El impacto de GDPR en los operadores de datos personales rusos

Publicado por: Anastasia Zavedenskaya, Analista Asistente, Centro Analítico de UTSB LLC
Revisores: Ekaterina Rubleva y Konstantin Samatov, Jefes de Dirección, Centro Analítico de UTSB LLC

Una empresa que procesa datos personales se considera su operador. Lo más probable es que esta empresa conozca la Ley Federal del 27 de julio de 2006 Nº 152-FZ "sobre datos personales" y sus requisitos. ¿Y si la empresa tiene clientes en la Unión Europea o hay un deseo de atraerlos? ¿O simplemente tiene un sitio web en Internet con formularios que debe completar el usuario? Entonces debe comprender qué es GDPR y su alcance.

En 1995, los países de la UE adoptaron la Directiva Nº 95/46 / UE sobre la protección de los derechos de las personas en el procesamiento de datos personales. Pero todo está cambiando, y el 25 de mayo de 2018, fue reemplazado por el Reglamento General de Protección de Datos, adoptado por el Parlamento Europeo en abril de 2016, simplemente abreviado GDPR.

El uso de GDPR será aprobado en tres países más de la Asociación Europea de Libre Comercio (EFTA), y más específicamente en Islandia, Liechtenstein, Noruega, que no son miembros de la UE. El sitio web de la AELC (AELC), en un artículo sobre "Integrar el RGPD en el EEE (Espacio Económico Europeo) y seguir aplicando la Directiva 95/46 / CE", afirma que se espera que el RGPD sea adoptado por el Comité Mixto del EEE (EEE) Comité Conjunto) y su entrada en vigor en los Estados de la AELC EEE a mediados de julio de 2018. Hasta entonces, la Directiva de protección de datos n. ° 95/46 / CE sigue siendo aplicable en el Acuerdo EEE, lo que garantiza la posibilidad de una distribución sin trabas de datos entre el EEE EFTA y los Estados miembros de la UE.

¿Para quién es aplicable el RGPD?

Primero debe comprender quién debe cumplir con los requisitos del RGPD y quién no cumple con sus requisitos.



Figura 1 - Algoritmo para determinar el alcance de GDPR

Según el texto del documento, sus requisitos son aplicables no solo a las organizaciones europeas, sino también a cualquier empresa que trabaje con datos personales de ciudadanos de la UE o personas ubicadas en la UE (ver Fig. 1). Al mismo tiempo, la ubicación de la propia empresa no importa.

Entonces, si una empresa está registrada en la UE o, por ejemplo, en la mencionada Islandia, Liechtenstein, Noruega, entonces, independientemente de la ubicación del proceso de procesamiento en sí, esto es inequívocamente GDPR.

Para comprender si una organización proporciona servicios o bienes a personas ubicadas en la UE, incluso su intención de ofrecer servicios / bienes será suficiente. Según el RGPD, la intención se hace evidente si el sitio web de la empresa utiliza el idioma y la moneda nacionales de un estado miembro de la Unión Europea, y es posible realizar un pedido en ese idioma. O hay referencias a consumidores o usuarios que se encuentran en la Unión Europea.

Aunque incluso si el sitio está completamente en ruso, y en sí mismo su disponibilidad para las personas de la UE no muestra intenciones, no puede estar 100% seguro de que nadie, estando en la Unión Europea, use sus servicios. Por lo tanto, se recomienda que cumpla con los requisitos de GDPR de todos modos.

Otro concepto que es interesante y relevante en el contexto de GDPR es el monitoreo. El monitoreo en el GDPR se refiere al seguimiento de personas en Internet con el uso adicional o la posible aplicación de diversas tecnologías para procesar datos personales para analizar o predecir preferencias, características personales y características de comportamiento. Es decir, si la empresa toma algunas medidas para estudiar el comportamiento de las personas ubicadas en la UE, con fines de marketing, estadísticas, etc. - Esto es monitoreo. Por ejemplo, Yandex.Metrica, Google Analytics, etc. están instalados en el sitio web de la organización, por lo que debe aplicarse el RGPD. Porque, como ya se mencionó, no hay garantía de que una persona de la UE no vaya al sitio en el que se utilizan estos servicios.

