DSGVO. Организация защиты личных данных
25 мая 2018 года на территории Евросоюза вступило в действие европейское положение о защите данных DS-GVO. Этот новый свод правил по защите личных данных касается почти каждого предприятия или владельца интернет-ресурса на всем европейском пространстве.
Данная публикация – небольшая подсказка тем, кто до сих пор откладывал реализацию законодательства.
Кто обрабатывает и защищает личные данные в соответствии с DS-GVO?
Обработчики личных данных (компании и организации) должны предпринимать соответствующие технические и организационные меры с учетом современного уровня техники, затрат, характера реализации и других обстоятельств, а также анализа рисков для обеспечения надлежащего уровня защиты личных данных.
Уместно напомнить, что DS-GVO затрагивает компании и организации, которые:
• активны в Интернете;
• имеют наемных сотрудников;
• обрабатывают (используют) личные данные физических лиц, имеющих европейское подданство или проживающих на территории ЕС.
Когда использование личных данных разрешено?
Использование личных данных разрешено в том случае, если лицо, данные которого собираются обрабатывать, соглашается на использование информации о себе (статья 6 (1) lit. а) DS-GVO).
Согласно статье 6 DS-GVO, позволительно использовать личные данные без согласия, если:
• для выполнения юридического обязательства из договора с затронутым лицом требуется обработка (например, адрес клиента для выполнения заказа на месте, или нужно на адрес электронной почты отправить счет клиенту по его просьбе), статья 6 (1) lit. b) DS-GVO;
• необходимо выполнить предконтрактные меры (например, проверить кредитоспособность клиента, послав его данные предприятию по установлению кредитного скоринга), статья 6 (1) lit. b) DS-GVO;
• компания или организация выполняет законное обязательство (например, работодатель обязан сообщить медицинской страховке своего сотрудника его имя, фамилию, дату рождения, номер медицинской страховки, гражданство, начало договора, зарплату, окончание договора и т.д., § 28 SGB IV), статья 6 (1) lit. c) DS-GVO;
• обработка необходима для защиты жизненных интересов субъекта данных или любого другого физического лица, статья 6 (1) lit. d) DS-GVO;
• обработка служит интересам компании или организации, и при этом интересы затронутого лица на необработку не перевешивают (например, обработка IP-адреса для создания связи между компьютером лица и веб-сервером предприятия), статья 6 (1) lit. f) DS-GVO.
Гибкий подход к реализации требований DS-GVO
Любое построение защитных мер требует комплексного подхода, с одной стороны, а с другой – наличия ресурсов (временные, трудовые, финансовые и т.д. затраты). Малым и средним предприятиям тяжело выделить на это соответствующие бюджеты и трудовые ресурсы. Предприниматели могут выбрать защитные меры, «подходящие» для сохранения баланса цена-качество, т.е. средства, которые не жалко потратить на внедрение защиты данных, чтобы и волки остались сыты, и овцы целы. Такой подход к техническим мерам защиты одобряет и новое постановление в статье 32 (1) DS-GVO.
Реализовать все требования DS-GVO одним махом невозможно. Давайте разделим крупную задачу на более мелкие.
Внедрение защитного комплекса условно разделим на две крупные части – онлайн и оффлайн, которые в свою очередь содержат следующие подпункты, в порядке важности:
Организация онлайн защиты личных данных
• Политика конфиденциальности и Impressum;
• формы согласия;
• переход вебсайта с http на https (желательно);
• псевдонимизация и шифрование персональных данных;
• анонимизация IP-адреса;
• обеспечение конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;
• электронные формы хранения и систематизации данных, с возможностью удалять, изменять, вычленять из базы конкретный тип данных;
• договорные отношения с третьими лицами (в т.ч. хостер, провайдер, социальные сети, системы аналитики и т.д.);
• программная защита компьютерной техники от компьютерных угроз;
• документирование каждого этапа организации защиты информации;
• прочее.
Организация оффлайн защиты личных данных
• Политика конфиденциальности;
• формы согласия;
• каталоги обработки;
• соглашения с сотрудниками фирмы (желательно);
• договорные отношения с третьими лицами (налоговые консультанты, банки и прочие сторонние компании, в поле зрения которых попадает собранная конфиденциальная информация);
• назначение ответственного лица по защите/охране личных данных (если требуется);
• внедрение общих правил безопасности на предприятии, инструктаж персонала;
• физическая защита компьютерной техники и иных носителей информации (в т.ч. финансовой и прочей документации), содержащих личные данные физических лиц;
• документирование каждого этапа организации защиты информации;
• прочее.
Естественно, каждый пункт содержит десятки дополнительных подпунктов. Мы вернемся к ним в будущих публикациях. А пока первоочередная задача: залатать дыры на внешнем периметре. Это обозначает приведение в надлежащее состояние своего вебсайта и первую разработку документации, касающейся оффлайн деятельности.
