Право Ekaterina Ovechkina
21 242

GDPR вступает в силу через неделю — 25 мая: что это такое, кого коснётся и как быстро подготовиться

Обзор от юриста адвокатского бюро Buzko & Partners Екатерины Овечкиной.

В закладки

Заметили, что в последнее время вам на почту приходят уведомления от различных сервисов об изменениях в правилах обработки персональных данных? Так компании готовятся к вступлению в силу Общего регламента по защите данных или General Data Protection Regulation (GDPR), которое запланировано 25 мая 2018 года.

GDPR вводит новые правила обработки персональных данных и имеет экстерриториальное действие — распространяется на все компании в мире, которые обрабатывают персональные данные граждан Европейского союза (ЕС). Если вы уверены что GDPR не имеет к вам и вашей компании никакого отношения, дальше можно не читать. Строго говоря, этим летом под GDPR попадёт каждый паб в Саранске, который примет к оплате кредитку датского викинга в день игры датчан против перуанцев 16 июня. Не говоря уже о хостелах и отелях.

Ниже рассмотрены основные особенности GDPR, приведены несколько полезных инструментов и даны практические рекомендации.

Особенности GDPR

GDPR заменяет собой Директиву 1995 года и вносит много изменений в правила обработки персональных данных. Но главных особенностей две.

Во-первых, GDPR действует далеко за пределами ЕС. Помимо самих европейских компаний, GDPR также распространяется на организации во всём мире:

  • осуществляющие обработку ПД европейских граждан в связи с реализацией товаров или услуг;
  • или осуществляющие мониторинг поведения европейских граждан.

Во-вторых, GDPR предусматривает космические штрафы — от €10 до 20 млн (или от 2 до 4% от глобального оборота) в зависимости от вида нарушения.

Любопытно, что оригинальный текст документа состоит всего из 99 содержательных статей и более 150 пунктов преамбулы, разъясняющих применение норм GDPR.

Персональные данные

Само определение «персональных данных» не претерпело особых изменений по сравнению с Директивой 1995 года, но было уточнено. Так, введён термин «идентификатор», с помощью которого субъект данных может быть идентифицирован (имя, данные о местоположении и так далее).

Положение об «идентификаторе» в GDPR

Из положений преамбулы и комментариев экспертов можно сделать вывод, что это положение направлено на ситуации, когда субъект данных может быть идентифицирован путём триангуляции различных данных, которые в отдельности не позволяют установить личность.

Контролёры и процессоры

В отличие от российского законодательства о персональных данных, GDPR выделяет две группы субъектов, которые могут быть вовлечены в обработку персональных данных: контролёры и процессоры.

Контролирующее лицо (controller) определяет цели и средства обработки персональных данных.

Оператор (processor) осуществляет обработку персональных данных от имени контролёра.

Например, если у вас на сайте установлена форма сбора email-адресов Mailchimp, то вы, как администратор сайта, являетесь контролирующим лицом, в то время как компания Mailchimp из Атланты, штат Джорджия, является оператором собираемых персональных данных.

Такое разделение не является новшеством и существовало до этого. Однако существенно изменился объём обязательств. Раньше оператор персональных данных нёс только договорную ответственность перед контролирующим лицом и не имел прямых обязательств в силу Директивы 1995 года. Теперь GDPR возлагает различные обязательства как на контролирующих лиц, так и на операторов.

Псевдонимизация

GDPR прямо упоминает о концепции «псевдонимизации» или обезличивания данных. Обезличивание даёт ряд преимуществ и является рекомендуемой мерой во многих статьях GDPR. До этого Директива 1995 года прямо не регулировала обезличенные данные, считалось, что такие данные тем не менее остаются персональными.

Назначение ответственного лица в ЕС

GDPR требует, чтобы контролирующие лица и операторы персональных данных, находящиеся вне территории ЕС, назначали в Европе лицо, ответственное за защиту данных (Data Protection Officer, DPO). DPO может быть привлечён к ответственности за нарушения контролирующего лица. Есть исключение — назначать DPO не требуется, если обработка данных осуществляется на эпизодической основе, в маленьких объёмах и не касается специальных категорий персональных данных.

