Автор оригинальной статьи: Джон Шарплс (John Sharples), консультант, Buzzacott Accountants
Источник: International Accountant №98 (март-апрель 2018)
Требования законодательства по защите персональных данных традиционно были головной болью для компаний в ЕС, поскольку там они в разных странах отличаются. Но вот после нескольких лет обсуждений наконец-то пришли изменения, и 25 мая этого года станет знаковой датой вступления в силу нового Общеевропейского регламента о персональных данных (General Data Protection Regulation, GDPR). Он унифицирует требования законодательства в европейских странах и - что имеет особое значение конкретно для Великобритании – вступает в силу до ее выхода из ЕС.
Изменения ждут любые организации, работающие с персональными данными, т.е. информацией об отдельной личности, которую можно получить из общего набора данных либо вместе с другой информацией, которой владеет так или иная организация. Иными словами, изменения ждут большую часть организаций, но готовы ли они к таким переменам?
Статья 4 GDPR содержит ключевые принципы и требует, чтобы персональные данные:
- Обрабатывались в соответствии с законом, справедливым и прозрачным для индивидуальных граждан образом
- Собирались в заранее и четко оговоренных, законных целях и не подлежали бы дальнейшей обработке, противоречащей этим целям. Дальнейшая обработка в целях архивирования данных в общественных, научных, статистических или исторических интересах в качестве таковой не рассматривается
- Были уместными, существенными, и ограничивались бы тем, что действительно необходимо для достижения цели, ради которой они обрабатываются
- Были точными, и если это необходимо – актуальными на данный момент времени. Необходимо делать все возможное, чтобы персональные данные, которые не являются точными или не имеют отношения к цели, ради которой обрабатываются, удалялись бы или исправлялись бы без промедления
- Содержались в форме, позволяющей идентифицировать субъекты данных в масштабах, не превышающих необходимые для достижения цели, ради которой они обрабатываются. Персональные данные можно хранить и более продолжительное время, если их дальнейшая обработка отвечает исключительно общественным, научным, статистическим или историческим интересам, и при обязательном внедрении надлежащих технических и организационных мер, требуемых GDPR для обеспечения сохранности прав и свобод индивидуальных граждан
- Обрабатывались бы способом, гарантирующим надлежащую сохранность персональных данных, включая защиту от неавторизованного и/или незаконного доступа и случайных потерь, утраты или повреждения, с применением надлежащих технических или организационных мер
Ключевые принципы GDPR
Принципы во многом схожи с теми, что оговариваются британским Законом о защите персональных данных (Data Protection Act) 1998 года, хотя тут и были добавлены некоторые детали – в частности, новые требования по отчетности. Для примера, GDPR потребует отражения, как именно в компании выполняются ключевые принципы, а те из них, которые касаются личных прав и зарубежных переводов, оговорены в отдельных главах. Вот основные отличия:
|
Закон о защите персональных данных (Великобритания) |
Общеевропейский регламент о персональных данных GDPR |
|
Собственный закон Великобритании; у других стран ЕС имеются их собственные |
Унифицированный подход во всех странах ЕС |
|
Охватывает персональные и конфиденциальные данные |
Охватывает персональные и конфиденциальные данные, в том числе новых категорий: биометрические, универсальные, данные для онлайн-идентификации |
|
Должность ответственного за защиту данных в организации не требуется |
В общественных организациях (например, муниципальных органах власти) требуется должность ответственного за защиту данных. Такая должность также обязательна в организациях, деятельность которых подразумевает масштабную обработку отдельных категорий персональных данных, либо же сам процесс обработки требует систематического наблюдения за субъектами данных в больших масштабах (примером этого является работа больниц) |
|
Принцип согласия, то есть специфическая информация предоставляется по доброй воле |
Тот же принцип согласия, но при этом оно должно быть четко выражено и зафиксировано, и его можно отозвать. Если согласие используется в качестве основания для обработки данных, операторы персональных данных обязаны быть в состоянии доказать факт получения согласия |
|
О фактах нарушения сохранности данных нет необходимости сообщать |
О фактах нарушения сохранности данных необходимо информировать надзорные органы (например, в Великобритании это Управление уполномоченного по вопросам информации - Information Commissioner's Office, ICO) в течение 72 часов, а в отдельных случаях - субъектов данных в том числе |
|
Оценка влияния законодательства по защите персональных данных - добровольная практика, которая приветствуется в случае проектов, использующих персональные данные |
Оценка влияния законодательства по защите персональных данных теперь обязательна для проектов или просто обработки данных, которые с высокой вероятностью могут стать источником риска для прав и свобод физических лиц |
|
В случае поступления запроса о доступе к данным со стороны субъектов данные предоставляются им в течение 40 дней, и за это может взиматься комиссия в £10 |
В случае поступления запроса о доступе к данным со стороны субъектов данные предоставляются им в течение месяца и абсолютно бесплатно |
|
Максимальный штраф ограничивается £500,000 |
Максимальный штраф может достигать €20 млн., или 4% общемирового оборота |
|
Подотчетность – ограниченная. В частности, она весьма ограничена для занимающихся обработкой данных, разве что они связаны договором с операторами персональных данных |
Операторы персональных данных обязаны демонстрировать свое соответствие принципам GDPR, и для тех, кто занимается обработкой данных, также есть свои требования |
Жесткие требования в благих целях
Нарушение GDPR влечет за собой серьезные последствия для организаций. ЕС всерьез настроился на унификацию часто довольно сильно различающихся межу собой стандартов по защите данных и стремится обеспечить наилучшие подходы из всех возможных. Максимальный штраф может достигать €20 миллионов, или же 4% от ежегодного оборота организации за предыдущий финансовый год – в зависимости от того, что окажется больше.