Es importante saber que la organización debe designar un representante en la UE cuando se cumpla al menos una de las siguientes condiciones:

1. el procesamiento está en curso;
2. procesamiento a gran escala de categorías especiales de datos personales;
3. procesamiento de datos personales relacionados con condenas penales o delitos;
4. Existe un alto riesgo de violación de los derechos humanos y las libertades.

Según el RGPD, las categorías especiales de datos personales se definen de manera similar a la legislación rusa. Excepto por el hecho de que los datos sobre condenas y delitos se emiten por separado, con la obligación de controlar su procesamiento por un organismo oficial o según lo autorice la ley estatal.

Un representante puede ser una persona física o jurídica autorizada específicamente sobre la base de documentos relevantes. El representante debe estar ubicado en el país de la UE en el que se encuentran los interesados. Su tarea en nombre de la empresa es interactuar con las autoridades y ciudadanos de la UE, para cumplir con las instrucciones de la empresa. También es responsable de las violaciones.

Por ejemplo, una empresa rusa que no tiene filiales en Finlandia ofrece constantemente sus servicios a sus ciudadanos. Esto significa que la empresa debe designar un representante ubicado oficialmente en Finlandia. Si hay una subsidiaria, entonces puede ser designada representante.

Resulta que el Reglamento general de protección de datos tiene una cobertura bastante amplia, y si todo es bastante lógico con las empresas de la UE, entonces otros países también se han distribuido. Queda claro que las organizaciones rusas, orientadas al cliente a la Unión Europea, también deben cumplir con los requisitos del RGPD.

Supongamos que una pequeña empresa rusa tiene una tienda en línea y un ciudadano letón compra sus productos. Esto significa que los requisitos de GDPR se aplican a esta tienda en línea, ya que los datos personales de un ciudadano de la UE se procesarán en ella. Si el sitio de esta empresa inicialmente tiene una versión en inglés y establece los precios en moneda de acuerdo con el estado del usuario, entonces también cae dentro del alcance del RGPD. Y en cualquier caso, si la empresa no trabaja personalmente con cada cliente, no puede saber exactamente de dónde es el cliente. Esto significa que incluso un sitio web completamente ruso de una pequeña empresa debe estar preparado para cumplir con los requisitos del GDPR.

La lista de empresas cubiertas por GDPR puede continuar durante mucho tiempo, pero hasta ahora no existe una práctica de aplicación de la ley, según el autor, es necesario analizar a quién van dirigidas las acciones de la empresa y con quién interactúa.

¿Qué roles ofrece el GDPR?

Al igual que cualquier proceso, el procesamiento de datos tiene dos lados: uno cuyos datos se procesan, es decir, El sujeto de los datos personales y el que procesa estos datos. Detengámonos con más detalle en el segundo. Los conceptos de un controlador (controlador de datos en inglés) y un procesador (procesador de datos en inglés) se introducen en el GDPR.

Trataremos estos términos con base en el GDPR y las explicaciones dadas en el sitio web de la Comisión Europea.

El controlador, de conformidad con el párrafo (7) del artículo 4 del RGPD, son individuos, personas físicas o jurídicas, diversos organismos y agencias que determinan con qué propósito y por qué medios se procesan los datos.

Toda responsabilidad de cumplir con los requisitos para el procesamiento y protección de datos personales recae en el controlador. El controlador debe poder verificar el cumplimiento.

Resulta que la empresa decide "¿por qué?" y "como?" datos personales procesados, es un controlador de datos. Los empleados de la empresa de procesamiento hacen esto como un controlador de datos.

Si una empresa, junto con una o más organizaciones, determina conjuntamente "¿por qué?" y "como?" datos personales procesados, se le puede llamar controlador conjunto (controlador conjunto inglés). Los supervisores conjuntos concluyen un acuerdo que establece obligaciones para cumplir con los requisitos de GDPR. Los aspectos principales de este acuerdo deben transferirse a las personas cuyos datos se procesan.

