Особенности реализации GDPR

25 мая 2018 года вступил в силу регламент Европейского союза о защите персональных данных. Данный регламент был разработан для защиты персональных данных резидентов и жителей ЕС, а его главной особенностью является то, что его требования распространяются не только на страны Евросоюза. Выполнять требования регламента нужно тем организациям, которые обрабатывают персональные данные резидентов и жителей ЕС вне зависимости от того, где эти организации находятся.

Регламент устанавливает следующие принципы обработки персональных данных:

• Законность и прозрачность процессов обработки;
• Ограничение целей обработки и прекращение обработки по достижении её целей;
• Минимизация собираемых персональных данных;
• Поддержание точности и актуальности персональных данных;
• Обеспечение целостности и конфиденциальности персональных данных;
• Подотчетность организаций, которые осуществляют обработку персональных данных.

Что делать тем, кто подпадает под действия Регламента?

Особое внимание в регламенте уделяется защите персональных данных при осуществлении маркетинговой деятельности. Так, если предполагается, что в целевую аудиторию интернет-магазина входят жители или резиденты ЕС, администрации интернет-магазина необходимо озаботиться вопросом выполнения требований регламента.

В первом приближении видно, что регламент направлен на защиту прав субъектов персональных данных. Это значит, что на сайте должны быть реализованы как минимум следующие элементы:

• Простой и понятный запрос согласия на обработку персональных данных (и окошко для проставления «галочки»)
• Простое и понятное описание целей обработки персональных данных
• Доступная возможность отозвать согласие на обработку или удалить аккаунт в любой момент времени

Кроме указанных выше элементов, на сайте должна быть указана информация об особенностях обработки персональных данных несовершеннолетних лиц.

Регламент предъявляет менее жесткие требования к согласию на обработку, чем 152-ФЗ «О персональных данных». Достаточно понятным языком описать цели обработки и дать субъекту возможность добровольного согласия на обработку – «галочку» он должен поставить сам.

Неудобным моментом является то, что на сайте необходимо реализовывать указанный выше функционал не только в отношении «классических» персональных данных – ФИО, телефон, почты и т. д., но и в отношении автоматически создаваемых cookie-файлов. Собирать их в режиме «по умолчанию» не получится, поэтому на многих англоязычных сайтах сейчас можно встретить окна с указанием того, что сайт собирает cookie и что их сбор можно отключить.

Особенности соответствия требованиям регламента

Регламент не подразумевает наличия четких и строгих мер по защите информации и обходится общими формулировками, позволяющими организациям самостоятельно и гибко построить стратегию и процессы обеспечения безопасности персональных данных. Это касается как процессов управления инцидентами и утечками, так и передачи персональных данных субпроцессорам.

Соответствие регламенту обычно подтверждается наличием кодекса сертификации и кодекса поведения в каждой организации, подпадающей под требования регламента. В кодексах указывается перечень применяемых для защиты персональных данных мер и порядок проверки работоспособности этих мер. Если процессы реализации и контроля защитных мер настроены, то организация считается соответствующей регламенту.

Заключение

Изначальной целью регламента является защита прав субъектов персональных данных. В регламенте происходит попытка смещения приоритетов при обработке персональных данных с обработчика на субъекта. С одной стороны, это ведёт к усложнению системы обработки и защиты персональных данных. С другой, появляются невиданные ранее возможности для субъектов в мировом масштабе – у них появляется контроль над теми персональными данными, которые они могут предоставлять.

Выполнение требований регламента для организации является большим плюсом, поскольку свидетельствует о наличии зрелых процессов обработки и защиты персональных данных, о наличии необходимой инфраструктуры. А самое главное – о понимании того, что персональные данные нужно и важно защищать, если не ради субъектов, то хотя бы ради отсутствия огромных штрафов, предусмотренных за нарушение регламента.