GDPR чек-лист

Как в целом выглядит процесс комплаенса с General Data Protection Regulation (GDPR / ГДПР / он же Общий Регламент о защите персональных данных)? Эта статья представляет собой пошаговую инструкцию, на что нужно обратить внимание при имплементации положений Регламента о защите персональных данных. Определение основных моментов, которые должны приниматься во внимание при подготовке к комплаенсу с  ГДПР, дают лучшее понимание всего процесса и помогут Вам сориентироваться, в каком направлении лучше двигаться. Итак, начнем:

Итак, начнем:

1. Обрабатываются ли персональные данные в вашей компании?

По Регламенту о Защите персональных данных, персональные данные (ПД) — это любая информация, которая касается физического лица, которое идентифицировано или которое можно идентифицировать. То есть, понятие включает в себя четыре элемента: «Любая информация», «информация, которая касается данного лица», «физическое лицо» и «лицо, которое идентифицировано или можно идентифицировать» — больше можете узнать в нашей еще одной статье. ☺

К персональным данным относятся также другие виды информации: IP-адреса, cookies-файлы, коды и т.д., которые позволяют идентифицировать определенное лицо.

Обработка таких данных — это повод задуматься о необходимости комплаенс по GDPR. Но давайте разберемся нужен ли он Вам?

2. Применяется ли к вашей компании GDPR?

Если вы зарегистрированы на территории ЕС (или даже не зарегистрированы, но осуществляете деятельность на территории ЕС, или в процессе осуществления деятельности получаете доступ к персональным данным граждан ЕС, а также тех, кто находится на этой территории) — к Вам будут применяться требования ГДПР.

То есть, GDPR применяется, когда:

1. Компания зарегистрирована в ЕС и обрабатывает ПД лиц с ЕС;
2. Компания зарегистрирована в ЕС и обрабатывает ПД лиц из других стран;
3 Компания зарегистрирована за пределами ЕС, но обрабатывает ПД лиц с ЕС.

Как же определить, осуществляете ли вы свою деятельность на территории ЕС (т.е. таргетируетесь ли Вы на европейский рынок)? 
Следующие критерии помогают надзорным органам определить, что вы предлагаете товары и услуги резидентам государств-членов ЕС:

1. Язык, на котором доступен Ваш сайт — один (или несколько) из языков ЕС;
2. Валюта оплаты товаров / услуг в евро;
3. Регистрация домена в ЕС;
4. Доставка товаров / услуг в ЕС и тому подобное.

Итак, оказалось, что GDPR все-таки применяется. Что дальше?

3. Обрабатываются чувствительные персональные данные (специальные категории данных)?

Среди персональных данных GDPR выделяет так называемые чувствительные данные (специальные категории данных). Они нуждаются в особой защите, поскольку делают человека уязвимым. К ним, в частности, относятся:

• данные о расовой или этнической принадлежности; 
• политические убеждения;
• религиозные или философские верования;
• участие в профсоюзах;
• генетические / биометрические данные;
• состояние здоровья и сексуальной жизни / ориентацию;
• данные о преступлениях и меры уголовной ответственности, применяемые  или которые были применены в прошлом к ​​конкретному лицу.

Эти списки могут быть расширены в национальном законодательстве государств-членов ЕС. Обработка таких данных возможна лишь на основе четких оснований. 

4. Что предусмотрено национальным законодательством?

Обязательно стоит проверить национальные стандарты и требования по обработке персональных данных, которые закреплены в законодательстве конкретного государства — члена ЕС, так как часто национальное законодательство может расширять положения ГДПР. Например, расширение объема регулирования (т.е. не только Регламента, но и требования национального закона) может повлечь за собой:

1. расширение субъектов персональных данных (может включать еще и юридические лица);
2. требования относительно минимального возраста субъектов персональных данных, которые самостоятельно могут давать согласие на обработку данных;
3. Whitelists и Blacklists, то есть согласованные с European Data Protection Board (EDPB) перечни операций, для которых не требуется или, наоборот, обязательно требуется проведение оценки рисков (Data Protection Impact Assessment, DPIA).

Например, для обработки данных в Бельгии, Эстонии и Португалии возраст субъекта данных, который может давать согласие на обработку данных, был снижен до 13 лет, в Австрии и Болгарии — до 14 лет, во Франции и Чехии — до 15 лет, а в Германии и Ирландии — установлен на уровне 16 лет.

Более того, обязательное проведение оценки рисков тоже варьируется от страны к стране:

А) во Франции оценка влияния рисков на защиту персональных данных является обязательным, если владелец сохраняет и обрабатывает персональные данные пациентов в коммерческих целях;

Б) в Польше оценка должна проводиться в тех ситуациях, когда отслеживается вся активность работников на рабочей технике и внутри помещений в крупных компаниях.