El procesador (procesador), de conformidad con el párrafo (8) del artículo 4 del RGPD, son personas, personas físicas o jurídicas, diversos organismos y agencias que se dedican al procesamiento de datos personales en nombre del controlador.

Resulta que el procesador tiene derecho a procesar datos personales solo en nombre del controlador. Un procesador de procesamiento de datos, por ejemplo, puede ser una compañía externa involucrada en el procesamiento de datos.

Una organización puede ser un controlador de datos o un procesador de datos, o ambos al mismo tiempo.

En la Ley Federal del 27 de julio de 2006 Nº 152-FZ "Sobre datos personales", existe un concepto de operador, que es similar a un controlador, y un procesador es similar a una persona que procesa datos personales en nombre del operador.

GDPR y No. 152-FZ "Sobre datos personales". General y diferencias

Cualquier documento regulatorio usa sus propias reglas de definición, considérelas y compárelas.

Los datos personales, de conformidad con el Artículo 3 de la Ley Federal "sobre datos personales", son cualquier información que directa o indirectamente le permite identificar a un individuo. La cláusula (1) del artículo 4 de la RDA proporciona una definición similar, excepto que en lugar de la palabra "definir", se utiliza "identificar".

Los términos son similares, pero GDPR habla con más detalle sobre la información relacionada con los datos personales. ¿Dónde obtenemos que la información que permite determinar la identidad del interesado es información personal? No importa si el sujeto puede ser identificado directamente por ellos o si se necesitan herramientas o programas especiales.

El RGPD contiene la siguiente lista de datos personales:

1. Nombre
2. Número de identificación;
3. Datos de ubicación;
4. Identificador en línea;
5. La combinación de identificadores / indicadores.

Lo más difícil con los identificadores en línea. Estos incluyen direcciones IP, cookies, etc. Una dirección IP, por ejemplo, puede hacer que cierta persona acceda a Internet, o simplemente puede mostrar el punto de acceso a la red, es decir. en algunos casos, se puede usar para determinar una persona solo junto con otros datos. Si una dirección IP se relaciona con datos personales es un punto discutible y depende del contexto de la situación. Pero dado que el GDPR se centra en los identificadores en línea, se recomienda que también los proteja.

Los principios y condiciones de procesamiento se establecen en los artículos 5 y 6 de la Ley Federal "sobre datos personales" y en los artículos 5.6 del RGPD.

La Ley de Datos Personales de la Federación de Rusia contiene 7 principios de procesamiento, y el GDPR contiene 6. Todos los principios son comparables, excepto que la legislación rusa aclara la prohibición de combinar bases de datos creadas con fines incompatibles. Un complemento importante a los principios en el GDPR es el principio de transparencia / transparencia. A saber, cualquier información y mensajes relacionados con el procesamiento de datos personales eran fácilmente accesibles para el sujeto y claros a su entender, es decir, se utilizó un lenguaje claro y simple. Además, el RGPD define la seguridad de los datos personales como un principio [p. (f), Art. 5, GDPR,], pero con nosotros es más probable que se presente como un deber.

Las condiciones bajo las cuales el procesamiento es legal también son comparables. Al hacerlo, el GDPR permite a los estados introducir sus requisitos de procesamiento.

El artículo 9 de la Ley Federal "sobre datos personales" y el artículo 7 del RGPD describen el consentimiento del sujeto para el procesamiento de datos personales. Ambos documentos hablan de concreción, conciencia y conciencia. Es importante que el GDPR requiera que el consenso se compile en un lenguaje que sea comprensible y de fácil acceso. El consentimiento para el procesamiento de datos debe darse por separado de otras condiciones y acuerdos. Debe incluir todos los objetivos de procesamiento. El proceso de retirar el consentimiento debe ser tan simple como obtenerlo: así es como marcar la casilla y eliminarla.

