Логин

Пароль или логин неверны

Введите ваш E-Mail, который вы задавали при регистрации, и мы вышлем вам новый пароль.



 При помощи аккаунта в соцсетях


Журнал «ПАРТНЕР»

Журнал «ПАРТНЕР»
Общество >> Полезная информация
«Партнер» №6 (249) 2018г.

DSGVO. Организация защиты личных данных


25 мая 2018 года на территории Евросоюза вступило в действие европейское положение о защите данных DS-GVO. Этот новый свод правил по защите личных данных касается почти каждого предприятия или владельца интернет-ресурса на всем европейском пространстве.

 

Данная публикация – небольшая подсказка тем, кто до сих пор откладывал реализацию законодательства.

 

Кто обрабатывает и защищает личные данные в соответствии с DS-GVO?

 

Обработчики личных данных (компании и организации) должны предпринимать соответствующие технические и организационные меры с учетом современного уровня техники, затрат, характера реализации и других обстоятельств, а также анализа рисков для обеспечения надлежащего уровня защиты личных данных.

 

Уместно напомнить, что DS-GVO затрагивает компании и организации, которые:

•    активны в Интернете;

•    имеют наемных сотрудников;

•    обрабатывают (используют) личные данные физических лиц, имеющих европейское подданство или проживающих на территории ЕС.

 

Когда использование личных данных разрешено?

 

Использование личных данных разрешено в том случае, если лицо, данные которого собираются обрабатывать, соглашается на использование информации о себе (статья 6 (1) lit. а) DS-GVO).

Согласно статье 6 DS-GVO, позволительно использовать личные данные без согласия, если:

•    для выполнения юридического обязательства из договора с затронутым лицом требуется обработка (например, адрес клиента для выполнения заказа на месте, или нужно на адрес электронной почты отправить счет клиенту по его просьбе), статья 6 (1) lit. b) DS-GVO;

•    необходимо выполнить предконтрактные меры (например, проверить кредитоспособность клиента, послав его данные предприятию по установлению кредитного скоринга), статья 6 (1) lit. b) DS-GVO;

•    компания или организация выполняет законное обязательство (например, работодатель обязан сообщить медицинской страховке своего сотрудника его имя, фамилию, дату рождения, номер медицинской страховки, гражданство, начало договора, зарплату, окончание договора и т.д., § 28 SGB IV), статья 6 (1) lit. c) DS-GVO;

•    обработка необходима для защиты жизненных интересов субъекта данных или любого другого физического лица, статья 6 (1) lit. d) DS-GVO;

•    обработка служит интересам компании или организации, и при этом интересы затронутого лица на необработку не перевешивают (например, обработка IP-адреса для создания связи между компьютером лица и веб-сервером предприятия), статья 6 (1) lit. f) DS-GVO.

 

Гибкий подход к реализации требований DS-GVO

 

Любое построение защитных мер требует комплексного подхода, с одной стороны, а с другой – наличия ресурсов (временные, трудовые, финансовые и т.д. затраты). Малым и средним предприятиям тяжело выделить на это соответствующие бюджеты и трудовые ресурсы. Предприниматели могут выбрать защитные меры, «подходящие» для сохранения баланса цена-качество, т.е. средства, которые не жалко потратить на внедрение защиты данных, чтобы и волки остались сыты, и овцы целы. Такой подход к техническим мерам защиты одобряет и новое постановление в статье 32 (1) DS-GVO.

 

Реализовать все требования DS-GVO одним махом невозможно. Давайте разделим крупную задачу на более мелкие.

 

Внедрение защитного комплекса условно разделим на две крупные части – онлайн и оффлайн, которые в свою очередь содержат следующие подпункты, в порядке важности:

 

Организация онлайн защиты личных данных

•    Политика конфиденциальности и Impressum;

•    формы согласия;

•    переход вебсайта с http на https (желательно);

•    псевдонимизация и шифрование персональных данных;

•    анонимизация IP-адреса;

•    обеспечение конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;

•    электронные формы хранения и систематизации данных, с возможностью удалять, изменять, вычленять из базы конкретный тип данных;

•    договорные отношения с третьими лицами (в т.ч. хостер, провайдер, социальные сети, системы аналитики и т.д.);

•    программная защита компьютерной техники от компьютерных угроз;

•    документирование каждого этапа организации защиты информации;

•    прочее.

 

Организация оффлайн защиты личных данных

•    Политика конфиденциальности;

•    формы согласия;

•    каталоги обработки;

•    соглашения с сотрудниками фирмы (желательно);

•    договорные отношения с третьими лицами (налоговые консультанты, банки и прочие сторонние компании, в поле зрения которых попадает собранная конфиденциальная информация);

•    назначение ответственного лица по защите/охране личных данных (если требуется);

•    внедрение общих правил безопасности на предприятии, инструктаж персонала;

•    физическая защита компьютерной техники и иных носителей информации (в т.ч. финансовой и прочей документации), содержащих личные данные физических лиц;

•    документирование каждого этапа организации защиты информации;

•    прочее.

 

Естественно, каждый пункт содержит десятки дополнительных подпунктов. Мы вернемся к ним в будущих публикациях. А пока первоочередная задача: залатать дыры на внешнем периметре. Это обозначает приведение в надлежащее состояние своего вебсайта и первую разработку документации, касающейся оффлайн деятельности.

 

Анализ и аудит состояния защиты личных данных

 

Первый шаг – это анализ и аудит бизнес-деятельности. Они помогут выявить ее слабые (незащищенные) места, составить список «касаний» с данными физических лиц, проверить и обновить ранее внедренные инструменты защиты.

 

Краткий перечень уязвимостей, заслуживающих особенного внимания

К ведению бизнеса обычным, не виртуальным способом применяются те же правила и требования, что и к онлайн.