Следовательно, при реализации мероприятий по обработке ПД по ГДПР, стоит обращать внимание и на национальное законодательство — особенно если ваша компания зарегистрирована в этой стране и имеет подавляющее большинство покупателей / пользователей именно оттуда.

5. Передаются ПД в третьи страны или международных организаций?

По общему правилу, передача персональных данных за пределы территории Европейского Союза запрещена, если в государстве низкий уровень защиты персональных данных (по сравнению с ЕС) и не приняты специальные средства предупреждения рисков (например, строгие контракты на обработку ПД с подрядчиками из третьих стран и получения согласия на трансфер данных собственных пользователей, чьи данные и будут доступны иностранным партнерам). Однако, ГДПР все же предполагает определенные ситуации, когда такие действия разрешаются:

• Передача на основании решения о соответствии.

На основании решения о соответствии передачи персональных данных в третью страну или международную организацию может происходить, если Европейская Комиссия (одна из семи важнейших институтов ЕС) решила, что третья страна, территория или один из определенных секторов в рамках такой третьей страны, или соответствующая международная организация обеспечивает надлежащий уровень защиты.

Такая передача не требует получения какого-либо специального разрешения. Сейчас Европейская Комиссия выделила 13 таких стран. Украины среди этого перечня нет. Если государство, которому передаются персональные данные, признана adequacy decision — передача ПД разрешена без дополнительных оговорок и мероприятий.

• Передача с учетом надлежащих гарантий.Надлежащими гарантиями считаются следующие действия:

1. юридически обязывающий инструмент, который подлежит применению, между публичными органами или организациями (например, административный договор о разделе полномочий или его аналог)
2. обязательные корпоративные правила (Binding Corporate Rules) в соответствии со статьей 47;
3. стандартные положения по защите данных, указанных в статье 93 (2);
4. стандартные положения о защите данных, принятые надзорным органом и утвержденными Комиссией в соответствии с экспертной процедурой, указанной в статье 93 (2);
5. кодекс поведения в сочетании с обязательствами контроллера или оператора в третьей стране;
6. утвержденный механизм сертификации в сочетании с обязательствами контроллера или обработчика в третьей стране, подлежащих обязательному исполнению, о принятии надлежащих гарантий; или
7. положения договора между контроллером или оператором и контроллером, оператором или получателем персональных данных в третьей стране или международной организации; или
8. положения, которые необходимо включить в административные договоренности между публичными органами или организациями, которые содержат действенные и возможные для выполнения права субъекта данных.

        Отступления от специальных ситуаций

В случае, если не применяется ни первый, ни второй вариант, который делал возможным бы передачу ПД за пределы Европейской экономической зоны, применяются исключения в соответствии со ст. 49 GDPR.
Например, к ним относятся:

• Явное (осведомленное) согласие субъекта на ограниченную передачу;
• Ограниченный перевод, который необходим для выполнения / заключения договора;
• Передача, необходимая для заключения или исполнения договора в интересах субъекта данных между контроллером и другим физическим или юридическим лицом;

Исходя из этого, передача ПД третьим странам или международным организациям возможна только на основании одного из указанных условий.

6. Какую роль в процессе обработки данных выполняет ваша компания?

На этом этапе важно определить роль, которую выполняет Ваша компания: роль контролера или оператора. На последнего же возлагается гораздо меньше ответственности по сравнению с первым. Это связано с тем, что оператор действует исключительно по инструкции владельца. Он не может собирать и обрабатывать ПД другим способом, чем тем, который указан контроллером — практически любые решения оператора требуют получения согласия контроллера. Примером таких правоотношений может служить также оператор / дополнительный оператор (субоператор, или подрядчик моего подрядчика).

Контроллер же занимает главную роль. Он предоставляет гарантии, технические и организационные меры безопасности, дополнительно информирует обработчика об обработке специальных категорий данных, гарантирует, что лица, взявшие на себя обязательства по обработке персональных данных, осуществляют это в соответствии с условиями конфиденциальности; и, конечно же, определяет цели и способы обработки ПД.

В зависимости от того, какая роль выполняется, зависит и объем ответственности и количество обязанностей, компания должна выполнить, чтобы быть в комплаенс.

7. Все ли Политики и другие корпоративные документы, которые касаются обработки персональных данных, соответствуют Регламенту?

Важно регулярно просматривать документы на соответствие с GDPR : включает ли политика конфиденциальности все требования; существует ли определенная политика о сроках хранения данных для всех, и для отдельных категорий субъектов персональных данных; заключены ли соответствующие договора с операторами, которые обрабатывают ПД от Вашего имени.
Вся документация должна быть актуальной и соответствовать положениям ГДПР.