Resulta que el acuerdo no debe ser ambiguo, sino preciso: "Estoy de acuerdo ...". Debe incluir una lista de objetivos de procesamiento específicos. También es imposible usar, por ejemplo, casillas de verificación con la configuración del consentimiento predeterminado. Esto es contrario a la libertad de consentimiento. Y el operador siempre debe estar preparado para confirmar que el sujeto ha dado su consentimiento.

Una de las principales diferencias del GDPR es que establece reglas especiales para consentir la provisión de servicios de la sociedad de la información a menores. Si un niño de 16 años participa en el procesamiento de datos personales, entonces es legal. Para niños menores de 16 años, el consentimiento debe ser otorgado por una persona que ejerza funciones parentales o de tutor.

Ambos documentos bajo consideración describen los derechos del interesado de manera bastante extensa. Tanto allí como allí, las personas pueden recibir sus datos e información sobre cómo se procesan, pueden corregir y eliminar información sobre ellos mismos. Lo principal es que, de acuerdo con la Ley Federal "sobre datos personales", una entidad puede recibir información sobre el procesamiento de datos personales al recopilar datos a pedido. Y de acuerdo con GDPR, la organización está obligada a proporcionar toda la información sobre el procesamiento al momento de recibir datos personales. El RGPD describe la eliminación y la alteración de la información como el derecho del sujeto, y la ley rusa como el deber del operador. El sujeto de datos personales siempre puede retirar su consentimiento para el procesamiento y solicitar la eliminación de los datos relacionados con él.

Otra diferencia importante del GDPR es que existe un derecho separado para transferir sus datos. Una empresa que opera en el marco del RGPD debe comprender que cuando un sujeto solicita información que se le proporcionó previamente, debe proporcionarla sin obstáculos. El GDPR deja en claro que estos datos deben estar estructurados y tener un formato legible por máquina. Además, a solicitud del usuario, la organización debe transferir sus datos a cualquier otra organización. Todo esto es nuevo para los requisitos legales.

Hay una sección separada en el GDPR sobre el Oficial de Protección de Datos. Esta función es similar a la persona designada como responsable de organizar el procesamiento de datos personales de la ley rusa. Según el RGPD, si una organización monitorea constantemente entidades o procesa categorías especiales a gran escala, se le requiere nombrar un Oficial de Protección de Datos. De lo contrario, la cita se realiza a discreción de la organización o según las leyes de su estado. De acuerdo con la Ley Federal "sobre datos personales", el operador está obligado a designar a una persona responsable de organizar el procesamiento de datos, en cualquier caso.

Al enumerar las medidas de seguridad, la Ley Federal "sobre datos personales" se refiere a la contabilidad para el procesamiento de datos personales. A su vez, el RGPD también obliga a mantener dichos registros en forma documentada, incluida la forma electrónica. La obligación no se impone a las organizaciones con menos de 250 empleados, si no realizan el procesamiento de forma continua, no procesen a gran escala categorías especiales o datos sobre condenas, delitos. Según el autor, es aconsejable mantener dichos registros en cualquier caso.

Si la compañía es un controlador, la contabilidad debe contener:

1. información sobre el controlador, su representante y el oficial de protección de datos (si corresponde);
2. objetivos de procesamiento;
3. información sobre sujetos de datos y categorías de datos personales procesados;
4. información sobre otros destinatarios de datos personales;
5. fechas de eliminación de datos, si es posible;
6. Descripción de las medidas de seguridad, si es posible.

Si la empresa es un procesador, la contabilidad debe contener:

1. Información sobre el procesador, el controlador y, si es posible, su representante y oficial de protección de datos;
2. procesamiento de información;
3. información sobre otros destinatarios de datos personales;
4. fechas de eliminación de datos, si es posible;
5. Descripción de las medidas de seguridad, si es posible.

La organización debe estar preparada para proporcionar esta información al supervisor en cualquier momento.

