Защита ПД по-европейски
5 июля 2018
Правила обработки персональных данных GDPR (Регламент ЕС 2016/679 от 27 апреля 2016 года, General Data Protection Regulation), принятые в Европе, без преувеличения взбудоражили все компании. Проблема в том, что GDPR нарушили правило, которому до того момента следовали все законы о персональных данных. Новые правила требуют от компаний всего мира защищать персональные данные жителей (резидентов и граждан) Евросоюза, даже если эти компании не действуют на территории Европы и понятия не имеют о том, что их услугами воспользовались европейцы или что в компанию попали данные жителей ЕС.
Как я могу достоверно определить, является ли пользователь резидентом ЕС?
Если кратко, то никак. Да, вы можете спросить, но пользователь может соврать. Есть библиотеки для геотаргетинга, но они не абсолютно надёжны: кто-то может использовать прокси-сервис, спутниковую связь и так далее. Это досадно, но вы не можете со 100% уверенностью определить, где находится человек.
Можете проигнорировать штраф, потому что ваша компания зарегистрирована за пределами ЕС. Но регуляторы это предусмотрели: для ведения бизнеса в ЕС у вас должен быть «назначенный представитель» (designated representative) в ЕС. Да, вы правильно прочитали. Вероятно, это самое агрессивное изменение, которое мог установить Евросоюз: вы действительно обязаны иметь законного представителя в ЕС. Если ваш бизнес уже там работает, то это будет ваш назначенный представитель. Если нет, то вам придётся его получить. Уже появились компании, которые предлагают такую платную услугу.
Так что как только вас оштрафуют, назначенный представитель будет об этом уведомлён. Скорее всего, у него с вами договор, и у него тоже есть представитель в вашей стране. Согласно контракту вы возмещаете представителю в своей стране любые штрафы, собранные через представительство вашего юрлица в Евросоюзе. Таким образом, у вас выбор: бороться с собственным представителем в суде в родной стране или раскошелиться на штраф.
И эти люди критикуют наш закон «О персональных данных»!
Организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.
Какие данные нужно защищать по новым требованиям?
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относятся в том числе имя, данные о местоположении, онлайн-идентификатор или один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP-адреса также могут быть персональными данными.
Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).
Фактически эти требования аналогичны нашему Федеральному закону № 152-ФЗ. Кстати, наш закон действует с 2006 года!
Из интересного:
Прежде чем вы сможете использовать данные, предоставленные физическими лицами, вы должны получить их согласие. Это не просто хорошие манеры, это жёсткое требование.
Поэтому если у вас есть блестящая новая идея, которая приведёт к новому использованию уже собранных данных, то придётся обновить политику конфиденциальности и повторно получить согласие.
После 25 мая нельзя рассылать письма с просьбой дать согласие на почтовую рассылку. Любые адреса, которые вы собрали без согласия пользователей, должны считаться утерянными. Как правило, такие сообщения, классифицируемые как «спам», запрещены к отправке частным лицам.
Спам теперь вне закона! Интересно, будут ли на спамеров налагать штрафы?
Предположим, что вы ведете маленький сайтик-бложек, на котором регистрируются ваши друзья.
GDPR не различает хобби и бизнес, что мне кажется правильным. Не имеет никакого значения, воспринимаете вы свой проект как хобби или нет. Как только вы начнёте сбор данных о частных лицах из ЕС, директива начнёт действовать — и вам придется соблюдать законодательство.
В тексте Федерального закона № 152-ФЗ тоже нет разницы между обычными пользователями и компаниями, но за все время действия закона на обычных пользователей никто не обращал внимания. И вот пришел GDPR…
Самое интересное, что персональными данными может оказаться все что угодно – например, пароль: многие используют в нем собственные имена и фамилии, ники, почтовые адреса (последние дают дополнительную информацию о владельцах и тоже могут содержать имена-фамилии).
Я могу на анонимный форум или доску выложить свои (или даже чужие) персональные данные. Получается что любая(!) информация, вводимая пользователями, должна рассматриваться как потенциально содержащая персональные данные?
А если проигнорировать?
С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании.
Антивирусная правДА! рекомендует
Закон есть закон, и всем придется ему следовать. И тут не сработает афоризм о том, что «строгость законов компенсируется необязательностью их исполнения».
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
15:16:26 2018-07-26
Любитель пляжного футбола
15:30:36 2018-07-18
Это определение местонахождения пользователя.
kozinka.ru
15:50:47 2018-07-09
a13x
16:15:16 2018-07-06
МЕДВЕДЬ
15:14:40 2018-07-06
Пaвeл
08:21:50 2018-07-06
Спасибо Вам за интересные коментарии.
