сразу попадает под сферу действия GDPR как контролер персональных данных.

На начальных этапах развития бизнеса большинство проектов лишь имитируют соответствие GDPR. Это может привести к большим неприятностям и потерям

Если IT-проект встроился в цепь процессоров персональных данных (подключены API социальных сетей, приняты на аутсорс обязательства третьих лиц и пр.) и какое-то из звеньев цепи столкнулось с утечкой информации, то проверке подвергаются все участники цепи передачи персональных данных. За найденные нарушения прямо или регрессом накладываются штрафы до 20 млн евро.

Для соответствия Регламенту и во избежание проблем и штрафов у IT-проекта должны быть как минимум такие документы:

  • публичная политика приватности, соответствующая GDPR;
  • внутренняя политика защиты персональных данных;
  • перечень действий с персональными данными
  • политика реагирования на недостатки безопасности;
  • форма уведомления надзорного органа об утечке персональных данных;
  • форма уведомления субъекта об утечке персональных данных;
  • политика хранения данных.

К сожалению, универсального шаблона для создания документов не существует. Степень детализации зависит от регулярности обработки персональных данных, их объема и природы.

Проектам, где данные обрабатываются постоянно, необходим штатный ответственный за персональные данные (DPO) и постоянный представитель в ЕС (DPR), который будет связываться с надзорными органами и принимать ответственность в случае нарушения законодательства ЕС.

Разработка документов в соответствии с требованиями Регламента, а также внутренних практик и политик требуют глубокого юридического анализа, а их выполнение — технического аудита. Кроме того, в процессе обработки персональных данных необходимо придерживаться принципов законности, прозрачности и минимизации данных, что также требует юридической помощи.

Чтобы избежать проблем с персональными данными, рекомендуем с первого дня выхода IT-проекта на европейский рынок обратиться к команде юристов ВигоЛекс. Решать проблемы после их возникновения будет намного сложнее и дороже.

Получить консультацию