¿Cuáles son los datos personales en sí mismos, luego "cómo?", "¿Por qué?" y "¿por qué?" se están procesando, qué medidas se utilizan para proteger la información, qué puede hacer el sujeto y qué está obligado a hacer el operador; estos puntos clave son similares en la Ley Federal "sobre datos personales" y el RGPD. Pero esto es lo que debe hacer si, sin embargo, se ha producido una fuga de datos no deseada, se especifica específicamente solo en el GDPR. Por lo tanto, si una empresa, sin embargo, permitió una fuga de datos personales, está obligada a informar al supervisor y a la entidad que sufrió las pérdidas al respecto en poco tiempo. De lo contrario, la empresa será multada. Según el RGPD, los actos legales regulatorios relevantes designan a un supervisor en cada país. Los líderes de estos organismos de supervisión forman el Consejo Europeo de Protección de Datos.

Y lo más interesante: para fortalecer el cumplimiento obligatorio de las normas, el GDPR introduce multas por cualquier violación. El importe de las multas alcanza hasta 20 millones de euros o el 4% del flujo de caja de la empresa (se selecciona el importe más alto). Pero en realidad, no todo es tan aterrador. En casos donde la violación es menor, solo se puede hacer una reprimenda. Las sanciones intangibles también pueden incluir una prohibición por parte del supervisor del procesamiento de datos personales (o su transferencia a la contraparte) hasta que se rectifique la violación.

La penalización, en primer lugar, debe tener un efecto convincente, lo que significa que puede variar ampliamente dentro de la cantidad establecida. El monto de la multa se establece según las características de la violación en sí:

1. la naturaleza, severidad y duración de la violación;
2. intencionalmente o por negligencia, una violación completa;
3. medidas para reducir el daño;
4. medidas de protección utilizadas;
5. violaciones pasadas;
6. categorías de datos personales afectados por la violación;
7. cómo se conoció la violación;
8. Otros factores agravantes y atenuantes.

Es decir, por ejemplo, la notificación de fugas considerada anteriormente es un factor importante para mitigar el castigo.

Para resumir

El Reglamento General de Protección de Datos es un nuevo documento grande con un preámbulo largo y 99 artículos, que todos pueden interpretar a su manera. Pero si una empresa no quiere estar sujeta a una multa multimillonaria, es necesario cumplir con los requisitos del RGPD y, por supuesto, no olvidarse de la Ley Federal "sobre datos personales" y sus estatutos.

Si es una empresa rusa, primero debe determinar si el alcance de la organización está dentro del alcance de GDPR.

Si se incluye, las acciones prioritarias que deben tomarse para alinear los nuevos requisitos serán las siguientes:

Determinar si se necesita un representante en la UE. Asignarlo si es necesario.
Verifique la disponibilidad de información sobre el proceso de procesamiento (objetivos, períodos de almacenamiento, información sobre los derechos del interesado, etc.), así como la presencia de procesos estructurados y documentados para responder a las solicitudes de los interesados.
Verifique el consentimiento para el procesamiento de datos personales para el cumplimiento de los requisitos de GDPR. Debe expresarse en un lenguaje comprensible, específicamente, contener todos los objetivos de procesamiento, ubicados por separado de otras condiciones / acuerdos. El consentimiento se otorga sobre la base de acciones activas, y no "por defecto" o inacción. Si es necesario, actualícelo.

Verifique que los datos personales procesados ​​cumplan con los objetivos de procesamiento especificados.
Mantenga registros de todas las actividades de procesamiento de datos personales.

Llevar a cabo una evaluación de impacto de protección de datos, es decir Determinar el grado de importancia de cada proceso comercial específico relacionado con el procesamiento de datos personales mediante la evaluación de los daños causados ​​durante un mal funcionamiento.

Verifique las medidas de seguridad para el cumplimiento de GDPR. Si es necesario, mejórelos.

Introducir procesos bien organizados y documentados para la notificación de un incidente por parte de un supervisor, preferiblemente dentro de las 72 horas posteriores a la detección. Incluya información sobre la naturaleza de la fuga, información para comentarios, posibles consecuencias, medidas para eliminar la fuga en las notificaciones. Si es posible, informe al sujeto de los datos personales si existe un riesgo para sus derechos y libertades y los datos no han sido encriptados, dentro de un tiempo razonable.

Esté preparado para proporcionar evidencia de la legitimidad de las actividades de procesamiento de DP.