تأثير اللائحة العامة لحماية البيانات على مشغلي البيانات الشخصية الروسية

تم النشر بواسطة: Anastasia Zavedenskaya ، محلل مساعد ، المركز التحليلي لشركة UTSB LLC
المراجعون: إيكاترينا روبليفا وكونستانتين ساماتوف ، رئيسا التوجيه ، المركز التحليلي لشركة UTSB LLC

تعتبر الشركة التي تعالج البيانات الشخصية مشغلها. على الأرجح ، تعرف هذه الشركة عن القانون الاتحادي المؤرخ 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" ومتطلباته. وإذا كانت الشركة لديها عملاء في الاتحاد الأوروبي أم أن هناك رغبة في جذب هؤلاء؟ أو هل لديك موقع على الإنترنت به نماذج لملئها من قبل المستخدم؟ ثم أنت بحاجة إلى فهم ما هو GDPR ونطاقه.

في عام 1995 ، اعتمدت دول الاتحاد الأوروبي التوجيه رقم 95/46 / EU بشأن حماية حقوق الأفراد في معالجة البيانات الشخصية. لكن كل شيء يتغير ، وفي 25 مايو 2018 ، تم استبداله باللائحة العامة لحماية البيانات ، التي اعتمدها البرلمان الأوروبي في أبريل 2016 ، ببساطة اختصار الناتج المحلي الإجمالي.

ستتم الموافقة على تطبيق اللائحة العامة لحماية البيانات (GDPR) في ثلاث دول أخرى من رابطة التجارة الحرة الأوروبية (EFTA) ، وبشكل أكثر تحديدًا في أيسلندا وليختنشتاين والنرويج ، وهي ليست أعضاء في الاتحاد الأوروبي. يشير موقع رابطة التجارة الحرة الأوروبية (EFTA) ، في مقال حول "دمج اللائحة العامة لحماية البيانات في المنطقة الاقتصادية الأوروبية (المنطقة الاقتصادية الأوروبية) ومواصلة تطبيق التوجيه 95/46 / EC" ، إلى أنه من المتوقع أن يتم اعتماد EPR من قبل اللجنة المشتركة للمنطقة الاقتصادية الأوروبية (EEA) اللجنة المشتركة) ودخولها حيز التنفيذ في دول المنطقة الاقتصادية الأوروبية ETA EA في منتصف يوليو 2018. حتى ذلك الحين ، يظل توجيه حماية البيانات رقم 95/46 / EC قابلاً للتطبيق في اتفاقية المنطقة الاقتصادية الأوروبية ، مما يضمن إمكانية التوزيع دون عوائق للبيانات بين المنطقة الاقتصادية الأوروبية ETA والدول الأعضاء في الاتحاد الأوروبي.

على من تنطبق اللائحة العامة لحماية البيانات؟

تحتاج أولاً إلى فهم من يحتاج إلى اتباع متطلبات اللائحة العامة لحماية البيانات ، ومن لا يندرج تحت متطلباته.



الشكل 1 - خوارزمية لتحديد نطاق اللائحة العامة لحماية البيانات

استنادًا إلى نص الوثيقة ، تنطبق متطلباتها ليس فقط على المنظمات الأوروبية ، ولكن أيضًا على أي شركات تعمل مع البيانات الشخصية لمواطني الاتحاد الأوروبي أو الأشخاص الموجودين في الاتحاد الأوروبي (انظر الشكل 1). في الوقت نفسه ، لا يهم موقع الشركة نفسها.

لذا ، إذا كانت الشركة مسجلة في الاتحاد الأوروبي أو ، على سبيل المثال ، في أيسلندا المذكورة أعلاه ، ليختنشتاين ، النرويج ، إذن ، بغض النظر عن موقع عملية المعالجة نفسها ، فهذا هو اللائحة العامة لحماية البيانات بشكل لا لبس فيه.

لفهم ما إذا كانت المنظمة تقدم خدمات أو سلعًا للأشخاص الموجودين في الاتحاد الأوروبي ، حتى عزمها على تقديم الخدمات / السلع سيكون كافيًا. وفقًا للائحة العامة لحماية البيانات ، تصبح النية واضحة إذا كان موقع الشركة على الويب يستخدم اللغة والعملة الوطنية لدولة عضو في الاتحاد الأوروبي ، ويمكن إصدار طلب بهذه اللغة. أو هناك إشارات إلى المستهلكين أو المستخدمين الموجودين في الاتحاد الأوروبي.

