Обработка персональных данных в рамках GDPR

1.

Обработка персональных
данных в рамках GDPR
Анна Чуршина
LL.M.
СIPP/E, CIPM, FIP

2.

Образование и стипендии
Образование:
2017-2018, LL.M. Queen Mary University of London, Лондон
2012-2014, Магистра права, НИУ Высшая школа экономики, Москва
2012-2013, Университет Масарика (г. Брно), программа годового обмена
2006-2011, Специалист, гражданско-правовая специализация, Удмуртский государственный университет,
Ижевск
Стипендии:
Chevening, Великобритания, 2017
The U.S.-Russia Social Expertise Exchange (SEE), США, 2017
Erasmus Mundus Triple I, Чехия, 2012
2

3.

Карьера
ABBYY (Юрист по персональным данным, комплаенс с зарубежным законодательством), Москва, 2019 – н.в.
Promontory Financial Group, an IBM company (Аналитик, GDPR комплаенс), Лондон, 2018-2019
Gordon Dadds LLP, The Ince Group (Dispute Resolution, Private Clients), Лондон, 2017-2018
Адвокатское бюро “Иванян и партнеры” (Юрист в практике по работе с частными клиентами), Москва, 2017
Благотворительный фонд «Территория добра» (Корпоративный юрист), Москва, 2013-2019
ООО Комос групп (Младший юрист претензионно-исковая работа), Ижевск, 2011-2012
3

4.

ABBYY за 30 секунд
Глобальная
компания
Основана в 1989 году.
Офисы в 13 странах мира.
Лидер рынка
Инновации
Один из ведущих разработчиков решений
в области интеллектуальной обработки
информации.
Более 1300 сотрудников.
Функции компании распределены
глобально по всему миру без
региональной автономии.
Десятки тысяч корпоративных клиентов и
• В решениях ABBYY применяются такие
более 50 млн пользователей программных
технологии как машинное обучение,
продуктов.
нейронные сети, обработка естественного
языка и компьютерное зрение.
Партнеры более чем в 180 странах.
• Около 400 патентов и патентных заявок в
Миллиарды страниц документов ежегодно
мире. 2 изобретения вошли в «100 лучших
обрабатывают организации во всем мире с
изобретений России» за 2019 и первое
помощью технологий ABBYY.
полугодие 2020 по версии Роспатента РФ.
• ABBYY разрабатывает клаудные и
десктопные продукты с применением
технологий искусственного интеллекта.
https://bestlegaldepartments.ru/
3е место в номинации “Лучший юридический проект” на конкурсе Лучшие юридические
департаменты России https://bestlegaldepartments.ru/
2

5.

Что мы узнаем?
Что такое GDPR и его основные
требования
Отличие подходов к обработке данных в ЕС и США
Безопасность данных
Обучающие материалы, конференции по теме защиты
данных, нетворкинг
5

6.

Развитие законодательства о защите данных в Европе
1948 – ст. 12 Всеобщая декларация прав человека, ООН
1950 – ст. 8 и ст. 10 (1), (2) Конвенция о защите прав
человека и основных свобод, Cовет Европы
1980 - «Руководстве о защите частной жизни и
трансграничных потоков персональных данных»,
Организация экономического сотрудничества и развития
1981 - Конвенция о защите физических лиц при
автоматизированной обработке персональных данных (N
108), Совет Европы
1992- Маастриихтский договоор («Договор о Европейском
союзе»)
1995 – Директива ЕС о защите данных
25 мая 2018 - Общий регламент по защите данныхных
6

7.

Что такое GDPR
Территориальная сфера действия (ст.3)
Организациям, которые находятся на территории
ЕС (обработка может идти и за пределами ЕС)
Организациям, которые находятся за пределами ЕС, которые
обрабатывают данные резидентов ЕС в целях мониторинга
поведения или предложения товаров и услуг
GDPR вступил в силу 25 мая 2018 года
Материальная сфера действия (ст.2)
Главное достижение – унификация стандартов
обработки данных в странах ЕС и Европейской
экономической зоны
Регламент применяется к обработке персональных
данных, осуществляемой полностью или частично с
помощью автоматизированных средств, а также к
неавтоматизированной обработке персональных
данных, формирующих часть системы данных либо
предназначающихся, чтобы стать частью системы
данных.
7

8.

8

9.

