Стандарты GDPR (расшифровка General Data Protection Regulation): что это такое, на кого распространяется положение общего регламента по защите данных в России
Содержание
- Общее представление
- Задачи GDPR по защите персональных данных
- На кого распространяется положение общего регламента по защите данных GDPR
- Кто является участниками обработки ПД
- Какие принципы необходимо соблюдать при обработке данных
- Требования GDPR
- Что нужно сделать, чтобы соблюсти предписания GDPR
- Определитесь, какие сведения вы храните
- Обезопасьте ваш веб-ресурс
- Измените политику конфиденциальности
- Получите разрешение на рассылки
- Запросите разрешение у пользователя на использование cookies
- Проверьте формы, установленные на веб-ресурсе
- Обеспечьте право на доступ к данным
- Минимизируйте риски информационной утечки
- Штрафные санкции за отступление от правил GDPR
- Подведем итоги
- Вопросы-ответы
В этом обзоре мы подробно расскажем, что такое General Data Protection Regulation (GDPR), утвержденный в мае 2018 г в Европейском Союзе, который установил новые принципы для использования персональных данных (ПД). Этот закон о защите конфиденциальности применяется ко всем организациям, которые обрабатывают информацию о жителях Евросоюза, независимо от их местоположения.
Общее представление
Согласно положению, веб-ресурсы обязаны запрашивать разрешение пользователей интернета на применение cookie-файлов, а также информировать их о своей политике конфиденциальности. Документ содержит множество юридических и технических аспектов, устанавливающих правила сбора, обработки, распространения и хранения ПД. Он также определяет роли всех участников процесса, стандарты ответственности и виды согласий. Нарушение этих требований влечет за собой штрафные санкции.
Задачи GDPR по защите персональных данных
К основным целям регламента можно отнести не только защищенность прав граждан Евросоюза, но и автоматизацию обработки частной информации, что способствует сохранению конфиденциальности пользователей и предотвращению утечек. Важным элементом является внедрение единых, стандартизированных методов работы с личными сведениями, которые должны обеспечить гармонизацию подходов среди всех стран ЕС. Кроме того, этот нормативный акт способствует установлению эффективного взаимодействия между различными надзорными органами для обеспечения безопасности идентификации субъектов информации, что повышает доверие к цифровым платформам. Наконец, принятый закон играет значительную роль в поддержании и стимулировании роста цифровой экономики, создавая безопасные условия для дальнейших инноваций и технологических решений.
На кого распространяется положение общего регламента по защите данных GDPR
Законодательного постановления обязаны придерживаться все юридические лица, которые занимаются сбором, обработкой и хранением ПД граждан EU, независимо от их местоположения. Это также касается филиалов российских компаний, находящихся на территории стран Европы, а также организаций, чьи товары или услуги направлены на европейский рынок, если:
- Они адаптированы под европейские языки.
- Располагаются на сайтах с доменным именем стран ЕС.
- Предоставляют возможность оплаты в европейских валютах.
- Имеют возможность доставки товаров или оказания услуг на территории Евросоюза.
Относительно применения GDPR в России, то закон имеет экстерриториальное действие, и это означает, что российский бизнес, работающий с ЕС, также должен соблюдать его требования. Положение относится и к тем организациям, которые работают на территории одного из государств – членов Евросоюза, а также тех, кто занимается онлайн-продажами в РФ и осуществляет сбор и хранение персональных сведений европейских граждан. Примером таких компаний могут быть авиакомпании, РЖД, гостиницы, хостелы и другие учреждения. Положению должны следовать организации, в которых работают сотрудники или контрагенты из Европейского союза.
Что касается того, обязателен ли общий регламент по защите данных СДО и на кого распространяется это положение, то такие системы уже обеспечивают сохранность частной информации, соблюдая применяемые нормативные требования. Однако если студентами становятся граждане ЕС, то учебные заведения обязаны соблюдать положения нормативного акта в обязательном порядке.
Кто является участниками обработки ПД
В ст. 4 закона указано, что в процессе использования персональных сведений участвуют три стороны.