Важно время от времени также проверять решения Европейской комиссии на соответствие норм национальных законодательств. Например, сейчас ведутся переговоры с Южной Кореей — и возможно, у вас есть налаженные отношения с местным гейм-бизнесом?

8. Data Protection Impact Assessment. Когда? Как? Что?

Оценка воздействия на защиту данных, или Data Protection Impact Assessment, является процессом, который позволяет определить и минимизировать риски при обработке персональных данных. Проведение DPIA обязательно только тогда, когда обработка персональных данных «может привести к высокому риску для прав и свобод физических лиц». Чаще всего, DPIA необходимо при использовании автоматизированного принятия решений, профайлинга или обработки Big Data, а также специальных категорий данных, но рекомендуется проводить переоценку каждый раз при существенных изменениях бизнес-процессов.

Этот процесс можно назвать началом самого комплаенса, ведь он происходит еще до начала обработки ПД. На этом этапе привлекается весь персонал, который имеет доступ к персональным данным.

На самом деле, DPIA не так страшен, как его можно представить.
Обычно он имеет форму таблички (как обычный файл или запись в специальной программе), в которую вносятся данные о:

1. Целях обработки данных;
2. Операциях с ПД;
3. Рисках, возникающих при обработке данных;
4. Мероприятиях, направленных на устранение таких рисков и тому подобное.

Проводится он так часто, насколько этого требуют операции, осуществляемые по обработке персональных данных. Это могут быть различные ситуации: передача данных в третью страну или международную организацию, запуск нового продукта, смена персонала.

Ответственность за проведение Data Protection Impact Assessment возлагается именно на владельца, то есть лицо, которое определяет цели обработки данных. Несмотря на то, что предприятия довольно часто нанимают ответственное лицо, отвечающее за надлежащую обработку персональных данных — Data Protection Officer, основной груз ответственности все же несет владелец данных — контроллер.
Больше о Data Protection Impact Assessment вы можете прочитать здесь и здесь.

9. Нужен ли вам в компании Data Protection Officer (DPO / ДПО)?

ГДПР определяет перечень обстоятельств при которых компания обязана назначить DPO.
В свою очередь, ДПО — это лицо, которое назначает владелец данных, для контроля за правильностью применения норм GDPR. Это может быть как работник, так и лицо, работающее по гражданско-правовому договору. Data Protection Officer может выполнять свои функции для разных компаний одновременно — как подрядчик.
Обязательное назначение ДПО требуется если:

1. владелец является публичным учреждением (например, государственным органом)
2. данные обрабатываются в больших масштабах;
3. обрабатываются специальные категории данных.

В обязанности DPO входит предоставление советов контроллеру или процессору при осуществлении обработки персональных данных, коммуникация с надзорным органом, осуществление контроля применения Регламента.
Больше о Data Protection Officer читайте здесь.

10. Знакомы ли операторы с нашими политиками обработки персональных данных и их обязанностями?

Если оператор данных осуществляет любую обработку от имени контроллера, а между двумя сторонами не существует письменного договора — Data Processing Agreement — контроллер данных не придерживается GDPR. 
Этот договор должен включать в себя, следующие положения:

• предмет данных;
• продолжительность обработки ПД;
• характер и назначение обработки;
• категории персональных данных, которые будут обрабатываться;
• категории субъектов данных, личные данные которых будут обрабатываться;
• права и обязанности контролера и оператора и тому подобное.

Вполне вероятно, что в национальном законодательстве сторон договора могут быть еще и дополнительные требования к содержанию или форме таких договоров — это в последствии защитит от возможного аннулирования договора как недействительного и санкций за нарушение порядка передачи персональных данных.

Этот чек-лист является пошаговой инструкцией того, как должен происходить процесс комплаенса. А иначе — ждите штрафы или другие санкции.

Кстати, на нашем сайте для Вас есть бесплатный онлайн-курс по ИТ-праву, первым модулем которого является ГДПР. Ссылки можно найти вооот здесь. 

Однако причиной для соответствия ГДПР не должны быть исключительно страшные санкции. Гораздо лучше, когда компанией движет борьба за доверие и лояльность своих клиентов. Пользователи Интернета могут быть бесконечно далеки от понимания тонкостей технических процессов, но они доверяют Вам информацию о себе — и очень надеются, что с их данными работают профессионалы.

Не упустите еще один шанс показать, насколько квалифицирована и подготовленная ваша команда. А отсутствие штрафов — будет приятным бонусом для Вас.