Материальная сфера действия
Ст. 2 (2) Регламент не распространяются на обработку персональных данных:
a) в ходе деятельности за рамками сферы применения права Союза; Public security, defense and national security
b) государствами-членами при осуществлении деятельности, подпадающей под сферу действия Главы 2 Раздела V Договора о Европейском
союзе; Common foreign and security policy
c) физическим лицом в рамках исключительно личной или бытовой деятельности;
d) компетентными органами в целях предупреждения, расследования, выявления уголовных преступлений, привлечения к ответственности
или исполнения уголовных наказаний, в том числе в целях защиты от угроз общественной безопасности и предотвращения таких угроз.
Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 г. о защите
физических лиц в отношении обработки персональных данных компетентными органами в
целях предотвращения, расследования, обнаружения или преследования преступников.
правонарушений или исполнения уголовных наказаний, а также о свободном перемещении
таких данных, а также об отмене Рамочного решения Совета 2008/977 / JHA
Ст. 2 (3) К обработке персональных данных союзными институтами, органами, учреждениями и агентствами применяется
9

10.

Что такое персональные данные по GDPR?
Любая информация, относящая к определенному или
определяемому физическому лицу
Да*
Нет*
• Имя, дата рождения
• Публичные отчеты компании
• Данные по зарплате
• Анонимные ответы на вопросы
• Медицинская информация
• Корпоративный емейл с обезличенным адресом
• Фото или видео на камерах наблюдения
• Технические данные, если они относятся к
девайсу физ лица (номер, история браузера
и т.д.)
• Фактические данные, относящиеся к продуктам
• Общая информации в отношении стоимости
товаров и услуг, бизнесе
• “Следы” в интернете (посещение сайтов,
нажатия, соц сети)
• Сюданимизированные данные
(pseudonymised) personal data
*Не ограниченный список
10

11.

Кто такие контроллер и процессор?
Могут быть как физическим, так и юридическим органом (в том числе гос. органом)
Контролёр
Определяет цели и средства
обработки ПД
Процессор
Обрабатывает персональные
данные по поручению контролёра
На основании data processing agreement, ст 28 GDPR:
типы данных, цели обработки, срок обработки, R&D, меры безопасности, трансферы данных и так
далее
11

12.

Основные принципы обработки
Организация экономического сотрудничества и развития (Organisation for Economic Co-operation and
Development) - «Руководстве о защите частной жизни и трансграничных потоков персональных
данных», 1980
Законность,
справедливость,прозрачность
ОГРАНИЧЕНИЕ ЦЕЛИ
ПД должны быть получены законными и справедливыми средствами из
строгого перечня, предусмотренного GDPR.
Цель сбора данных должна быть определена перед сбором, данные не должны
использоваться для иной цели (или нужно получить согласие/иметь другое
основание).
МИНИМИЗАЦИЯ ДАННЫХ
И ТОЧНОСТЬ
Нужно собирать минимально необходимый набор данных для достижения
заявленной цели. ПД должна быть точной, полной и актуальной. Данные
должны быть откорректированы (по запросу пользователя).
ОГРАНИЧЕНИЕ ХРАНЕНИЯ
Хранятся только до тех пор, пока это необходимо для выполнения целей
обработки информации
ЦЕЛОСТНОСТЬ,
КОНФИДЕНЦИАЛЬНОСТЬ
ПД должны быть защищены гарантиями безопасности от различных рисков:
потеря, несанкционированный доступ, уничтожение, использование,
модификация или раскрытие данных.
Ответственность – контролер должен продемонстрировать соблюдение этих мер и нести ответственность.
12

13.

Что нового появилось при внедрении GDPR?
Офицер по безопасности данных Организации, осуществляющие обработку данных должны назначить DPO
(Data Protection Officer)
DATA MAPPING
Оценка воздействия на
конфиденциальность (Data Privacy
Impact Assessment)
Privacy by Design and by
Default
Представитель в ЕС
Выявление баз данных и документирование обработки данных в них: какие
страны, сроки, типы данных, основания обработки.
Необходимо проводить тем организациям, которые обрабатывают большие
массивы данных или процессинг данных ведет к высоким рискам ПД
Проектируемая конфиденциальность
Процессор или котроллер, расположенные за пределами ЕС должны иметь
представителя в ЕС
13

14.

Права субъектов ПД
Права
субъектов
1. Право на информирование
2. Право на доступ
3. Право на уточнение информации
4. Право быть забытым (Google v. Spain)
5. Право на запрет обработки
6. Право на ограничение обработки
7. Право на перенос данных
8. Право на запрет принятия автоматических решений и
профайлинг
14

15.

