Организация защиты данных в Германии (Путевой лист)
IT-право

Организация защиты личных данных в ЕС [DS-GVO]

Posted on Author Iurii Dzhuvago Comment(0)

Как реализовать требования по защите данных в ЕС

25 мая 2018 года на территории ЕС вступило в действие европейское положение о защите данных (Richtlinie 95/46/EG Datenschutz-Grundverordnung, DS-GVO). Этот новый свод правил по защите личных данных касается почти каждого предприятия или владельца интернет-ресурса на всем европейском пространстве.

Данная публикация – небольшая подсказка тем, кто до сих пор откладывал реализацию законодательства.

Кто обрабатывает и защищает личные данные в соответствии с DS-GVO?

Обработчики личных данных (компании и организации) должны предпринимать соответствующие технические и организационные меры с учетом современного уровня техники, затрат, характера реализации и других обстоятельств, а также анализа рисков для обеспечения надлежащего уровня защиты личных данных.

DS-GVO затрагивает компании и организации, которые:

  • активны в Интернете;
  • имеют наемных сотрудников;
  • обрабатывают (используют) личные данные физических лиц, имеющих европейское подданство или проживающих на территории ЕС.

Когда использование личных данных разрешено?

Использование личных данных разрешено в том случае, если лицо, данные которого собираются обрабатывать, соглашается на использование информации о себе (статья 6 (1) lit. а) DS-GVO).

Согласно статье 6 DS-GVO, можно использовать личные данные без согласия, если:

  • для выполнения юридического обязательства из договора с затронутым лицом требуется обработка (например, адрес клиента для выполнения заказа на месте, или нужно на адрес электронной почты отправить счет клиенту по его просьбе), статья 6 (1) lit. b) DS-GVO;
  • необходимо выполнить предконтрактные меры (например, проверить кредитоспособность клиента, послав его данные предприятию по установлению кредитного скоринга), статья 6 (1) lit. b) DS-GVO;
  • компания или организация выполняет законное обязательство (например, работодатель обязан сообщить медицинской страховке своего сотрудника его имя, фамилию, дату рождения, номер медицинской страховки, гражданство, начало договора, зарплату, окончание договора и т.д., § 28 SGB IV), статья 6 (1) lit. c) DS-GVO;
  • обработка необходима для защиты жизненных интересов субъекта данных или любого другого физического лица, статья 6 (1) lit. d) DS-GVO;
  • обработка служит интересам компании или организации, и при этом интересы затронутого лица на необработку не перевешивают (например, обработка IP-адреса для создания связи между компьютером лица и веб-сервером предприятия), статья 6 (1) lit. f) DS-GVO.

Гибкий подход к реализации требований DS-GVO

Любое построение защитных мер требует комплексного подхода, с одной стороны, а с другой – наличия ресурсов (временные, трудовые, финансовые и т.д. затраты).

Малым и средним предприятиям тяжело выделить на это соответствующие бюджеты и трудовые ресурсы. Предприниматели могут выбрать защитные меры, «подходящие» для сохранения баланса цена-качество, т.е. средства, которые не жалко потратить на внедрение защиты данных, чтобы и волки остались сыты, и овцы целы. Такой подход к техническим мерам защиты одобряет и новое постановление в статье 32 (1) DS-GVO.

Как реализовать требования DS-GVO?

Реализовать все требования DS-GVO сразу невозможно. Давайте разделим крупную задачу на более мелкие.

Внедрение комплекса мер условно разделим на две крупные части – онлайн и оффлайн, которые в свою очередь содержат следующие подпункты, в порядке важности:

Организация онлайн защиты личных данных

  • Политика конфиденциальности и Impressum;
  • формы согласия;
  • переход веб-сайта с http на https (желательно);
  • псевдонимизация и шифрование персональных данных;
  • анонимизация IP-адреса;
  • обеспечение конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;
  • электронные формы хранения и систематизации данных, с возможностью удалять, изменять, вычленять из базы конкретный тип данных;
  • договорные отношения с третьими лицами (в т.ч. хостер, провайдер, социальные сети, системы аналитики и т.д.);
  • программная защита компьютерной техники от компьютерных угроз;
  • документирование каждого этапа организации защиты информации;
  • прочее.

Организация оффлайн защиты личных данных

  • Политика конфиденциальности;
  • формы согласия;
  • каталоги обработки;
  • соглашения с сотрудниками фирмы (желательно);
  • договорные отношения с третьими лицами (налоговые консультанты, банки и прочие сторонние компании, в поле зрения которых попадает собранная конфиденциальная информация);
  • назначение ответственного лица по защите/охране личных данных (если требуется);
  • внедрение общих правил безопасности на предприятии, инструктаж персонала;
  • физическая защита компьютерной техники и иных носителей информации (в т.ч. финансовой и прочей документации), содержащих личные данные физических лиц;
  • документирование каждого этапа организации защиты информации;
  • прочее.

Естественно, каждый пункт может содержать десятки дополнительных подпунктов.

Ваша первоочередная задача: привести в надлежащее состояние свой веб-сайт и разработать документацию, для оффлайн деятельности*.

* к ведению бизнеса обычным  (не виртуальным) способом применяются те же правила и требования, что и к онлайн.

Анализ и аудит состояния защиты личных данных

Первый шаг – это анализ и аудит бизнес-деятельности. Они помогут выявить ее слабые (незащищенные) места, составить список «касаний» с данными физических лиц, проверить и обновить ранее внедренные инструменты защиты.