Контролер
К этой категории относятся компании, которые определяют, какие ПД пользователя следует собирать, как и с какой целью они будут использоваться. Эти организации обязаны:
- Обеспечивать законность и прозрачность процесса обработки персональной информации.
- Получать согласие субъектов на сбор сведений.
- Предоставлять возможность получения копии материалов в читаемом виде, их удаления, ограничения или редактирования.
- Уведомлять регулирующие органы о каждом нарушении или утечке сведений в течение 72 часов.
Контролер внедряет технические решения и организационные процедуры для обеспечения безопасности данных. Чтобы лучше понять это, можно использовать метафору с кораблем: капитан судна решает, куда оно направится (цель), и какую команду нанять для выполнения задачи (например, Яндекс.Диск).
Оператор
К этой категории относятся компании, которые обрабатывают персональные сведения от имени и по поручению контроллера. Оператор, или процессор, обязан создать надежную IT-инфраструктуру и обеспечить защиту частной информации, предотвращая ее утрату, несанкционированный доступ или попадание в руки третьих лиц. Он также следит за тем, чтобы сведения всегда были доступны и в безопасности. Если вернуться к метафоре с кораблем, оператор в этом случае — это команда, которая выполняет указания капитана. Она не ставит цели, а лишь выполняет поставленные задачи.
Субъекты данных
К ним относятся только физлица, чьи персонализированные сведения подлежат обработке. Эти лица имеют право запрашивать у оператора:
- Цели и правовые основания для работы с частной информацией.
- Запрет на использование их сведений для рассылок, звонков или рекламы.
- Удаление, ограничение или редактирование ПД.
В случае нарушения закона обладатели персональной информации имеют право оспорить действия оператора в соответствующих органах. Примером таких лиц могут быть покупатели интернет-магазинов или пользователи сайтов. Юрлица не являются владельцами личных сведений.
Какие принципы необходимо соблюдать при обработке данных
Рассмотрим семь основных положений стандарта GDPR, которым необходимо следовать должным образом.
| Принципы | Суть | Применение |
| Законное основание, справедливость и прозрачность | Должны быть легитимные основания для использования ПД с сохранением открытости и честности | Все методы и задачи сбора и обработки приватных сведений следует четко излагать в политике конфиденциальности |
| Ограничение целей | Компании должны обозначать, для чего они собирают информацию о клиентах, и использовать ее только по назначению | В документе необходимо прописать целевое назначение сбора данных |
| Минимизация объема ПД | Организации должны аккумулировать только те сведения, которые нужны для достижения поставленной цели | Если требуется создание рассылок, достаточно только e-mail, для рекламы — cookie, отслеживания трафика — доменные имена и URL-ссылки и т. д. |
| Точность и актуальность | Компании обязаны учитывать корректность ПД и актуализировать их по мере необходимости | Неточные сведения нужно удалять или исправлять по требованию пользователей |
| Ограничение хранения | Принцип основан на гарантии сохранения только необходимой информации о субъекте | Хранить приватные данные только до момента осуществления юридических обязательств, затем удалить их |
| Целостность и конфиденциальность | Защищать частные сведения от нелегального доступа, искажения, уничтожения | Применять новейшие технологии защиты ПД, в т. ч. шифрование и тестирование |
| Подотчетность | Контролер несет ответственность за соблюдение безопасного хранения и проявление готовности показывать соответствие по запросам регулятора | Компания обязана вести подробное документирование процессов обработки частной информации, составлять отчеты и назначать ответственных по сохранности ПД |
Требования GDPR
Чтобы соответствовать нормам закона, нужно соблюдать ряд правил. Рассмотрим их в виде таблицы с пояснениями.
