Соблюдение требований европейского законодательства о защите персональных данных

После четырех лет подготовки и дебатов Положение о защите персональных данных (General Data Protection Regulation (GDPR)) было окончательно утверждено парламентом Европейского Союза 14 апреля 2016 года. Оно вступит в силу через 20 дней после его публикации в Официальном журнале ЕС и будет применяться непосредственно во всех государствах-членах ЕС через два года после этой даты. Дата вступления Положения в силу - 25 мая 2018 года, когда организации, уличенные в его несоблюдении, столкнутся с большими штрафами.

Положение о защите персональных данных ЕС заменяет Директиву по защите данных 95/46/ EC и было разработано для согласования законодательства о конфиденциальности данных в Европе, для защиты и обеспечения конфиденциальности персональных данных всех граждан ЕС, а также обеспечения единого подхода местных органов управления к  данному вопросу.

Как упоминалось выше, оно вступит в силу 25 мая 2018 года. И до этого времени компании должны обеспечить соответствие собственной деятельности, связанной с хранением, обработкой и защитой персональных данных, всем требованиям Положения.

Для подготовки компании к соблюдению требований Положения, должны быть предприняты следующие шаги:

1) Оценка существующих систем баз данных, политики и процедур получения, хранения, защиты и обработки данных. Для этого необходимо:

o Определить, какие данные хранятся, где они хранятся и как они защищены. Какое программное обеспечение и технологии используются для защиты данных?

o Пересмотреть текущие политики и процедуры, связанные с данными, включая шифрование, удаленный доступ, мобильные устройства, конфиденциальную информацию, процедуры выхода из системы HR, третьих лиц и уведомления о нарушениях данных.

o Рассмотреть возможность привлечения сторонней компании по обеспечению безопасности данных для объективной оценки системы.

2) Определение рисков и пробелов в системе для обеспечения ее соответствия требованиям Положения. Подразумевает объективные ответы на вопросы:

o Обеспечивают ли действующие системы, политики и процедуры защиту данных? Существуют ли риски нарушения данных?

o Соблюдаются ли права владельцев персональных данных: существуют ли системы для передачи персональных данных другим компаниям и для удаления личных данных по запросу?

o Являются ли разрешения клиентов на использование их персональных данных строго определенными в части целей и сроков?

3) Определение способов решения проблем и создание графика их реализации:

o Исследуйте подходящие решения для любых выявленных рисков или пробелов в системе.

o Решения должны быть реализованы до вступления в силу Положения.

4) Назначение сотрудника, ответственного за защиту данных, или контактного лица:

o Сотрудник по защите персональных данных (ЗПД) может быть назначен, если это необходимо для бизнеса, или может быть назначено внутреннее контактное лицо, которое инициирует действия по защите данных и, при необходимости, осуществляет связь с Отделом защиты данных.

o Сотрудник по ЗПД или контактное лицо должны напрямую связываться с высшим руководством компании для обсуждения стратегий защиты данных и их утверждения.

5) Обучение и повышение квалификации персонала. Необходимо:

o Обеспечить понимание сотрудниками важности защиты данных и знания о любых новых / измененных процессах в соответствии с требованиями Положения.

o Обеспечить взаимодействие внутренних подразделений организации (таких, как ИТ, безопасность, юридическое и комплаенс – подразделения) в целях защиты данных.

 

ЧТО ВАМ ДЕЙСТВИТЕЛЬНО НУЖНО ЗНАТЬ

Ниже приведены ключевые моменты Положения, а также информация о влиянии, которое оно будет оказывать на бизнес.

• Увеличение территориального охвата (экстра-территориальная применимость)

Возможно, самое большое изменение в нормативном плане конфиденциальности данных связано с расширенной юрисдикцией Положения, поскольку оно применяется ко всем компаниям, обрабатывающим персональные данные субъектов данных, проживающих в Европейском Союзе, независимо от местонахождения компаний. Раньше территориальная применимость директивы была неоднозначной и относилась к процессу данных «в контексте учреждения». Данная тема фигурировала в ряде судебных разбирательств высокого уровня. Положение о защите персональных данных четко определило географические границы ег применения - требования будут применяться к обработке персональных данных контроллерами и процессорами ЕС, независимо от того, происходит ли обработка персональных данных в ЕС или нет. Положение также будет применяться к обработке персональных данных субъектов данных в ЕС контроллером или процессором, не находящимся в ЕС, когда их деятельность связана с предложением товаров или услуг гражданам ЕС (независимо от того, требуется ли оплата) и мониторингом поведения, имеющим место в ЕС. Компании, не входящие в EС, обрабатывающие данные граждан ЕС, также должны будут назначить представителя в ЕС.

• Штрафы

Организации, деятельность которых связана с персональными данными, нарушающие требования Положения, могут быть оштрафованы на сумму, составляющую до 4% их общего годового оборота или до 20 млн. Евро (в зависимости от того, что больше). Это максимальный штраф, который может быть наложен за самые серьезные нарушения. Например, обработку персональных данных в отсутствие согласия клиента, или нарушение конфиденциальности данных. Существует многоуровневый подход к штрафам, например. компания может быть оштрафована на сумму, соотвествующую 2% ее годового оборота за то, что у нее нет порядка в записях (статья 28), неуведомление надзорного органа и субъекта данных о нарушении, непроведение оценки воздействия. Важно отметить, что эти правила применяются как к контроллерам, так и к процессорам, что означает, что «облака» также не будут освобождены от принудительного исполнения Положения.