على الرغم من أنه حتى إذا كان الموقع باللغة الروسية تمامًا ، وفي حد ذاته فإن توافره لأفراد الاتحاد الأوروبي لا يظهر نوايا ، فلا يمكنك أن تكون متأكدًا بنسبة 100 ٪ من أنه لن يستخدم أي شخص ، موجود في الاتحاد الأوروبي ، خدماته. لذلك ، يوصى بالامتثال لمتطلبات اللائحة العامة لحماية البيانات في أي حال.

هناك مفهوم آخر مثير للاهتمام وملائم في سياق اللائحة العامة لحماية البيانات وهو الرصد. يشير الرصد في اللائحة العامة لحماية البيانات إلى تتبع الأفراد على الإنترنت باستخدام إضافي أو تطبيق محتمل لتقنيات مختلفة لمعالجة البيانات الشخصية لتحليل أو توقع الأفضليات والخصائص الشخصية والخصائص السلوكية. أي إذا اتخذت الشركة بعض الإجراءات لدراسة سلوك الأشخاص الموجودين في الاتحاد الأوروبي ، لأغراض التسويق ، للإحصاءات ، إلخ. - هذا هو الرصد. على سبيل المثال ، يتم تثبيت Yandex.Metrica و Google Analytics وما إلى ذلك على موقع المؤسسة على الويب ، لذلك يجب تطبيق اللائحة العامة لحماية البيانات. لأنه ، كما سبق ذكره ، ليس هناك ما يضمن عدم ذهاب شخص من الاتحاد الأوروبي إلى الموقع الذي يتم استخدام هذه الخدمات عليه.

من المهم أن تعرف أنه يجب على المنظمة تعيين ممثل في الاتحاد الأوروبي عند استيفاء أحد الشروط التالية على الأقل:

1. المعالجة جارية ؛
2. معالجة واسعة النطاق لفئات خاصة من البيانات الشخصية ؛
3. معالجة البيانات الشخصية المتعلقة بالإدانات أو الجرائم ؛
4. هناك خطر كبير من انتهاك حقوق الإنسان والحريات.

وفقًا للائحة العامة لحماية البيانات ، يتم تعريف فئات خاصة من البيانات الشخصية بشكل مشابه للتشريع الروسي. باستثناء حقيقة أن البيانات المتعلقة بالإدانات والجرائم تصدر بشكل منفصل ، مع الالتزام بالسيطرة على معالجتها من قبل هيئة رسمية أو على النحو الذي يجيزه قانون الولاية.

قد يكون الممثل شخصًا طبيعيًا أو اعتباريًا مفوضًا تحديدًا بناءً على المستندات ذات الصلة. يجب أن يكون الممثل موجودًا في بلد الاتحاد الأوروبي حيث توجد موضوعات البيانات. تتمثل مهمته نيابة عن الشركة في التفاعل مع سلطات الاتحاد الأوروبي والمواطنين ، للامتثال لتعليمات الشركة. وبالمثل يُحاسب على الانتهاكات.

على سبيل المثال ، تقدم شركة روسية ليس لها فروع في فنلندا باستمرار خدماتها لمواطنيها. وهذا يعني أنه يجب على الشركة تعيين ممثل يقع رسميًا في فنلندا. إذا كانت هناك شركة فرعية ، فيمكن تعيين ممثل لها.

اتضح أن اللائحة العامة لحماية البيانات لها تغطية واسعة إلى حد ما ، وإذا كان كل شيء منطقيًا جدًا مع شركات الاتحاد الأوروبي ، فإن الدول الأخرى أصبحت أيضًا خاضعة للتوزيع. يصبح من الواضح أن المنظمات الروسية ، الموجهة نحو العملاء إلى الاتحاد الأوروبي ، يجب أن تمتثل أيضًا لمتطلبات اللائحة العامة لحماية البيانات.