| Регламент | Пояснения |
| Разрешение на обработку ПД | Запрос необходимо ставить ясно, информативно и недвусмысленно в виде утверждения или действий пользователя с возможностью отзыва |
| Обрабатывание личных сведений должно основываться на законодательстве, быть справедливым и прозрачным | Информация о целях, способах и объеме обработки ПД должна быть изложена простым и доступным языком. |
| Оповещение об эпизодах нарушения постановления | Организации обязаны ставить в известность регулятора о любых противоправных действиях со стороны третьих лиц, связанных с персональными данными |
| Права субъекта ПД | Требование состоит в том, что он может получить бесплатно всю информацию, касающуюся его личных сведений |
| Защита детей | Разрешение на обработку ПД должно быть предоставлено родителями или опекунами в зависимости от возрастного порога, установленного странами ЕС (13-16 лет) |
| Легитимность на переносимость данных | Организации обязаны обеспечивать передачу электронных копий ПД другим компаниям по запросу пользователя |
| Назначение ответственного лица за сохранность персонифицированной информации | Юридические лица должны передавать сведения о таком сотруднике национальному регулятору |
Что нужно сделать, чтобы соблюсти предписания GDPR
Следуйте следующим правилам, чтобы соответствовать нормативам регламента.
Определитесь, какие сведения вы храните
Чтобы соответствовать требованиям, необходимо соблюдать несколько ключевых правил. Прежде всего, важно точно определить, какие ПД вы собираете и храните. Нужно разобраться, содержат ли эти они конфиденциальную информацию, и какие меры защиты предусмотрены для их безопасности.
Также нужно учитывать, собирает ли ваш сайт ПД о пользователях моложе 16 лет и с какой целью они используются. Важно понять, для чего вам необходимы эти данные и каким образом было получено согласие на их обработку, где они хранятся и кто может ими пользоваться.
Если в процессе использования информации участвуют третьи стороны, важно учитывать, находятся ли они за пределами Европейской экономической зоны. Кроме того, важно установить, как долго следует хранить ПД и есть ли возможность их удаления или анонимизации при необходимости.
Обезопасьте ваш веб-ресурс
Не секрет, что многие сайты становятся целью хакерских атак и взломов. Поскольку GDPR направлен на защиту прав граждан, администраторы обязаны обеспечивать безопасность не только интернет-ресурсов, но и хранимой на них информации. Для этого необходимо предпринять несколько важных шагов:
- Установить цифровой сертификат для обеспечения защищенного зашифрованного соединения.
- Настроить надежные пароли к учетным записям администраторов и ограничить доступ с помощью определенных IP-адресов, CAPTCHA, а также ограничить количество попыток входа.
- Удалите ненужные плагины и темы.
- При обработке информации о финансовых транзакциях настройте дополнительную защиту на сервере.
- Сотрудничайте с провайдерами, которые могут защитить от DDoS-атак.
- Используйте антивирусы и другие средства безопасности от несанкционированного доступа.
- Храните только те ПД, которые действительно необходимы для работы сайта.
- Удаляйте данные, в которых больше нет необходимости.
- Создавайте резервные копии ПД в нескольких местах.
Измените политику конфиденциальности
Документ должен регулярно проверяться и обновляться, чтобы включать такую информацию:
- Название компании, которая осуществляет сбор и обработку сведений, а также контактные данные (адрес, электронная почта).
- Типы собираемых ПД и цели, с которыми они собираются.
- Лица или организации, которым может быть передана личная информация (например, провайдеры, рекламные сервисы).
- Сведения о передаче ПД в третьи страны, а также перечень этих государств.
- Параметры, которые определяют срок хранения данных и условия их удаления.
Получите разрешение на рассылки
При использовании сервисов email-маркетинга интернет-пользователи должны дать свое согласие на получение таких писем. Также необходимо предоставить возможность отписаться от рассылок в любое время.
Запросите разрешение у пользователя на использование cookies
Баннер информирует интернет-пользователей о том, что веб-ресурс использует текстовые файлы, которые сохраняются на сервере через браузер при посещении страницы. На нем также должна быть предусмотрена возможность отказаться от хранения cookie-файлов. Добавление опции настроек «куки» позволит пользователю самому выбирать разрешенные категории. В том случае, когда баннер был проигнорирован, значит, согласие не получено.
Проверьте формы, установленные на веб-ресурсе
Если поля для ввода присутствуют, необходимо сделать следующее:
- Добавьте документ и ссылку на него, в котором указывается соблюдение конфиденциальности, а также цель сбора ПД и пункт, позволяющий запретить использование данных.