Анализ и аудит состояния защиты личных данных
Первый шаг – это анализ и аудит бизнес-деятельности. Они помогут выявить ее слабые (незащищенные) места, составить список «касаний» с данными физических лиц, проверить и обновить ранее внедренные инструменты защиты.
Краткий перечень уязвимостей, заслуживающих особенного внимания
К ведению бизнеса обычным, не виртуальным способом применяются те же правила и требования, что и к онлайн.
1. Политика конфиденциальности и Impressum.
Дополнительно к Impressum в список обязательных документов добавилась политика конфиденциальности (Datenschutzhinweise). При отсутствии одного из этих документов оператору (владельцу) вебсайта может быть вынесено предупреждение или денежный штраф.
Политика конфиденциальности и Impressum должны быть доступны одним щелчком мыши с каждой подстраницы веб-сайта и четко обозначены. Поэтому не размещайте политику конфиденциальности в Impressum, а выделите каждому документу свое место, с проставлением внутренних ссылок, например, в навигационном меню или «подвале» вебсайта.
Информация в политике конфиденциальности излагается в ясной, прозрачной, понятной и легко доступной форме на понятном языке. Несовместимое содержимое политики конфиденциальности может быть легко найдено, что способствует выявлению потенциальных нарушителей DS-GVO.
В связи с тем, что политику конфиденциальности можно назвать уставом предприятия по соблюдению охраны личных данных, мы рекомендуем отнестись к ее разработке особо ответственно. Она может быть единой и универсальной – как для оффлайн, так и онлайн.
2. Согласие пользователей.
Одно из главнейших условий обработки личной информации – согласие физического лица.
Согласие на обработку данных не связано с требованиями о специальной форме. Устное, письменное и электронное согласие разрешено в соответствии с Общим регламентом защиты данных. Хотя словесное согласие разрешено, всё же старайтесь оформить его в ином виде, которое подтвердит добровольность и сам факт согласия.
Общее согласие не допускается. Согласие дается на выполнение определенной обработки данных в соответствии с конкретно указанной целью.
Отзыв согласия возможен в любой момент, о чем обязательно нужно осведомить. Лицо, давшее свое согласие, имеет право на его отмену или отзыв. Процедура отмены должна быть такой же легкой, как и дача согласия.
По запросу обработчики данных обязаны продемонстрировать надзорным органам соответствие всем требованиям DS-GVO. Поэтому настройте эффективное управление конфиденциальностью и соблюдайте все принципы.
3. Каталоги обработки.
Предприятия, обрабатывающие персональные данные, обязаны документировать все процессы обработки в так называемом «каталоге обработки». Как именно этот каталог должен выглядеть и какие данные в нем указываются, будет рассказано в отдельной публикации.
4. Персонал компании и клиенты.
Сотрудники любой европейской компании – это физические лица, данные которых обрабатываются. Такая же ситуация с клиентами. Если предприятие использует лишь необходимые данные, то их согласие на обработку не нужно. Таким образом можно сэкономить ресурсы, которые необходимы для подготовки, проведения и администрирования согласий.
5. Договора с третьими лицами (процессорами).
Договорные отношения с процессорами (внешними контрагентами), обрабатывающими собранные конфиденциальные данные лиц, следует оформить письменно, составив соглашение о передаче им данных. Следует проверить – обязательно до заключения договора – их на стойкость к требованиям, не забыть об ответственности сторон.
Вместо заключения
Мы рассмотрели наиболее значимые моменты для обеспечения соответствия бизнеса законодательству о защите личных данных. Обязательно вернемся к нераскрытым вопросам в дополнительных публикациях.
Надеемся, что материал послужит ориентиром и окажет помощь на начальном этапе внедрения требований DS-GVO.
У нас всё получится!
Адвокат Роман Пусеп (Кёльн)
Юрист Юрий Джуваго (Дортмунд)
Уважаемые читатели!
Ваши вопросы по данной теме Вы можете задать нашим экспертам на интернет-портале в разделе "Вопрос-ответ" . Ответы будут даны в этом же разделе, а подборка часто задаваемых вопросов будет опубликована в журнале "Партнёр".
Редакция журнала
Читайте также:
- Защита личных данных на предприятии. Технические аспекты. Журнал «Партнёр», № 5 / 2018. Авторы: А. Виноградов, А. Михайлик
- Защита персональных данных коснется всех компаний с мая 2018. Журнал «Партнёр», № 4 / 2018. Интервью с адвокатом Р. Пусепом
- Защита личных данных физических лиц. Журнал «Партнёр», № 3 / 2018. Автор Ю. Джуваго
Мне понравилось?
(Проголосовало: 20)Поделиться:
Комментарии (0)
Удалить комментарий?
Внимание: Все ответы на этот комментарий, будут также удалены!
Редакция не несет ответственности за содержание блогов и за используемые в блогах картинки и фотографии.
Мнение редакции не всегда совпадает с мнением автора.
Оставить комментарий могут только зарегистрированные пользователи портала.
Войти >>