DSGVO. Организация защиты личных данных

25 мая 2018 года на территории Евросоюза вступило в действие европейское положение о защите данных DS-GVO. Этот новый свод правил по защите личных данных касается почти каждого предприятия или владельца интернет-ресурса на всем европейском пространстве.

Данная публикация – небольшая подсказка тем, кто до сих пор откладывал реализацию законодательства.

Кто обрабатывает и защищает личные данные в соответствии с DS-GVO?

Обработчики личных данных (компании и организации) должны предпринимать соответствующие технические и организационные меры с учетом современного уровня техники, затрат, характера реализации и других обстоятельств, а также анализа рисков для обеспечения надлежащего уровня защиты личных данных.

Уместно напомнить, что DS-GVO затрагивает компании и организации, которые:

•    активны в Интернете;

•    имеют наемных сотрудников;

•    обрабатывают (используют) личные данные физических лиц, имеющих европейское подданство или проживающих на территории ЕС.

Когда использование личных данных разрешено?

Использование личных данных разрешено в том случае, если лицо, данные которого собираются обрабатывать, соглашается на использование информации о себе (статья 6 (1) lit. а) DS-GVO).

Согласно статье 6 DS-GVO, позволительно использовать личные данные без согласия, если:

•    для выполнения юридического обязательства из договора с затронутым лицом требуется обработка (например, адрес клиента для выполнения заказа на месте, или нужно на адрес электронной почты отправить счет клиенту по его просьбе), статья 6 (1) lit. b) DS-GVO;

•    необходимо выполнить предконтрактные меры (например, проверить кредитоспособность клиента, послав его данные предприятию по установлению кредитного скоринга), статья 6 (1) lit. b) DS-GVO;

•    компания или организация выполняет законное обязательство (например, работодатель обязан сообщить медицинской страховке своего сотрудника его имя, фамилию, дату рождения, номер медицинской страховки, гражданство, начало договора, зарплату, окончание договора и т.д., § 28 SGB IV), статья 6 (1) lit. c) DS-GVO;

•    обработка необходима для защиты жизненных интересов субъекта данных или любого другого физического лица, статья 6 (1) lit. d) DS-GVO;

•    обработка служит интересам компании или организации, и при этом интересы затронутого лица на необработку не перевешивают (например, обработка IP-адреса для создания связи между компьютером лица и веб-сервером предприятия), статья 6 (1) lit. f) DS-GVO.

Гибкий подход к реализации требований DS-GVO

Любое построение защитных мер требует комплексного подхода, с одной стороны, а с другой – наличия ресурсов (временные, трудовые, финансовые и т.д. затраты). Малым и средним предприятиям тяжело выделить на это соответствующие бюджеты и трудовые ресурсы. Предприниматели могут выбрать защитные меры, «подходящие» для сохранения баланса цена-качество, т.е. средства, которые не жалко потратить на внедрение защиты данных, чтобы и волки остались сыты, и овцы целы. Такой подход к техническим мерам защиты одобряет и новое постановление в статье 32 (1) DS-GVO.

Реализовать все требования DS-GVO одним махом невозможно. Давайте разделим крупную задачу на более мелкие.

Внедрение защитного комплекса условно разделим на две крупные части – онлайн и оффлайн, которые в свою очередь содержат следующие подпункты, в порядке важности:

Организация онлайн защиты личных данных

•    Политика конфиденциальности и Impressum;

•    формы согласия;

•    переход вебсайта с http на https (желательно);

•    псевдонимизация и шифрование персональных данных;

•    анонимизация IP-адреса;

•    обеспечение конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;

•    электронные формы хранения и систематизации данных, с возможностью удалять, изменять, вычленять из базы конкретный тип данных;

•    договорные отношения с третьими лицами (в т.ч. хостер, провайдер, социальные сети, системы аналитики и т.д.);

•    программная защита компьютерной техники от компьютерных угроз;

•    документирование каждого этапа организации защиты информации;

•    прочее.

Организация оффлайн защиты личных данных

•    Политика конфиденциальности;

•    формы согласия;

•    каталоги обработки;

•    соглашения с сотрудниками фирмы (желательно);

•    договорные отношения с третьими лицами (налоговые консультанты, банки и прочие сторонние компании, в поле зрения которых попадает собранная конфиденциальная информация);

•    назначение ответственного лица по защите/охране личных данных (если требуется);

•    внедрение общих правил безопасности на предприятии, инструктаж персонала;

•    физическая защита компьютерной техники и иных носителей информации (в т.ч. финансовой и прочей документации), содержащих личные данные физических лиц;

•    документирование каждого этапа организации защиты информации;

•    прочее.