Нужно ли назначать DPO — Secourriel

Оценка воздействия

GDPR предусматривает новую обязанность — проводить оценку воздействия (Impact Assessment) всякий раз, когда организация планирует ввести новый способ обработки данных, который может привести к высоким рискам для субъектов персональных данных. Рабочая группа сформулировала ряд факторов, которые стоит учитывать при оценке рисков.

Права субъектов персональных данных

GDPR предоставляет субъектам персональных данных стандартный пакет прав. Отметить можно следующие особенности.

  • Существенно расширен перечень информации, которую субъекты персональных данных вправе запросить. Со всем перечнем можно ознакомиться в статье 15.
  • Также расширен перечень оснований, когда субъект вправе требовать удаления сведений о его персональных данных — статья 17.
  • Предусмотрены случаи, когда субъект вправе ограничить обработку его данных — статья 18.
  • Введено новое право на «переносимость данных». Субъект вправе: получить копию своих персональных данных; беспрепятственно перенести свои данные от одного контролирующего лица к другому; хранить свои персональные данные на личном устройстве и другое — статья 20.

Практические шаги и инструменты

Алгоритм простой.

  • Выяснить, применятся ли GDPR к деятельности организации.
  • Если GDPR применяется, то принять меры по соблюдению требований GDPR.
  • Сделать это можно как своими силами, так и путём привлечения внешних консультантов. В любом случае, если вы приняли решение исполнить требования GDPR, стоит сформировать внутреннюю команду, которая будет включать как минимум одного сотрудника из каждого департамента, работающего с персональными данными.

А вот несколько инструментов, которые помогут самостоятельно оценить риски и принять минимальные меры.

Поскольку оригинальный текст GDPR на сайте Европейской комиссии воспринимается сложно, команда Algolia сделала читабельный вариант с возможностью поиска и параллельного просмотра статей преамбулы (например, можно быстро перейти к статье 83 и ознакомиться с факторами, которые будет учитывать регулятор при наложении штрафа). Пригодится для желающих изучать оригинал.

Если с оригиналом знакомиться времени нет, можно сразу перейти к оценке воздействия GDPR на вашу организацию. В этом поможет шаблон «Карты информации» или GDPR Data Map. С помощью этого инструмента можно собрать информацию из разных департаментов организации и понять, как обрабатываются персональные данные.

Как только намечены основные потоки данных и способы их обработки внутри организации, стоит воспользоваться детальным инструментом от команды Everlaw.

Если вам придётся направлять электронные письма клиентам, то команда SalesTools уже разработала для вас несколько шаблонов.

Для самопроверки можно воспользоваться чек-листом.

#право #инструменты #gdpr

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Ekaterina Ovechkina", "author_type": "self", "tags": ["\u043f\u0440\u0430\u0432\u043e","\u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b","gdpr"], "comments": 47, "likes": 51, "favorites": 1, "is_advertisement": false, "subsite_label": "legal", "id": 38251, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15395' + '50799') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 38251, "author_id": 125169, "diff_limit": 1000, "urls": {"diff":"\/comments\/38251\/get","add":"\/comments\/38251\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/38251"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199120 }

47 комментариев 47 комм.

Популярные

По порядку

Написать комментарий...
20

Юристами становятся те, кто теряет способность внятно объяснять информацию. Я так думаю.
Из статьи ничего не понял. Может кто объяснит мне.
Допустим, я владелец паба в Саратове и принимаю оплату картой у викинга. Что мне делать и что мне грозит, если я это не сделаю?

Ответить

Комментарий удален

0

.ошибся. удалите коммент

Ответить
16

Если кратко о сути то:
Can you recommend a GDPR expert?

- yes

Can I have their email address?

- no

Ответить
7

Ничего не понял. Где можно почитать?