لنفترض أن شركة روسية صغيرة لديها متجر على الإنترنت ، وأن مواطنًا من لاتفيا يشتري سلعه. وهذا يعني أن متطلبات اللائحة العامة لحماية البيانات تنطبق على هذا المتجر عبر الإنترنت ، حيث سيتم معالجة البيانات الشخصية لمواطن من الاتحاد الأوروبي فيه. إذا كان موقع هذه الشركة يحتوي في البداية على إصدار باللغة الإنجليزية ويحدد الأسعار بالعملة وفقًا لحالة المستخدم ، فإنه يقع أيضًا ضمن نطاق اللائحة العامة لحماية البيانات. وعلى أي حال ، إذا كانت الشركة لا تعمل بشكل شخصي مع كل عميل ، فلا يمكنك معرفة مصدر العميل بالضبط. وهذا يعني أنه حتى موقع ويب روسي بالكامل لشركة صغيرة يحتاج إلى الاستعداد لتلبية متطلبات اللائحة العامة لحماية البيانات.

يمكن استمرار قائمة الشركات التي تغطيها اللائحة العامة لحماية البيانات لفترة طويلة ، ولكن حتى الآن لا توجد ممارسة لإنفاذ القانون ، وفقًا للمؤلف ، من الضروري تحليل من تستهدف إجراءات الشركة ومن تتفاعل معها.

ما الأدوار التي تقدمها اللائحة العامة لحماية البيانات؟

مثل أي عمليات ، فإن معالجة البيانات لها وجهان - الجانب الذي تتم معالجة بياناته ، أي موضوع البيانات الشخصية ومن يقوم بمعالجتها. دعونا نتطرق إلى مزيد من التفاصيل حول الثانية. يتم إدخال مفاهيم وحدة التحكم (وحدة تحكم البيانات الإنجليزية) والمعالج (معالج بيانات اللغة الإنجليزية) في اللائحة العامة لحماية البيانات.

سنتعامل مع هذه الشروط بناءً على اللائحة العامة لحماية البيانات والتفسيرات المقدمة على موقع الويب للمفوضية الأوروبية.

المراقب ، وفقا للفقرة (7) من المادة 4 من اللائحة العامة لحماية البيانات ، هو الأفراد أو الأفراد أو الكيانات القانونية ، الهيئات والوكالات المختلفة التي تحدد لأي غرض وبأي وسيلة يتم معالجة البيانات.

تقع المسؤولية الكاملة عن تلبية متطلبات معالجة وحماية البيانات الشخصية على عاتق وحدة التحكم. يجب أن تكون وحدة التحكم قادرة على التحقق من الامتثال.

اتضح إذا قررت الشركة "لماذا؟" و "كيف؟" البيانات الشخصية المجهزة ، هي وحدة تحكم البيانات. يقوم موظفو شركة المعالجة بذلك كمراقب بيانات.

إذا قامت شركة ، مع مؤسسة واحدة أو أكثر ، بتحديد "لماذا؟" و "كيف؟" البيانات الشخصية المجهزة ، يمكن أن يطلق عليها وحدة تحكم مشتركة (وحدة تحكم مشتركة باللغة الإنجليزية). يبرم المشرفون المشتركون اتفاقية تنص على الالتزامات بالامتثال لمتطلبات اللائحة العامة لحماية البيانات. يجب نقل الجوانب الرئيسية لهذه الاتفاقية إلى الأشخاص الذين تتم معالجة بياناتهم.

المعالج (المعالج) ، وفقًا للفقرة (8) من المادة 4 من اللائحة العامة لحماية البيانات ، هو الأشخاص أو الأفراد أو الكيانات القانونية والهيئات والوكالات المختلفة التي تعمل في معالجة البيانات الشخصية نيابة عن المراقب.

اتضح أن المعالج لديه الحق في معالجة البيانات الشخصية فقط نيابة عن وحدة التحكم. قد يكون معالج معالجة البيانات ، على سبيل المثال ، شركة خارجية تشارك في معالجة البيانات.

يمكن أن تكون المؤسسة وحدة تحكم في البيانات أو معالج بيانات ، أو كليهما في نفس الوقت.

في القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152- "بشأن البيانات الشخصية" ، هناك مفهوم عامل يشبه جهاز التحكم ، والمعالج مشابه لشخص يقوم بمعالجة البيانات الشخصية نيابة عن عامل التشغيل.