Естественно, каждый пункт содержит десятки дополнительных подпунктов. Мы вернемся к ним в будущих публикациях. А пока первоочередная задача: залатать дыры на внешнем периметре. Это обозначает приведение в надлежащее состояние своего вебсайта и первую разработку документации, касающейся оффлайн деятельности.

Анализ и аудит состояния защиты личных данных

Первый шаг – это анализ и аудит бизнес-деятельности. Они помогут выявить ее слабые (незащищенные) места, составить список «касаний» с данными физических лиц, проверить и обновить ранее внедренные инструменты защиты.

Краткий перечень уязвимостей, заслуживающих особенного внимания

К ведению бизнеса обычным, не виртуальным способом применяются те же правила и требования, что и к онлайн.

1.     Политика конфиденциальности и Impressum.

Дополнительно к Impressum в список обязательных документов добавилась политика конфиденциальности (Datenschutzhinweise). При отсутствии одного из этих документов оператору (владельцу) вебсайта может быть вынесено предупреждение или денежный штраф.

Политика конфиденциальности и Impressum должны быть доступны одним щелчком мыши с каждой подстраницы веб-сайта и четко обозначены. Поэтому не размещайте политику конфиденциальности в Impressum, а выделите каждому документу свое место, с проставлением внутренних ссылок, например, в навигационном меню или «подвале» вебсайта.

Информация в политике конфиденциальности излагается в ясной, прозрачной, понятной и легко доступной форме на понятном языке. Несовместимое содержимое политики конфиденциальности может быть легко найдено, что способствует выявлению потенциальных нарушителей DS-GVO.

В связи с тем, что политику конфиденциальности можно назвать уставом предприятия по соблюдению охраны личных данных, мы рекомендуем отнестись к ее разработке особо ответственно. Она может быть единой и универсальной – как для оффлайн, так и онлайн.

2.     Согласие пользователей.

Одно из главнейших условий обработки личной информации – согласие физического лица.

Согласие на обработку данных не связано с требованиями о специальной форме. Устное, письменное и электронное согласие разрешено в соответствии с Общим регламентом защиты данных. Хотя словесное согласие разрешено, всё же старайтесь оформить его в ином виде, которое подтвердит добровольность и сам факт согласия.

Общее согласие не допускается. Согласие дается на выполнение определенной обработки данных в соответствии с конкретно указанной целью.

Отзыв согласия возможен в любой момент, о чем обязательно нужно осведомить. Лицо, давшее свое согласие, имеет право на его отмену или отзыв. Процедура отмены должна быть такой же легкой, как и дача согласия.

По запросу обработчики данных обязаны продемонстрировать надзорным органам соответствие всем требованиям DS-GVO. Поэтому настройте эффективное управление конфиденциальностью и соблюдайте все принципы.

3.     Каталоги обработки.

Предприятия, обрабатывающие персональные данные, обязаны документировать все процессы обработки в так называемом «каталоге обработки». Как именно этот каталог должен выглядеть и какие данные в нем указываются, будет рассказано в отдельной публикации.

4.     Персонал компании и клиенты.

Сотрудники любой европейской компании – это физические лица, данные которых обрабатываются. Такая же ситуация с клиентами. Если предприятие использует лишь необходимые данные, то их согласие на обработку не нужно. Таким образом можно сэкономить ресурсы, которые необходимы для подготовки, проведения и администрирования согласий.

5.     Договора с третьими лицами (процессорами).

Договорные отношения с процессорами (внешними контрагентами), обрабатывающими собранные конфиденциальные данные лиц, следует оформить письменно, составив соглашение о передаче им данных. Следует проверить – обязательно до заключения договора – их на стойкость к требованиям, не забыть об ответственности сторон.

Вместо заключения

Мы рассмотрели наиболее значимые моменты для обеспечения соответствия бизнеса законодательству о защите личных данных. Обязательно вернемся к нераскрытым вопросам в дополнительных публикациях.

Надеемся, что материал послужит ориентиром и окажет помощь на начальном этапе внедрения требований DS-GVO.

У нас всё получится!

Адвокат Роман Пусеп (Кёльн)

Юрист Юрий Джуваго (Дортмунд)

Читайте также:

1. Защита личных данных на предприятии. Технические аспекты. Журнал «Партнёр», № 5 / 2018. Авторы: А. Виноградов, А. Михайлик
2. Защита персональных данных коснется всех компаний с мая 2018. Журнал «Партнёр», № 4 / 2018. Интервью с адвокатом Р. Пусепом
3. Защита личных данных физических лиц. Журнал «Партнёр», № 3 / 2018. Автор Ю. Джуваго