- Предоставьте возможность пользователю подтвердить согласие на сбор информации.
- Добавьте в форму чекбокс для подтверждения разрешения на получение сообщений.
Проверьте сторонних поставщиков и партнеров, обрабатывающих ваши ПД
Если внешние сервисы или контрагенты выполняют действия от вашего имени, необходимо удостовериться, что они действуют в рамках GDPR. Следует ознакомиться с их политикой конфиденциальности, которая должна быть согласована с вашим документом.
Обеспечьте право на доступ к данным
Если ваш веб-ресурс отправляет личные сведения из стран ЕС в другие государства, необходимо проверить следующие критерии:
- Проведена ли оценка рисков перед передачей информации.
- Соответствует ли страна-получатель требуемому уровню защищенности ПД.
- Подписаны ли все соглашения с контрагентом.
Минимизируйте риски информационной утечки
Для этого необходимо:
- Вести учет всех действий при работе с ПД.
- В случае выявления уязвимостей блокировать доступ к интернет-ресурсу до их устранения.
- Проанализировать место и время утечки, определить, какая именно информация была раскрыта, а также оценить последствия для пользователей.
- В случае несанкционированного разглашения сведений сообщить надзорным органам в течение трех дней.
- Уведомить интернет-пользователей о разглашении ПД, а также проинформировать, как они могут защитить свои личные данные.
- Отредактировать политику конфиденциальности и процессы, чтобы предотвратить повторение утечек.
- Создать план действий на случай повторного несанкционированного доступа.
Штрафные санкции за отступление от правил GDPR
Штрафы могут достигать 20 млн € или 4% годового оборота компании с учетом степени нанесенного ущерба, преднамеренности действий и других факторов.
Примеры
За несоблюдение общего регламента по защите данных, которые защищают права лиц, уже были привлечены к ответственности ряд крупных компаний. В 2018 году сеть отелей «Marriott International» была оштрафована властями Великобритании на 24 млн $ за случай с утечкой ПД. В 2019 г. правительство Франции взыскало с «Google» 53 миллиона американских долларов за то, что личные сведения пользователей были использованы в маркетинговых целях без согласия субъектов. Еще одним примером крупного штрафа в 2019 г. за утечку ПД более 500 тыс. клиентов является британская авиакомпания «British Airways». Она была оштрафована на $230 млн.
Подведем итоги
В статье рассмотрели, что такое закон GDPR, расшифровку аббревиатуры, а также что этот регламент значит для защиты персональных данных и действует ли он в России. Основные принципы этого законодательства необходимо тщательно изучить и соблюдать, если вы осуществляете сбор, обработку и хранение ПД граждан ЕС.
Если вам нужна помощь в обеспечении соответствия требованиям General Data Protection Regulation, компания Клеверенс предлагает комплексные решения в области разработки программного обеспечения и защиты информации. Мы обеспечим безопасность ваших сведений, гарантируя соблюдение всех стандартов и нормативов.
Вопросы-ответы
Какие ПД подпадают под регламент?
К ним относятся все данные, которые могут быть использованы для идентификации личности, такие как имя, контактная информация, местоположение, IP-адрес, cookie-файлы, финансовые и медицинские факты, биометрия и другие характеристики, позволяющие распознать человека.
Как бизнесу подготовиться к соблюдению GDPR?
Для этого необходимо:
- провести аудит сохраненных ПД;
- обновить Privacy Policy;
- предоставить возможность пользователям управлять своими приватными сведениями;
- обеспечить мероприятия по безопасному хранению частной информации;
- назначить ответственное лицо за защиту персонифицированных данных.
Каким компаниям необходимо назначить специалиста по защите ПД?
Прежде всего организациям, которые занимаются регулярной и систематической обработкой персональных данных в больших объемах. Компаниям, которые обрабатывают медицинские, биометрические сведения или информацию, связанную с преступной деятельностью. Органам государственной власти или публичным учреждениям. Такой специалист должен следить за соблюдением законодательства по защите ПД, проводить обучение сотрудников и взаимодействовать с регулирующими органами.