Неуёмный Обыватель
02:35:29 2018-07-06
Andromeda
23:39:10 2018-07-05
Альфа
23:27:17 2018-07-05
Дмитрий
23:03:53 2018-07-05
razgen
22:30:05 2018-07-05
Шалтай Александр Болтай
22:30:00 2018-07-05
razgen
22:11:43 2018-07-05
А ещё когда случается какое нибудь ЧП, например ДТП, тут же различного рода "друзья" снимают фотки и видео, и через некоторое время эти фотки появляются в различных соцсетях.
Шалтай Александр Болтай
22:04:35 2018-07-05
orw_mikle
21:35:29 2018-07-05
НинаК
21:28:40 2018-07-05
Dvakota
21:27:46 2018-07-05
Littlefish
21:03:23 2018-07-05
Littlefish
21:01:17 2018-07-05
Возможно, закон провели как раз чтобы сделать новый бизнес - представители в ЕС.
Татьяна
20:45:19 2018-07-05
В...а
20:36:30 2018-07-05
vla_va
20:06:28 2018-07-05
zsergey
19:58:55 2018-07-05
anatol
19:57:16 2018-07-05
ek
19:43:06 2018-07-05
Сергей
19:29:38 2018-07-05
Владимир
19:26:43 2018-07-05
marisha-san
19:15:08 2018-07-05
kva-kva
18:39:37 2018-07-05
Вячeслaв
17:45:22 2018-07-05
Согласие через «галочку» при сборе ПДн через сайт обязательно (в случаях, предусмотренных законодательством). Но достаточность конкретной процедуры получения согласия субъекта ПДн через сайт будет определятся сотрудником ПДн субъективно. Так же как и проверка подлинности этого согласия (идентификация оператором субъекта). При этом, сотрудник РКН будет субъективно определять моменты: надо ли ему запрашивать подтверждение наличия у оператора процедуры идентификации субъекта при получении согласия и соответствие используемых методов (контрольный звонок, смс, email и т.д.) требованиям законодательства. Как он решит, так и будет в протоколе отражено. РКН рекомендовал приглашать субъекта с паспортом или использовать ГИС по идентификации/биометрической идентификации
Пaвeл
17:40:37 2018-07-05
В общем, главное получить согласие субъекта персональных данных на обработку его персональных данных :)
mk.insta
17:28:17 2018-07-05
Вячeслaв
17:10:04 2018-07-05
Персональные данные - НАБОР данных, позволяющих идентифицировать кого-либо и как-либо. А защита просто ФИО или просто ip - это профанация. У нас в законе упомянуты в качестве персональных данных ФИО и это возвели в догму, а это неверно
I46
17:09:17 2018-07-05
I23
17:06:56 2018-07-05
Lenba
17:01:46 2018-07-05
Пaвeл
16:58:38 2018-07-05
Действительно трактовка закона иногда может доходить до абсурда.
Damir
16:56:35 2018-07-05
Пaвeл
16:47:00 2018-07-05
Подозреваю, что в государстве "Space Kingdom of Asgardia" подобных законов будет еще больше.
12 ноября 2017 года ракета-носитель «Антарес» с космодрома Уоллопс вывела космический грузовик Cygnus, в котором на орбиту был доставлен первый спутник Асгардии «Асгардия-1». Так как Асгардия хранит данные частных лиц, то у неё могут возникнуть юридические и этические проблемы. Первый спутник подпадает под юрисдикцию США, так как запускается американскими компаниями, и соответственно данные, хранящиеся на спутнике, попадают под действие законов США о конфиденциальности.
Да и вообще конституционная монархия мне не нравится.
Zserg
16:45:52 2018-07-05
Пaвeл
16:33:38 2018-07-05
Как перед ней ни гнитесь, господа,
Вам не снискать признанья от Европы:
В ее глазах вы будете всегда
Не слуги просвещенья, а холопы.
... Ну что скажешь, впечатлен!
Пaвeл
16:27:20 2018-07-05
Ф.И.О. пользователя, независимо от того получил его хакер Вася или ФСБ, согласно закона останутся персональными данными. Только у ФСБ будет к ним доступ на законных основаниях.
Меня интересовало несколько иное, является ли всетаки IP-адрес персональными данными, такими например как Ф.И.О. или нет? Наверное нет четкого ответа на этот вопрос.
Геральт
16:10:27 2018-07-05
Toma
15:37:53 2018-07-05
djabax
15:24:21 2018-07-05
Sasha50
15:21:15 2018-07-05
Sasha50
15:14:08 2018-07-05
Влад
15:13:51 2018-07-05
Sasha50
15:07:41 2018-07-05
Masha
14:18:00 2018-07-05