• Согласие

Условия согласия на предоставление и обработку персональных данных были ужесточены, и компании больше не смогут использовать длинные неразборчивые условия, полные юридических терминов, поскольку просьба о согласии должна быть предоставлена ​​в понятной и легкодоступной форме в целях обработки данных, прилагаемых к этому согласию. Согласие должно быть четким и отличным от других вопросов (отдельным), и предоставляться в понятной и легкодоступной форме с использованием понятного и простого языка. Отозвать согласие должно быть так же легко, как и предоставить его.

• Права субъекта персональных данных

Уведомление о нарушении

В соответствии с Положением о защите персональных данных, уведомление о нарушении конфиденциальности данных станет обязательным во всех государствах - членах ЕС, где это нарушение может «привести к риску для прав и свобод отдельных лиц». Уведомление должно быть направлено в течение 72 часов с момента первого осознания нарушения. Организации, осуществляющие обработку данных (процессораы данных) также будут обязаны незамедлительно («без неоправданной задержки») сообщать своим клиентам и контроллерам о нарушении конфиденциальности данных, как только они впервые узнают об этом.

• Право на доступ

Частью расширенных прав субъектов персональных данных, обозначенных в Положении, является право субъектов данных получить от контроллера (диспетчера) данных подтверждение о том, обрабатываются ли их персональные данные, где и с какой целью. Кроме того, диспетчер должен бесплатно предоставить субъекту персональных данных копию его личных данных в электронном формате. Это изменение- значительный шаг к переходу к прозрачности данных и расширению прав и возможностей субъектов персональных данных.

• Право на забвение

Также известное, как «Удаление данных», право на забвение дает субъекту персональных данных возможность обязать контроллера данных удалить его персональные данные, прекратить их дальнейшее распространение и, потенциально, может заставить третьих лиц прекратить обработку данных. Условиями удаления данных, как указано в статье 17, может стать тот факт, что данные больше не имеют отношения к исходным целям их обработки, или субъекты данных, снимающие согласие. Следует также отметить, что это право требует от контролеров сравнить права субъектов на «общественный интерес в доступности данных» при рассмотрении таких запросов.

• Перенос данных

Положение вводит понятие переноса данных – это право субъектов персональных данных получить собственные персональные данные, которые они ранее предоставили, в «широкое использование и в машинописном формате» и передавать эти данные другому контроллеру.

• Конфиденциальность на стадии дизайна

Конфиденциальность на стадии дизайна, как концепция, существует уже много лет, но она только сейчас становится частью юридических требований к защите персональных данных. В своей основе конфиденциальность на стадии дизайна требует включения защиты персональных данных с самого начала проектирования системы, а не в качестве добавления к ней. В частности: «Контролер должен … надлежащим образом реализовать соответствующие технические и организационные меры .. максимально эффективным образом .. для обеспечения соответствия требованиям настоящего Положения и защиты прав субъектов персональных данных». Статья 23 призывает контролеров удерживать и обрабатывать только те данные, которые абсолютно необходимы им для выполнения их обязанностей (минимизировать данные), а также обеспечить ограничение доступа к персональным данным тем, кто должен заниматься их обработкой.

• Сотрудники по защите данных

В настоящее время диспетчеры должны сообщать о своих действиях по обработке персональных данных в местные Управления защиты данных, что для транснациональных корпораций может быть бюрократическим кошмаром, поскольку большинство государств – членов ЕС имеют разные требования к уведомлению. В соответствии с Положением, нет необходимости представлять уведомления / регистрацию о деятельности по обработке данных в каждое местное Управление защиты данных, а также не требуется уведомлять / получать разрешение на переводы, основанные на типовых положениях контрактов (MCC). Вместо этого должны будут соблюдаться требования внутреннего учета, как поясняется ниже, а назначение сотрудника по защите данных будет обязательным только для тех контроллеров и процессоров, основные виды деятельности которых состоят из операций обработки, которые требуют регулярного и систематического мониторинга данных в крупном масштабе или специальных категорий данных или данных, относящихся к уголовным судимостям и правонарушениям.

Важно отметить, что в отношении сотрудника по защите данных должны выполняться следующие требования:

• Он должен быть назначен с учетом профессиональных качеств и, в частности, наличия экспертных знаний о законах и практике защиты данных.

• Им может быть сотрудник организации или внешний поставщик услуг.

• Контактная информация должна быть предоставлена ​​в соответствующее Управление защиты данных.

• Сотруднику должны быть предоставлены соответствующие ресурсы для выполнения своих задач и поддержания экспертных знаний.

• Сотрудник должен отчитываться непосредственно высшему руководству организации (компании).

• Сотрудник не должен выполнять любые другие задачи, которые могут привести к конфликту интересов.

В дополнение к изложенному Pitsas Insurances хотелось бы отметить, что требования к защите персональных данных налагают определенные обязанности как на компании, осуществляющие их сбор, хранение, использование и обработку, так и на самих владельцев персональных данных. Поэтому мы обращаемся к Вам, уважаемые клиенты, с просьбой с пониманием отнестись к нашим требованиям и требованиям страховых компаний о заполнении соответствующей документации, подтверждающей Ваше бесспорное согласие на нашу работу с Вашими персональными данными, необходимыми нам для расчета Вашей страховой премии и оформления Вашего полиса страхования.