اللائحة العامة لحماية البيانات ورقم 152-FZ "على البيانات الشخصية". عام والاختلافات

تستخدم أي وثيقة تنظيمية قواعد التعريف الخاصة بها ، والنظر فيها ومقارنتها.

البيانات الشخصية ، وفقًا للمادة 3 من القانون الاتحادي "بشأن البيانات الشخصية" ، هي أي معلومات تتيح لك تحديد هوية الفرد بشكل مباشر أو غير مباشر. يقدم البند (1) من المادة 4 من GDR تعريفًا مشابهًا ، باستثناء أنه بدلاً من كلمة "تعريف" ، يتم استخدام "تحديد".

المصطلحات متشابهة ، ولكن اللائحة العامة لحماية البيانات تتحدث بمزيد من التفاصيل حول المعلومات المتعلقة بالبيانات الشخصية. من أين نحصل على أن المعلومات التي تسمح بتحديد هوية موضوع البيانات هي بيانات شخصية. لا يهم ما إذا كان يمكن تحديد الموضوع مباشرة من قبلهم أو ما إذا كانت هناك حاجة إلى أدوات أو برامج خاصة.

تحتوي اللائحة العامة لحماية البيانات على قائمة البيانات الشخصية التالية:

1. الاسم الأول ؛
2. رقم التعريف ؛
3. بيانات الموقع ؛
4. معرف عبر الإنترنت ؛
5. مزيج من المحددات / المؤشرات.

أصعب شيء مع معرفات الإنترنت. وتشمل هذه عناوين IP وملفات تعريف الارتباط وما إلى ذلك. يمكن أن يؤدي عنوان IP ، على سبيل المثال ، إلى وصول شخص معين إلى الإنترنت ، أو يمكنه ببساطة إظهار نقطة الوصول إلى الشبكة ، أي في بعض الحالات ، يمكن استخدامه لتحديد الشخص بالاقتران مع البيانات الأخرى فقط. يعتبر ما إذا كان عنوان IP يتعلق بالبيانات الشخصية نقطة خلاف ويعتمد على سياق الموقف. ولكن نظرًا لأن اللائحة العامة لحماية البيانات تركز على المعرّفات عبر الإنترنت ، فمن المستحسن أن تقوم بحمايتها أيضًا.

تم تحديد المبادئ وشروط المعالجة في المواد 5 و 6 من القانون الاتحادي "بشأن البيانات الشخصية" وفي المواد 5.6 من اللائحة العامة لحماية البيانات.

يحتوي قانون البيانات الشخصية للاتحاد الروسي على 7 مبادئ معالجة ، وتحتوي اللائحة العامة لحماية البيانات على 6. جميع المبادئ قابلة للمقارنة ، باستثناء أن التشريع الروسي يوضح حظر دمج قواعد البيانات التي تم إنشاؤها لأغراض غير متوافقة. يعد مبدأ الشفافية / الشفافية مكملاً هامًا للمبادئ الواردة في اللائحة العامة لحماية البيانات. أي أن أي معلومات ورسائل تتعلق بمعالجة البيانات الشخصية يمكن الوصول إليها بسهولة للموضوع وواضح لفهمه ، أي أنه تم استخدام لغة واضحة وبسيطة. بالإضافة إلى ذلك ، تحدد اللائحة العامة لحماية البيانات أمن البيانات الشخصية كمبدأ [ص. (و) ، المادة 5 ، اللائحة العامة لحماية البيانات ،] ، ولكن من المرجح أن يتم تقديمها على أنها واجب.

الشروط التي بموجبها تكون المعالجة قانونية قابلة للمقارنة أيضًا. وبذلك ، تسمح اللائحة العامة لحماية البيانات للولايات بتقديم متطلبات المعالجة الخاصة بها.

تصف المادة 9 من القانون الاتحادي "بشأن البيانات الشخصية" والمادة 7 من اللائحة العامة لحماية البيانات موافقة الشخص المعني على معالجة البيانات الشخصية. تتحدث الوثيقتان عن التماسك والوعي والوعي. من المهم أن تتطلب اللائحة العامة لحماية البيانات تجميع الإجماع بلغة مفهومة ويمكن الوصول إليها بسهولة. يجب إعطاء الموافقة على معالجة البيانات بشكل منفصل عن الشروط والاتفاقيات الأخرى. يجب أن يتضمن جميع أهداف المعالجة. يجب أن تكون عملية سحب الموافقة بسيطة مثل الحصول عليها - هذه هي طريقة تحديد المربع وإزالته.