Ответить
1

1. Краткий обзор: https://www.buzko.legal/content-ru/general-data-protection-regulation
2. Комплаенс по GDPR: https://www.mckinsey.com/business-functions/risk/our-insights/tackling-gdpr-compliance-before-time-runs-out
3. Инфографика от Еврокомиссии: http://ec.europa.eu/justice/smedataprotect/index_en.htm
+ в Гугле по запросу «что такое GDPR» можно найти достаточно простые для понимания материалы на Хабре, Медиуме и т.д.

Ответить
6

Строго говоря, этим летом под GDPR попадёт каждый паб в Саранске, который примет к оплате кредитку датского викинга в день игры датчан против перуанцев 16 июня.

Строго говоря, это неправда. Под действие регламента подпадают только компании, обрабатывающие ПДн субъектов (причём, не обязательно граждан Евросоюза), находящихся на территории ЕС.

Ответить
1

Да я из-за этого предложения статью до конца дочитал, верните деньги

Ответить
0

Накладывается на все компании обрабатывающие данные гражданина Евросоюза.

Ответить
1

Ничего подобного. Перечитайте статью 3:
Под регламент подпадают:
1. Контроллер в ЕС, субъект - не важно где
2. Контроллер вне ЕС, субъект - в ЕС (ничего про гражданство не указано)

Ответить
3

Данные в статье некорректны. GDPR достаточно сложный и одновременно простой закон, а каждый паб в Саранске, который примет к оплате кредитку датского викинга в день игры датчан против перуанцев 16 июня не попадает под действие GDPR.

Ответить
2

Хм, девушка конечно красивая, но как эта фотка связана с содержанием статьи? )

Ответить
1

Если в форме убрать поле "Имя" и оставить только "Емэйл", то можно не беспокоиться обо всей этой тягомотине?

Ответить
1

Можно не беспокоиться.
Единственное, предусмотрите запрос согласия субъекта данных на использование email в конкретизированных целях. К примеру:
1. Даю согласие на получение рассылки (галочка);
2. Даю согласие на сбор данных в таргетинговых целях (галочка) и т.д.

Ответить
0

А если в самом тексте формы есть такой текст "Хотите получать от нас интересные материалы? Подтвердите подписку на рассылку!" и на кнопке "Да, я с вами!", то галочка не нужна?

Ответить
0

Беспокоится может и не нужно, но соответствовать GDPR нужно, так как емейл является ПДн.

Ответить
0

Емэйл сам по себе не является ПДн, это обезличенные данные. Только в сочетании с именем.

Ответить
0

Нет внятной трактовки по поводу email’а, все крайне скользко и на тоненького. Причиной этому является два факта:
1. Email может содержать название компании
2. Email может содержать имя и/или фамилию пользователя

Так что, оставляя только поле для сбора email’ов, вы не можете гарантировать себе исполнение требований законодательства.

Ответить
0

Хорошо, допустим, я - Вася Иванов из ООО Веники и сделал себе почту Trump_WhiteHouse@mail.ru.
И что?
И даже если у меня почта VasyaIvanovVeniki@mail.ru, это никак не связано с реальностью.
Вот когда в Сеть будет доступ по талонам, а регистрация емэйлов по паспорту - другое дело.

Ответить
0

Согласно твоей логики любые данные не являются персональными, так как ты можешь в поле Имя забить не свое Имя.

Ответить
0

Пнд это то, по чем можно точно идентифицировать человека. Васей Ивановых по миру тысячи, а владелец почты Trump_WhiteHouse@mail.ru один единственный.

Ответить
0

Не обязательно единственный. Неоднократно встречал такую ситуацию, когда одним ящиком пользуется 10 человек. И это не ящик вида info@ или post@, а, например, kimpim@. Вполне вероятно, что где-то в одной из Корей этих Кимов Пимов - пруд пруди.

Ответить
0

Ну, не "ты", а " вы", а так вы правильно поняли мою мысль.

