GDPR – General data protection regulation

1. EU GDPR – General data protection regulation

EU GDPR – GENERAL DATA
PROTECTION REGULATION
ОБЩИЙ РЕГЛАМЕНТ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ЕВРОПЕЙСКОГО СОЮЗА
Принят – 24 мая 2016 года
Вступил в силу – 25 мая 2018 года

2. Два типа законопроектов

ДВА ТИПА ЗАКОНОПРОЕКТОВ
Директивы
Требует индивидуального
исполнения в каждом государстве
члене
Осуществляется путем создания
национальных законов,
утвержденных парламентом
Регламент
Немедленное применение в
каждом государстве члене
Не требуется местное
исполнительное законодательство

3.

Цели применения GDPR
o Защита фундаментальных прав физических лиц
o Беспрепятственное перемещение данных внутри ЕС
Физическое лицо – живой человек
Физические лица имеют право на:
o Защиту их персональных данных
o Безопасную обработку их персональных данных
o Беспрепятственное движение данных внутри ЕС

4.

Материальная сфера применения GDPR
Подпадают под сферу применения:
o Персональные данные, которые обрабатываются частично или полностью с
использованием автоматизированных средств
o Персональные данные, которые являются частью системы учета или предназначены для
того
Не подпадают под сферу применения:
o Персональные данные, используемые в ходе деятельности за пределами закона ЕС
o Персональные данные, используемые при пограничном контроле, статусе беженца или
иммигранта
o Персональные данные, используемые сугубо для личных целей
o Персональные данные, используемые для предотвращения преступлений и т.п.

5.

Территориальный охват GDPR
Регламент GDPR применяется к контролерам и обработчикам в ЕС независимо от того, где
происходит обработка
o Защита, предусмотренная настоящим регламентом применяется к физическим лицам,
независимо от их национальной принадлежности или места жительства, в связи с
обработкой их персональных данных. Настоящий регламент не распространяется на
обработку персональных данных юридических лиц….
Регламент GDPR применяется к процессам обработки, которые относятся к:
o Предложению товаров или услуг, независимо от того, нужна оплата или нет
o Мониторингу поведения субъектов данных в пределах ЕС

6.

o Персональные данные – любая информация, относящаяся к идентифицированному или
идентифицируемому физическому лицу («субъект данных»); идентифицируемое
физическое лицо является лицом, которое может быть идентифицировано прямо или
косвенно, в частности, на основе идентификационной информации, такой как имя,
идентификационный номер, данные о местоположении, идентификатор в интернете или
посредством одного или нескольких показателей, характерных для физической,
физиологической, генетической, умственной, экономической, культурной или социальной
идентичности данного физического лица
o Обработка – означает любую операцию или набор операций, которые совершаются с
персональными данными или набором персональных данных, с использованием
автоматизированных средств или без таковых, в числе которых сбор, запись, организация,
структурирование, хранение, переработка или изменение, поиск и выборка, экспертиза,
использование, раскрытие посредством передачи, рассылка или иной способ предоставления
для доступа, группировка или комбинирование, отбор, стирание или уничтожение.

7.

o Контролер – означает физическое или юридическое лицо, государственный
орган, агентство или иной орган, который самостоятельно или совместно с
другими определяет цели и средства обработки персональных данных
o Обработчик – означает физическое или юридическое лицо, государственный
орган, агентство или иной орган, который обрабатывает персональные данные от
имени и по поручению контролера
o Согласие – субъекта данных означает любое свободно данное, конкретное,
осознанное и однозначно идентифицируемое желание субъекта данных,
посредством которого он/она путем заявления, либо ясным утвердительным
действием выражает согласие на обработку персональных данных, относящихся к
нему/ней
o Утечка/нарушение персональных данных – означает нарушение безопасности,
приводящее к случайному или противозаконному уничтожению, потере изменению,
несанкционированному раскрытию или доступу к персональным данным,
переданных, хранящихся или обработанных иным образом

8.

СХЕМА ЗАЩИТЫ ДАННЫХ СОГЛАСНО GDPR
Европейский совет по защите данных
Надзорный орган (зависит от страны)
• Оценка
Жалоба
• Соблюдение
Обязанности
Обработчик данных
Контролер данных
Безопасность?
Субъект данных
Права
Информирование?
Третьи страны
Третьи стороны
Гарантии?
Раскрытие?

9.

Принципы в отношении персональных данных и их обработки
Персональные данные:
1. Должны быть обработаны законно, справедливо и прозрачно
2. Должны собираться для определенных, явных и законных целей
3. Должны быть адекватными, актуальными и ограничиваться необходимостью
4. Должны быть точными и, при необходимости, обновляться
5. Должны храниться не больше, чем необходимо
6. Должны обрабатываться соответствующим образом для поддержания безопасности

10.

Законность обработки персональных данных
o Обработка данных считается законной если выполнено хотя бы ОДНО из следующих условий:
Субъект данных дал согласие для одной или нескольких конкретных целей
Обработка необходима для выполнения договорных обязательств, принятых субъектом
данных
Обработка необходима для соблюдения юридических обязательств контролера
Обработка необходима для защиты жизненно важных интересов субъекта данных
Обработка необходима для выполнения задач в общественных интересах или осуществления
полномочий, возложенных на контролера
Обработка для преследования законных интересов контролера

11.