 

1.     Политика конфиденциальности и Impressum.

Дополнительно к Impressum в список обязательных документов добавилась политика конфиденциальности (Datenschutzhinweise). При отсутствии одного из этих документов оператору (владельцу) вебсайта может быть вынесено предупреждение или денежный штраф.

Политика конфиденциальности и Impressum должны быть доступны одним щелчком мыши с каждой подстраницы веб-сайта и четко обозначены. Поэтому не размещайте политику конфиденциальности в Impressum, а выделите каждому документу свое место, с проставлением внутренних ссылок, например, в навигационном меню или «подвале» вебсайта.

Информация в политике конфиденциальности излагается в ясной, прозрачной, понятной и легко доступной форме на понятном языке. Несовместимое содержимое политики конфиденциальности может быть легко найдено, что способствует выявлению потенциальных нарушителей DS-GVO.

В связи с тем, что политику конфиденциальности можно назвать уставом предприятия по соблюдению охраны личных данных, мы рекомендуем отнестись к ее разработке особо ответственно. Она может быть единой и универсальной – как для оффлайн, так и онлайн.

 

2.     Согласие пользователей.

Одно из главнейших условий обработки личной информации – согласие физического лица.

Согласие на обработку данных не связано с требованиями о специальной форме. Устное, письменное и электронное согласие разрешено в соответствии с Общим регламентом защиты данных. Хотя словесное согласие разрешено, всё же старайтесь оформить его в ином виде, которое подтвердит добровольность и сам факт согласия.

Общее согласие не допускается. Согласие дается на выполнение определенной обработки данных в соответствии с конкретно указанной целью.

Отзыв согласия возможен в любой момент, о чем обязательно нужно осведомить. Лицо, давшее свое согласие, имеет право на его отмену или отзыв. Процедура отмены должна быть такой же легкой, как и дача согласия.

По запросу обработчики данных обязаны продемонстрировать надзорным органам соответствие всем требованиям DS-GVO. Поэтому настройте эффективное управление конфиденциальностью и соблюдайте все принципы.

 

3.     Каталоги обработки.

Предприятия, обрабатывающие персональные данные, обязаны документировать все процессы обработки в так называемом «каталоге обработки». Как именно этот каталог должен выглядеть и какие данные в нем указываются, будет рассказано в отдельной публикации.

 

4.     Персонал компании и клиенты.

Сотрудники любой европейской компании – это физические лица, данные которых обрабатываются. Такая же ситуация с клиентами. Если предприятие использует лишь необходимые данные, то их согласие на обработку не нужно. Таким образом можно сэкономить ресурсы, которые необходимы для подготовки, проведения и администрирования согласий.

 

5.     Договора с третьими лицами (процессорами).

Договорные отношения с процессорами (внешними контрагентами), обрабатывающими собранные конфиденциальные данные лиц, следует оформить письменно, составив соглашение о передаче им данных. Следует проверить – обязательно до заключения договора – их на стойкость к требованиям, не забыть об ответственности сторон.

 

Вместо заключения

 

Мы рассмотрели наиболее значимые моменты для обеспечения соответствия бизнеса законодательству о защите личных данных. Обязательно вернемся к нераскрытым вопросам в дополнительных публикациях.

 

Надеемся, что материал послужит ориентиром и окажет помощь на начальном этапе внедрения требований DS-GVO.

У нас всё получится!

 

Адвокат Роман Пусеп (Кёльн)

Юрист Юрий Джуваго (Дортмунд)

 

 

Уважаемые читатели!

Ваши вопросы по данной теме Вы можете задать нашим экспертам на интернет-портале в разделе "Вопрос-ответ" . Ответы будут даны в этом же разделе, а подборка часто задаваемых вопросов будет опубликована в журнале "Партнёр".

Редакция журнала

 

Читайте также:

  1. Защита личных данных на предприятии. Технические аспекты. Журнал «Партнёр», № 5 / 2018. Авторы: А. Виноградов, А. Михайлик
  2. Защита персональных данных коснется всех компаний с мая 2018. Журнал «Партнёр», № 4 / 2018. Интервью с адвокатом Р. Пусепом
  3. Защита личных данных физических лиц. Журнал «Партнёр», № 3 / 2018. Автор Ю. Джуваго
 

<< Назад | №6 (249) 2018г. | Прочтено: 822 | Автор: Джуваго Ю. |

Поделиться:




Комментарии (0)
  • Редакция не несет ответственности за содержание блогов и за используемые в блогах картинки и фотографии.
    Мнение редакции не всегда совпадает с мнением автора.


    Оставить комментарий могут только зарегистрированные пользователи портала.

    Войти >>

Удалить комментарий?


Внимание: Все ответы на этот комментарий, будут также удалены!

Топ 20

ALDI и LIDL

Прочтено: 6296
Автор: Мучник С.

Термомикс и компания

Прочтено: 6083
Автор: Мучник С.

Алименты в Германии. Вопросы и ответы

Прочтено: 5567
Автор: Кримханд В.

О дополнительных выплатах Claims Conference

Прочтено: 5219
Автор: Редакция журнала

Больше денег на счету получателя пособия

Прочтено: 4488
Автор: Миронов М.

Берегись автомобиля

Прочтено: 3598
Автор: Kapp H.

Российская пенсия и социальные пособия

Прочтено: 3485
Автор: Рогнер Ю.

Изменения для получателей Grundsicherung

Прочтено: 2742
Автор: Редакция журнала

Изменения в немецком законодательстве в 2018 году

Прочтено: 2704
Автор: Редакция журнала

Введение минимальной зарплаты

Прочтено: 2236
Автор: Мармер Э.