اتضح أن الاتفاقية يجب ألا تكون غامضة ، ولكنها دقيقة - "أوافق ...". يجب أن يتضمن قائمة بأهداف المعالجة المحددة. من المستحيل أيضًا ، على سبيل المثال ، استخدام مربعات الاختيار مع تعيين الموافقة الافتراضية. هذا يتعارض مع حرية الموافقة. ويحتاج عامل التشغيل دائمًا إلى الاستعداد لتأكيد أن الموضوع قد أعطى موافقته.

تتمثل إحدى الاختلافات الرئيسية في اللائحة العامة لحماية البيانات في أنها تضع قواعد خاصة للموافقة على توفير خدمات مجتمع المعلومات للقصر. إذا كان الطفل البالغ من العمر 16 عامًا متورطًا في معالجة البيانات الشخصية ، فهذا قانوني. بالنسبة للأطفال الذين تقل أعمارهم عن 16 عامًا ، يجب أن يتم الموافقة من قبل شخص يمارس وظائف الوالدين أو الوصي.

تصف الوثيقتان قيد النظر حقوق موضوع البيانات على نطاق واسع. هناك وهناك ، يمكن للأفراد تلقي بياناتهم ومعلوماتهم حول كيفية معالجتها ، يمكنهم تصحيح وحذف المعلومات عن أنفسهم. الشيء الرئيسي هو أنه وفقًا للقانون الاتحادي "بشأن البيانات الشخصية" ، يمكن للكيان تلقي معلومات حول معالجة البيانات الشخصية عند جمع البيانات عند الطلب. ووفقًا للائحة العامة لحماية البيانات ، فإن المنظمة ملزمة بتوفير جميع المعلومات حول المعالجة في وقت استلام البيانات الشخصية. تصف اللائحة العامة لحماية البيانات حذف المعلومات وتعديلها كحق للموضوع ، والقانون الروسي على أنه واجب المشغل. يمكن لموضوع البيانات الشخصية دائمًا سحب موافقته على المعالجة وطلب حذف البيانات المتعلقة بها.

هناك اختلاف مهم آخر في اللائحة العامة لحماية البيانات هو أنه يوجد حق منفصل في نقل بياناته. يجب أن تفهم الشركة العاملة في إطار اللائحة العامة لحماية البيانات أنه عندما يطلب أحد الأشخاص معلومات سبق تقديمها إليهم ، يُطلب منهم تقديمها دون عائق. توضح اللائحة العامة لحماية البيانات أن هذه البيانات يجب أن تكون منظمة وأن تكون قابلة للقراءة آليًا. أيضًا ، بناءً على طلب المستخدم ، يجب على المؤسسة نقل بياناتها إلى أي منظمة أخرى. كل هذا جديد على المتطلبات القانونية.

هناك قسم منفصل في اللائحة العامة لحماية البيانات حول مسؤول حماية البيانات. يشبه هذا الدور الشخص المعين كمسؤول عن تنظيم معالجة البيانات الشخصية من القانون الروسي. وفقًا للائحة العامة لحماية البيانات ، إذا كانت المنظمة تراقب باستمرار الكيانات أو تعالج فئات خاصة على نطاق واسع ، فيجب تعيين مسؤول حماية البيانات. خلاف ذلك ، يتم التعيين وفقًا لتقدير المنظمة أو بناءً على قوانين دولتها. وفقًا للقانون الاتحادي "بشأن البيانات الشخصية" ، يتعين على المشغل تعيين شخص مسؤول عن تنظيم معالجة البيانات ، على أي حال.

عند تعداد التدابير الأمنية ، يشير القانون الاتحادي "بشأن البيانات الشخصية" إلى المحاسبة الخاصة بمعالجة البيانات الشخصية. بدورها ، تلتزم اللائحة العامة لحماية البيانات أيضًا بالاحتفاظ بهذه السجلات في شكل موثق ، بما في ذلك الشكل الإلكتروني. لا يُفرض الالتزام على المنظمات التي يعمل بها أقل من 250 موظفًا ، إذا لم يجروا معالجة على أساس مستمر ، فلا يعالجوا على نطاق واسع فئات خاصة أو بيانات عن الإدانات والجرائم. ووفقاً لصاحب البلاغ ، يُنصح بالاحتفاظ بهذه السجلات في أي حال.