Основания обработки
1. Согласие субъекта (Planet 49 case)
2. Для исполнения договора
Статья 6
GDPR
3. Для выполнения правового обязательства,
4. Для защиты жизненно важных интересов субъекта данных
или другого лица
5. Для выполнения задачи в публичном интересе или в рамках
осуществления государственной власти, доверенной
контролёру
6. Для целей, вытекающих из легитимных интересов,
преследуемых контролёром или третьим лицом (не
применяется к обработке, которую осуществляют
государственные органы при выполнении ими своих задач)
15

16.

Трансфер данных из ЕС в США
Основные механизмы для трансфера данных:
Страны с адекватным уровнем защиты (Andorra, Argentina, Guernsey,
Isle of Man, Israel, Jersey, New Zealand, Switzerland, Uruguay, Japan,
Canada and the USA)
Standard Contractual Clauses
Privacy Shield (не действует в связи с делом Schrems II, рассмотрен
Европейским судом 16 июля 2020)
Binding Corporate Rules
16

17.

Отличие подходов к защите данных в ЕС и США
• EU
Data protection, personal data – унификация регулирования
• USA
Privacy, personal identifiable information (PII) – секторальное
регулирование:
California Consumer Privacy Act 2018
Health Insurance Portability and Accountability Act (HIPAA) 1996
Children’s Online Privacy Protection Act (COPPA) 2000
Gramm-Leach-Bliley Act (GLBA) 1999
17

18.

Безопасность данных
Ст. 32 Безопасность данных
Принимая во внимание текущий уровень научно-технического
прогресса, стоимость внедрения и характер, масштабы, контекст
и цели обработки, а также риски, связанные с той или
иной вероятностью и серьезностью нарушения прав и свобод физических
лиц, контролёр и процессор должны реализовать соответствующие
технические и организационные меры для обеспечения уровня
безопасности соответствующего данным рискам, включая при
необходимости:
(a) псевдонимизацию и шифрование персональных данных;
(b) способность обеспечить
постоянную конфиденциальность, целостность, доступность и
устойчивость систем и сервисов обработки;
(c) способность своевременно восстанавливать доступность персональных
данных в случае возникновения физического или технического инцидента;
(d) регулярное тестирование, оценку и измерение эффективности
технических и организационных мер по обеспечению
18

19.

Последствия нарушения GDPR
– personal data breach
«Нарушение безопасности персональных данных» — это нарушение безопасности,
ведущее к случайному или незаконному уничтожению, потере, изменению,
несанкционированному разглашению пересылаемых, хранимых или иным образом
обрабатываемых персональных данных или к несанкционированному доступу к ним
19

20.

Нарушение безопасности ПД
• Процессор должен уведомить контролёра
• Контролёр должен уведомить регулятора об утечках данных в течение 72 часов с момента
регистрации инцидента, а также информировать субъекта ПД
Уведомление должно :
(a) описывать характер нарушения безопасности персональных данных, в том числе по возможности, указывать категории и приблизительное
количество пострадавших субъектов данных, а также категории и приблизительное количество затронутых записей персональных данных;
(b) содержать имя и контактные данные инспектора по защите персональных данных или другого контактного лица, от которого можно получить
более подробную информацию;
(c) описывать возможные последствия нарушения безопасности персональных данных;
(d) описывать меры, предпринятые или предлагаемые контролёром, для устранения нарушения безопасности персональных данных, в том числе,
если уместно, меры, направленные на минимизацию ее возможных негативных последствий.
20

21.

Штрафы
• Нарушение прав субъектов, основных принципов и правил
международных трансферов:
4% от годового оборота или 20 миллионов евро (выбирается
большой показатель)
• Остальные нарушения:
2% oт годового оборота или 10 миллионов евро (выбирается
больший показатель)
Примеры реальных штрафов по
GDPR https://www.enforcementtracker.com/
21

22.

Штрафы
• GDPR https://www.enforcementtracker.com/
22

23.

Полезные ссылки
1. Текст GDPR на русском https://gdpr-text.com/ru/
2. International Association of Privacy Professionals
https://iapp.org/
3. European Data Protection Board, GDPR: Guidelines,
Recommendations, Best Practices https://edpb.europa.eu/ourwork-tools/general-guidance/gdpr-guidelines-recommendationsbest-practices_en
4. Russian Privacy Professional Association https://rppa.ru/
5. Телеграмм канал Privacy GDPR Russia https://t.me/GDPRru
6. Chevening https://www.chevening.org/
7. US-Russia Social Expertise Exchange
https://www.usrussiasocialexpertise.org/
23

24.

Спасибо за
внимание
Анна Чуршина