Краткий перечень уязвимостей, заслуживающих особенного внимания

1. Политика конфиденциальности и Impressum.

Дополнительно к Impressum в список обязательных документов добавилась политика конфиденциальности (Datenschutzhinweise). При отсутствии одного из этих документов оператору (владельцу) веб-сайта может быть вынесено предупреждение или денежный штраф.

Политика конфиденциальности и Impressum должны быть доступны одним щелчком мыши с каждой подстраницы веб-сайта и четко обозначены. Поэтому не размещайте политику конфиденциальности в Impressum, а выделите каждому документу свое место, с проставлением внутренних ссылок, например, в навигационном меню или «подвале» веб-сайта.

Информация в политике конфиденциальности излагается в ясной, прозрачной, понятной и легко доступной форме на понятном языке. Несовместимое содержимое политики конфиденциальности может быть легко найдено, что способствует выявлению потенциальных нарушителей DS-GVO.

В связи с тем, что политику конфиденциальности можно назвать уставом предприятия по соблюдению охраны личных данных, мы рекомендуем отнестись к ее разработке особо ответственно. Она может быть единой и универсальной – как для оффлайн, так и онлайн.

2. Согласие пользователей.

Одно из главнейших условий обработки личной информации – согласие физического лица.

Согласие на обработку данных не связано с требованиями о специальной форме. Устное, письменное и электронное согласие разрешено в соответствии с Общим регламентом защиты данных. Хотя словесное согласие разрешено, всё же старайтесь оформить его в ином виде, которое подтвердит добровольность и сам факт согласия.

Общее согласие не допускается. Согласие дается на выполнение определенной обработки данных в соответствии с конкретно указанной целью.

Отзыв согласия возможен в любой момент, о чем обязательно нужно осведомить. Лицо, давшее свое согласие, имеет право на его отмену или отзыв. Процедура отмены должна быть такой же легкой, как и дача согласия.

По запросу обработчики данных обязаны продемонстрировать надзорным органам соответствие всем требованиям DS-GVO. Поэтому настройте эффективное управление конфиденциальностью и соблюдайте все принципы.

3. Каталоги обработки.

Предприятия, обрабатывающие персональные данные, обязаны документировать все процессы обработки в так называемом «каталоге обработки». Как именно этот каталог должен выглядеть и какие данные в нем указываются, будет рассказано в отдельной публикации.

4. Персонал компании и клиенты.

Сотрудники любой европейской компании – это физические лица, данные которых обрабатываются. Такая же ситуация с клиентами. Если предприятие использует лишь необходимые данные, то их согласие на обработку не нужно. Таким образом можно сэкономить ресурсы, которые необходимы для подготовки, проведения и администрирования согласий.

5. Договора с третьими лицами (процессорами).

Договорные отношения с процессорами (внешними контрагентами), обрабатывающими собранные конфиденциальные данные лиц, следует оформить письменно, составив соглашение о передаче им данных. Следует проверить – обязательно до заключения договора – их на стойкость к требованиям, не забыть об ответственности сторон.

Вместо заключения

Мы рассмотрели наиболее значимые моменты для обеспечения соответствия бизнеса законодательству о защите личных данных.

Обязательно вернемся к нераскрытым вопросам в дополнительных публикациях.

Надеемся, что материал послужит ориентиром и окажет помощь на начальном этапе внедрения требований DS-GVO. У нас всё получится!

Статьи по теме:

5 частых ошибок в Impressum коммерческих сайтов в 2020 году 

Штрафы за нарушение Регламента защиты данных

Аудит защиты личных данных

 

Еще статьи по данной теме

данные о фигурантах уголовных дел
IT-право

Закон о безопасности ИТ 2.0

Posted on Author Iurii Dzhuvago

Комитет внутренних дел подготовил основу для принятия Закона о безопасности ИТ 2.0 (IT-Sicherheitsgesetz 2.0), представленного федеральным правительством. Орган принял правительственный проект «Второго закона о повышении безопасности систем информационных технологий» (BT-Drs. 19/26106) в модифицированной версии. Согласно представлению, нормативно-правовая база, созданная Законом об ИТ-безопасности от июля 2015 года, должна быть расширена. В предложении федеральное правительство указывает, что […]

Анализ решения суда о штрафе за нарушение ст. 15 Общего регламента защиты данных ЕС
IT-право

Ответственность за нарушение ст. 15 DS-GVO [GDPR]

Posted on Author Roman Pusep

Ответственность за нарушение ст. 15 Общего регламента защиты данных ЕС В соответствии со статьей 15 Европейского общего регламента защиты данных (GDPR, DS-GVO), наемный работник имеет право запрашивать у контролера, т.е. ответственного лица по обработке личных данных (работодателя) информацию о том, как именно, и в каком объеме обрабатываются персональные данные наемного работника. За нарушение данной нормы, […]

Критерии выбора ПО
IT-право

Критерии выбора программного обеспечения в Германии [Советы адвоката]

Posted on Author Roman Pusep

Что нужно знать перед покупкой или использованием программного обеспечения в Германии Вопрос покупки и использования программного обеспечения (ПО) становится все более актуальным. Предприятия и потребители нуждаются в ПО, прежде всего для оптимизации бизнес-процессов и дистанционной коммуникации.

Добавить комментарий