إذا كانت الشركة متحكمة ، فيجب أن تحتوي المحاسبة على:

1. معلومات عن المراقب وممثله ومسؤول حماية البيانات (إن وجد) ؛
2. أهداف المعالجة ؛
3. معلومات حول مواضيع البيانات وفئات البيانات الشخصية المجهزة ؛
4. معلومات حول مستلمي البيانات الشخصية الآخرين ؛
5. تواريخ حذف البيانات ، إن أمكن ؛
6. وصف تدابير السلامة ، إن أمكن.

إذا كانت الشركة معالجًا ، فيجب أن تحتوي المحاسبة على:

1. معلومات حول المعالج ووحدة التحكم ، وإذا أمكن ، ممثله ومسؤول حماية البيانات ؛
2. معالجة المعلومات ؛
3. معلومات حول مستلمي البيانات الشخصية الآخرين ؛
4. تواريخ حذف البيانات ، إن أمكن ؛
5. وصف تدابير السلامة ، إن أمكن.

يجب أن تكون المنظمة مستعدة لتقديم هذه المعلومات إلى المشرف في أي وقت.

ما هي البيانات الشخصية نفسها ، ثم "كيف؟" ، "لماذا؟" و "لماذا"؟ تتم معالجتها ، وما هي التدابير المستخدمة لحماية المعلومات ، وما يمكن للموضوع فعله وما يجب على المشغل القيام به - هذه النقاط الرئيسية متشابهة في القانون الفيدرالي "بشأن البيانات الشخصية" واللائحة العامة لحماية البيانات. ولكن إليك ما يجب فعله في حالة حدوث تسرب غير مرغوب فيه للبيانات ، ومع ذلك ، يتم تحديده على وجه التحديد في اللائحة العامة لحماية البيانات. لذلك ، إذا سمحت الشركة مع ذلك بتسرب البيانات الشخصية ، فإنها ملزمة بإخبار المشرف والكيان الذي تكبد الخسائر في ذلك في وقت قصير. خلاف ذلك ، سيتم تغريم الشركة. بموجب اللائحة العامة لحماية البيانات ، يتم تعيين مشرف في كل دولة من خلال الإجراءات القانونية التنظيمية ذات الصلة. يشكل قادة هيئات الرقابة هذه المجلس الأوروبي لحماية البيانات.

والأكثر إثارة للاهتمام: لتعزيز الامتثال الإلزامي للقواعد ، تفرض اللائحة العامة لحماية البيانات غرامات على أي انتهاكات. يصل مبلغ الغرامات إلى 20 مليون يورو أو 4٪ من التدفق النقدي للشركة (يتم تحديد أعلى مبلغ). لكن في الواقع - كل شيء ليس مخيفًا جدًا. في الحالات التي يكون فيها الانتهاك طفيفًا ، يمكن فقط التوبيخ. قد تتضمن العقوبات غير الملموسة أيضًا حظرًا من المشرف على معالجة البيانات الشخصية (أو نقلها إلى الطرف المقابل) حتى يتم تصحيح الانتهاك.

يجب أن يكون للعقوبة ، أولاً وقبل كل شيء ، تأثير مقنع ، مما يعني أنها يمكن أن تختلف اختلافًا كبيرًا في حدود المبلغ المحدد. يتم تحديد مبلغ الغرامة اعتمادًا على خصائص المخالفة نفسها:

1. طبيعة الانتهاك وشدته ومدته ؛
2. عمداً أو عن طريق الإهمال ، انتهاك كامل ؛
3. تدابير للحد من الضرر ؛
4. تدابير الحماية المستخدمة ؛
5. الانتهاكات الماضية ؛
6. فئات البيانات الشخصية المتأثرة بالانتهاك ؛
7. , ;
8. .

, , , .

General Data Protection Regulation – 99 , -. , GDPR, , , « » .

, , GDPR.

, , , :

, . .
(, , ..), .
GDPR. , , , /. , « » . , .

.
.

Data protection impact assessment, .. -, , .

GDPR. , .

, 72 . , , , . , , .

.