Быстрая реакция
Лица, занимающиеся обработкой персональных данных, обязаны будут информировать операторов данных о подозрениях в нарушении их сохранности. Последние же обязаны доводить до сведения Управления уполномоченного по вопросам информации (в Великобритании) или других органов надзора факты нарушения сохранности данных. В отдельных случаях операторы данных обязаны будут проинформировать об этом и субъектов данных (то есть тех, кто их предоставил). Если же физлица желают получить доступ, ответ на их запрос теперь будет приходить в течение месяца. Согласно ожиданиям, число таких запросов будет только возрастать вместе с ростом осведомленности британского ICO о правах индивидуальных граждан.
Более жесткие проверки
Закон также требует, что в случае, если обработка данных с высокой вероятностью станет источником риска для прав и свобод физлиц, необходимо проводить оценку влияния законодательства по защите персональных данных. Примерами ситуаций, когда это может стать обязательным, является аутсорсинг обработки персональных данных, перенос данных на новые IT-системы, использование облачных систем.
Участие третьих сторон в обработке данных
В рамках требований GDPR операторы данных обязаны обеспечить соответствие новым требованиям любой третьей стороны. Это значит, что занимающиеся обработкой данных лица должны доказать факт своего соответствия, а с чисто практической точки зрения это также означает возможное внесение изменений в договоры, которые учитывают требования GDPR.
Обучение
Ключевой элемент выполнения новых требований – это повышение осведомленности о своих новых обязанностей среди менеджеров и прочих сотрудников организаций, обеспечение понимания всех важных деталей.
Ответственный за защиту данных
Наконец, организациям придется ввести новую должность ответственного за защиту данных - data protection officer (DPO). Это обязательное требование для общественных структур или организаций, где основная деятельность связана с обработкой данных в крупных масштабах. Определение общественной структуры взято из Закона о защите информации (Freedom of Information Act), поэтому если организация относится или к первой, или ко второй категории, ей придется назначать DPO. Человек на этой должности не должен иметь конфликта интересов ни по одной из своих должностных обязанностей или функций, поэтому он не может, например, одновременно быть исполнительным директором той же самой организации, ее операционным директором, финансовым директором, главой маркетинга, HR или IT. Хотя многие организации назначат кого-нибудь из своего действующего персонала, на эту роль сгодится и человек со стороны.
Время действовать
Если компании не выполнят требования нового законодательства, то наиболее вероятно, что случится это из-за их неспособности обеспечить сохранность персональных данных, обмена данным без получения предварительного согласия, или же обработки данных в иных целях кроме тех, ради которых осуществлялся их сбор. Поэтому, чтобы как следует подготовиться, организациям в Европе необходимо начинать действовать уже сейчас, а конкретнее:
- Провести тщательный анализ тех данных, которые уже есть у них на руках, и обработку которых они осуществляют
- Задокументировать правовые основы, на основе которых они проводят обработку данных
- Пересмотреть использующиеся сегодня политики и процедуры
- Оценить необходимость назначения должности ответственного за защиту данных
- Обратить особое внимание на применяемые сегодня оговорки о сборе данных в своих рекламных материалах