Условия для согласия
o Следующие условия необходимы для согласия:
Контролер обязан продемонстрировать, что согласие было дано
Письменное согласие должно быть четким, понятным и легко доступным
Согласие может быть отозвано в любое время так же легко, как было дано
Согласие не обязательно для выполнения условий договора
Чек боксы или другие соответствующие технические настройки все еще действуют (
автоматически проставленный чек бокс не является согласием, субъект должен все
проставить сам)

12.

Права субъектов данных при обработке их данных
Право на доступ к данным
Право на исправление данных
Право на удаление данных (право быть забытым)
Право на ограничение обработки
Право на переносимость данных
Право на возражение и автоматизированное принятие решений

13.

Право субъекта данных на доступ к данным
Контролер ОБЯЗАН предоставить субъекту данных копию персональных
данных, проходящих обработку
Субъект данных в праве получать от контролера подтверждение относительно того, находятся ли его
данные в обработке, и в этом случае, он имеет право на доступ к персональным данным, а также
следующей информации:
o
О цели обработки;
o
О соответствующих категориях обрабатываемых персональных данных;
o
О получателях или категории получателей, которым персональные данные были либо будут раскрыты, в том числе, о
получателях в третьих странах или о международных организациях;
o
О предполагаемом сроке, когда это возможно, в течение которого будут храниться персональные данные, или, если это
невозможно, о критериях, используемых для определения указанного срока;
o
О наличии права требовать от контролера исправления или удаления соответствующих персональных данных, или
ограничения их обработки, или возражения против указанной обработки;
o
О праве подачи жалобы в надзорный орган
o
Об источнике любой доступной информации, связанной с персональными данными, если они получены не от субъекта
данных
o
О применении автоматизированного способа принятия решения, в том числе, составление профиля

14.

Ответственность за нарушения GDPR
Общие условия наложения административных штрафов
Наложение административных штрафов в каждом случае будет эффективным,
соразмерным и сдерживающим
Необходимо принимать во внимание:
o Природу, тяжесть и продолжительность нарушения
o Преднамеренный или халатный характер нарушения
o Любые действия, предпринятые контролером или обработчиком для смягчения
ущерба, нанесенного субъекту данных

15.

Общие условия наложения административных штрафов
o Степень ответственности контролера или обработчика с учетом принятых технических
и организационных мер
o Соответствующие предыдущие нарушения
o Уровень кооперации с надзорным органом и субъектом данных
o Категории персональных данных, затронутых нарушением
o Каким способом стало известно о нарушении
o Корректирующие полномочия ранее принятые в отношении контролера или
обработчика
o Соблюдение утвержденных кодексов поведения или механизмов сертификации
o Любые иные отягчающие обстоятельства

16.

Величина штрафов за нарушение определенных статей GDPR
До 10 000 000 евро или 2% годового оборота за предыдущий год, в зависимости от того, что
больше
Статьи
o 11 Обработка, не требующая идентификации
o 8 Согласие ребенка
o 25 Защита данных по определению и умолчанию
o 26 Контролеры, действующие совместно
o 27 Представители контролера или обработчика в
Евросоюзе
o 26-29 и 30 Обработка
o 31 Сотрудничество с надзорным органом
o 32 Безопасность обработки
o 33 Уведомление о нарушении надзорному
органу
o 34 Сообщение о нарушении субъекту
данных
o 35 Оценка воздействия на защиту данных
o 36 Предварительные консультации
o 37-39 Инспекторы по защите данных
o 41(4) Мониторинг утвержденных кодексов
поведения
o 42Сертификация
o 43Сертифицирующие органы

17.

Величина штрафов за нарушение определенных статей GDPR
До 20 000 000 евро или 4% годового оборота за предыдущий год, в зависимости от того, что
больше
Статьи
o 5 Принципы обработки персональных данных
o 6 Законность обработки
o 7 Условия для получения согласия
o 9 Обработка специальных категорий
персональных данных
o 12-22 Права субъектов данных на
информирование, на доступ, изменение,
удаление, ограничение обработки, переносимость
данных, возражение и профилирование
o 44-49 Передача в третьи страны
o 58(1) Требования на предоставление
доступа к надзорному органу
o 58(2) Ограничение обработки или
приостановление перемещения данных

18.

Сроки реагирования на запросы
o В случае нарушения или утечки данных – информирование надзорного органа в
течение 72 часов (есть оговорки)
o В случае запроса субъекта данных на доступ к его персональным данных 30 дней с момента запроса (есть оговорки)
o В случае запроса надзорного органа – 30 дней с момента запроса (есть оговорки)

19.

Нарушения GDPR по секторам экономики в процентном соотношении
865 нарушений безопасности
данных было совершено в
Великобритании за период
октябрь – декабрь 2017 года
9
3
4
35
4
4
6
12
11
12
Здравохранение
Местное самоуправление
Образование
Бизнес
Законодательство
Финансы, Страхование и Кредитование
Благотворительность и волонтерская деятельность
Юстиция
Земельная или имущественная служба
Иное

20.

Нарушение GDPR по типам
1
4
9
29
9
16
13
13
Иное
Утеря либо кража документов
Данные переданные не тому получателю
Данные отправленные не тому получателю
Кибер инциденты
Ошибка в редактировании данных
Небезопасное хранение данных
Утеря либо кража не зашифрованных девайсов

21.

Keep Calm and
comply GDPR