Ответить
0

У меня сочетание имени и фамилии уникально. Я однозначно идентифицируюсь по почте вида имя.фамилия@домен.домен

Ответить
0

Вообще сам по себе email проходит по категории ПДн только в случае, когда он у вас ещё и ФИО включает, но по GDPR (раз такая пляска пошла) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; получается, что может пройти и за ПДн. Лучше уточнять конкретный случай у юристов.

Ответить
0

Email является ПД только тогда, когда его можно связать с кем-то. Если ящик звучит info@vc.ru, то это уже не ПД.

Ответить
0

Подскажите, пожалуйста, накладываются ли какие-либо ограничения на трансграничную передачу ПДн согласно GDPR? Устанавливаются ли какие-либо технические требования для шифрования при передаче и хранении персональных данных граждан ЕС?

Ответить

Комментарий удален

2

Причем Россия в Adequate Jurisdiction не входит

Ответить
0

Туда даже США не входят

Ответить
0

Это точно?

Ответить
0

Да. Но там есть обходной путь.

Ответить
0

Вообще-то входит. У ЕС с США отдельный договор о взаимодействии по защите перс.данных (это вместо adequecy desicion, и в соглашении есть свои нюансы). Privacy shield framework https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en

Ответить
0

вот бы найти статью где доступно написано, что делать со старой базой пользователей, можно им слать письма? а пуши? а бегать за ними по всему интернету с ретаргетом?

Ответить
1

Надежнее к юристу сходить с готовым описанием схемы работы сервиса. Также есть проблема с тем, что в большинстве стран Европы ещё не готовы местные требования и разъяснения, старые офисы по контролю за ПД расформированы, а новые ещё не приступили к работе. Думаю первыми включаться в игру серые юристы и от их первых жертв узнаем, какие дырки закрывать в первую очередь

Ответить
0

Если старая база пользователей собрана легитимно, то можете ей и дальше пользоваться (в рамках целей, для которых она была собрана). Но о новом прайваси полиси их нужно уведомить.

Ответить
1

Это про российский закон. А в статье речь про европейский. Так что лучше не оставляйте это здесь :)

Ответить
0

Не-не, пусть будет - ссылки не искать потом :-)

Ответить
0

всего из 99 содержательных статей

Это юмор такой юридический?

Ответить
0

Семантический

Ответить
0

А как новый закон повлияет на применение пресловутых cookies?

Ответить
0

Во-первых, только для контроллеров и процессоров на территории союза.
Во-вторых, услуги, товары и мониторинг только на территории союза.
В-третьих, при передаче на сторону государств с достаточным законодательным обеспечением в области защиты персональных данных. И (о ужас!!!) Россию туда не включили.
Согласно GDPR контроллер и процессор персональных данных, которые удовлетворяют пунктам см.выше могут передавать персональные данные людей (любых!),взятые на территории союза, процессорам в страны типа России при соблюдении контролей, удовлетворяющих GDPR.
«Слона-то мы и не приметили», вот что можно про эту статью сказать. Перечитайте регламент в оригинале и с юристом, там ни слова про граждан ЕС.
https://gdpr-info.eu/art-3-gdpr/

Ответить
0

да-да-да-да. всё хорошо.

только не забываем, что на ваш сайт могут и граждане евросоюза прийти и даже зарегестрироваться. или просто оставить комментарий.

Ответить
0

Кажется, что это работает не совсем так:

"Иные организации, осуществляющие обработку ПД европейских граждан в связи с реализацией товаров или услуг. В комментариях к Регламенту разъяснено, что пассивный доступ к сайту или контактным данным организации недостаточен. Необходимо, чтобы организация прямо «предусматривала» возможность реализации товаров или услуг европейским гражданам. Например, путем использования языка соответствующей страны ЕС, в том числе при оформлении заказа, прямого упоминания европейских граждан на сайте или путем принятия платежей в соответствующей валюте."

Ответить
0

кровавый режим в вашей свободной европе, где прямо всё для людей

Ответить
0

По-человечески кто-нибудь это объяснит?

Ответить
0

Требование указания контактных данных ответственного лица за обработку персональных данных разве не противоречит закону? Ведь это публичная публикация персональных данных.

Ответить

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления