Geekly articles weekly

L'impact du RGPD sur les opérateurs de données personnelles russes

Publié par: Anastasia Zavedenskaya, analyste adjointe, Centre analytique de UTSB LLC
RĂ©viseurs: Ekaterina Rubleva et Konstantin Samatov, chefs de la direction, Centre analytique de l'UTSB LLC

Une entreprise qui traite des données personnelles est considérée comme son opérateur. TrÚs probablement, cette entreprise connaßt la loi fédérale du 27 juillet 2006 n ° 152-FZ sur les données personnelles et ses exigences. Et si l'entreprise a des clients dans l'Union européenne ou si vous souhaitez les attirer? Ou tout simplement avoir un site Internet sur Internet avec des formulaires à remplir par l'utilisateur? Ensuite, vous devez comprendre ce que sont le RGPD et sa portée.

En 1995, les pays de l'UE ont adopté la directive n ° 95/46 / UE sur la protection des droits des individus dans le traitement des données personnelles. Mais tout change, et le 25 mai 2018, il a été remplacé par le rÚglement général sur la protection des données, adopté par le Parlement européen en avril 2016, simplement abrégé GDPR.

L'utilisation du RGPD sera approuvĂ©e dans trois autres pays de l'Association europĂ©enne de libre-Ă©change (AELE), et plus prĂ©cisĂ©ment en Islande, au Liechtenstein et en NorvĂšge, qui ne sont pas membres de l'UE. Le site Internet de l'AELE (AELE), dans un article sur «IntĂ©grer le RGPD dans l'EEE (Espace Ă©conomique europĂ©en) et continuer Ă  appliquer la directive 95/46 / CE», indique que l'EPR devrait ĂȘtre adoptĂ© par le ComitĂ© mixte de l'EEE (EEE) Mixte) et son entrĂ©e en vigueur dans les États de l'AELE membres de l'EEE Ă  la mi-juillet 2018. Jusque-lĂ , la directive sur la protection des donnĂ©es n ° 95/46 / CE reste applicable dans l'accord EEE, garantissant ainsi la possibilitĂ© d'une distribution sans entrave des donnĂ©es entre l'EEE-AELE et les États membres de l'UE.

À qui le RGPD est-il applicable?


Vous devez d'abord comprendre qui doit suivre les exigences du RGPD et qui ne relĂšve pas de ses exigences.

image

Figure 1 - Algorithme pour déterminer la portée du RGPD

Sur la base du texte du document, ses exigences s'appliquent non seulement aux organisations europĂ©ennes, mais Ă©galement Ă  toutes les entreprises travaillant avec des donnĂ©es personnelles de citoyens de l'UE ou de personnes situĂ©es dans l'UE (voir Fig.1). Dans le mĂȘme temps, l'emplacement de l'entreprise elle-mĂȘme n'a pas d'importance.

Ainsi, si une entreprise est enregistrĂ©e dans l'UE ou, par exemple, dans l'Islande, le Liechtenstein et la NorvĂšge susmentionnĂ©s, alors, quel que soit le lieu du processus de traitement lui-mĂȘme, il s'agit sans ambiguĂŻtĂ© du RGPD.

Pour comprendre si une organisation fournit des services ou des biens Ă  des personnes situĂ©es dans l'UE, mĂȘme son intention d'offrir des services / biens sera suffisante. Selon le RGPD, l'intention devient Ă©vidente si le site Web de l'entreprise utilise la langue et la monnaie nationales d'un État membre de l'Union europĂ©enne, et une commande dans cette langue est possible. Ou il y a des rĂ©fĂ©rences aux consommateurs ou utilisateurs qui sont dans l'Union europĂ©enne.

Bien que mĂȘme si le site est entiĂšrement en russe et que sa disponibilitĂ© pour les citoyens de l'UE ne montre pas d'intentions, vous ne pouvez pas ĂȘtre complĂštement sĂ»r que personne, Ă©tant dans l'Union europĂ©enne, n'utilisera ses services. Par consĂ©quent, il est recommandĂ© de se conformer aux exigences du RGPD dans tous les cas.

Un autre concept intĂ©ressant et pertinent dans le contexte du RGPD est le suivi. La surveillance dans le RGPD fait rĂ©fĂ©rence au suivi des individus sur Internet avec l'utilisation ultĂ©rieure ou l'application potentielle de diverses technologies de traitement des donnĂ©es personnelles pour analyser ou prĂ©dire les prĂ©fĂ©rences, les caractĂ©ristiques personnelles et les caractĂ©ristiques comportementales. Autrement dit, si l'entreprise prend des mesures pour Ă©tudier le comportement des personnes situĂ©es dans l'UE, Ă  des fins de marketing, de statistiques, etc. - c'est la surveillance. Par exemple, Yandex.Metrica, Google Analytics, etc. sont installĂ©s sur le site Web de l'organisation, donc le RGPD doit ĂȘtre appliquĂ©. Parce que, comme dĂ©jĂ  mentionnĂ©, il n'y a aucune garantie qu'une personne de l'UE ne se rendra pas sur le site sur lequel ces services sont utilisĂ©s.

Il est important de savoir que l'organisation doit désigner un représentant dans l'UE lorsqu'au moins une des conditions suivantes est remplie:

  1. le traitement est en cours;
  2. traitement à grande échelle de catégories spéciales de données personnelles;
  3. les données personnelles traitées liées à des condamnations pénales ou à des délits;
  4. le risque de violation des droits et libertés de la personne est élevé.

Selon le RGPD, des catĂ©gories spĂ©ciales de donnĂ©es personnelles sont dĂ©finies de maniĂšre similaire Ă  la lĂ©gislation russe. À l'exception du fait que les donnĂ©es sur les condamnations et les dĂ©lits sont publiĂ©es sĂ©parĂ©ment, avec l'obligation de contrĂŽler leur traitement par un organisme officiel ou autorisĂ© par la loi de l'État.

Un reprĂ©sentant peut ĂȘtre une personne physique ou morale spĂ©cifiquement autorisĂ©e sur la base des documents pertinents. Le reprĂ©sentant doit ĂȘtre situĂ© dans le pays de l'UE dans lequel se trouvent les personnes concernĂ©es. Sa tĂąche au nom de l'entreprise est d'interagir avec les autoritĂ©s de l'UE et les citoyens, afin de se conformer aux instructions de l'entreprise. Il est Ă©galement tenu responsable des violations.

Par exemple, une entreprise russe qui n'a pas de filiales en Finlande fournit constamment ses services Ă  ses citoyens. Cela signifie que l'entreprise doit dĂ©signer un reprĂ©sentant officiellement situĂ© en Finlande. S'il existe une filiale, elle peut ĂȘtre dĂ©signĂ©e comme reprĂ©sentant.

Il s'avÚre que le rÚglement général sur la protection des données a une couverture assez large, et si tout est assez logique avec les entreprises de l'UE, alors d'autres pays sont également tombés sous la distribution. Il devient clair que les organisations russes, orientées client vers l'Union européenne, doivent également se conformer aux exigences du RGPD.

Supposons qu'une petite entreprise russe possĂšde une boutique en ligne et qu'un citoyen letton achĂšte ses produits. Cela signifie que les exigences du RGPD s'appliquent Ă  cette boutique en ligne, car les donnĂ©es personnelles d'un citoyen de l'UE y seront traitĂ©es. Si le site de cette sociĂ©tĂ© a initialement une version anglaise et fixe des prix en devise en fonction de l'Ă©tat de l'utilisateur, il rentre Ă©galement dans le champ d'application du RGPD. Et dans tous les cas, si l'entreprise ne travaille pas personnellement avec chaque client, vous ne pouvez pas savoir exactement d'oĂč vient le client. Cela signifie que mĂȘme un site Web entiĂšrement russe d'une petite entreprise doit ĂȘtre prĂ©parĂ© pour rĂ©pondre aux exigences du RGPD.

La liste des entreprises couvertes par le RGPD peut ĂȘtre prolongĂ©e pendant longtemps, mais jusqu'Ă  prĂ©sent, il n'existe aucune pratique d'application de la loi, selon l'auteur, il est nĂ©cessaire d'analyser Ă  qui les actions de l'entreprise sont destinĂ©es et avec qui elle interagit.

Quels rĂŽles offre le RGPD?


Comme tout processus, le traitement des donnĂ©es a deux faces - celle dont les donnĂ©es sont traitĂ©es, c'est-Ă -dire Le sujet des donnĂ©es personnelles et celui qui traite ces donnĂ©es. ArrĂȘtons-nous plus en dĂ©tail sur le second. Les concepts de contrĂŽleur (contrĂŽleur de donnĂ©es anglais) et de processeur (processeur de donnĂ©es anglais) sont introduits dans le RGPD.

Nous traiterons ces conditions sur la base du RGPD et des explications données sur le site Internet de la Commission européenne.

Le responsable du traitement, conformément au paragraphe (7) de l'article 4 du RGPD, est constitué de personnes physiques ou morales, de divers organismes et agences qui déterminent dans quel but et par quels moyens les données sont traitées.

Le responsable du traitement est entiÚrement responsable du respect des exigences relatives au traitement et à la protection des données personnelles. Le contrÎleur doit pouvoir vérifier la conformité.

Il s'avÚre que l'entreprise décide "pourquoi?" et "comment?" données personnelles traitées, il s'agit d'un responsable du traitement. Les employés de l'entreprise de traitement le font en tant que contrÎleur de données.

Si une entreprise, conjointement avec une ou plusieurs organisations, dĂ©termine conjointement «pourquoi?» et "comment?" donnĂ©es personnelles traitĂ©es, il peut ĂȘtre appelĂ© un contrĂŽleur conjoint (contrĂŽleur conjoint anglais). Les contrĂŽleurs conjoints concluent un accord prĂ©cisant les obligations de se conformer aux exigences du RGPD. Les principaux aspects de cet accord devraient ĂȘtre transfĂ©rĂ©s aux personnes dont les donnĂ©es sont traitĂ©es.

Le sous-traitant (sous-traitant), conformément au paragraphe (8) de l'article 4 du RGPD, est des personnes, des personnes physiques ou morales, divers organismes et agences qui sont engagés dans le traitement de données à caractÚre personnel pour le compte du responsable du traitement.

Il s'avĂšre que le processeur n'a le droit de traiter des donnĂ©es personnelles qu'au nom du responsable du traitement. Un processeur de traitement de donnĂ©es, par exemple, peut ĂȘtre une sociĂ©tĂ© tierce impliquĂ©e dans le traitement de donnĂ©es.

Une organisation peut ĂȘtre un contrĂŽleur de donnĂ©es ou un processeur de donnĂ©es, ou les deux en mĂȘme temps.

Dans la loi fédérale du 27 juillet 2006 n ° 152-FZ «sur les données personnelles», il existe un concept d'opérateur, qui est similaire à un responsable du traitement, et un processeur est similaire à une personne qui traite des données personnelles pour le compte de l'opérateur.

RGPD et n ° 152-FZ «Sur les données personnelles». Général et différences


Tout document réglementaire utilise ses propres rÚgles de définition, les considÚre et les compare.

Les données personnelles, conformément à l'article 3 de la loi fédérale sur les données personnelles, sont toutes les informations qui vous permettent directement ou indirectement d'identifier une personne. La clause (1) de l'article 4 de la RDA fournit une définition similaire, sauf qu'au lieu du mot «définir», «identifier» est utilisé.

Les termes sont similaires, mais le RGPD parle plus en dĂ©tail des informations relatives aux donnĂ©es personnelles. OĂč obtenons-nous que les informations qui permettent de dĂ©terminer l'identitĂ© de la personne concernĂ©e sont des donnĂ©es personnelles. Peu importe si le sujet peut ĂȘtre directement identifiĂ© par eux ou si des outils ou programmes spĂ©ciaux sont nĂ©cessaires.

Le RGPD contient la liste suivante de données personnelles:

  1. Prénom;
  2. Numéro d'identification;
  3. Données de localisation;
  4. Identifiant en ligne;
  5. La combinaison d'identifiants / indicateurs.

La chose la plus difficile avec les identifiants en ligne. Il s'agit notamment des adresses IP, des cookies, etc. Une adresse IP, par exemple, peut amener une certaine personne Ă  accĂ©der Ă  Internet, ou elle peut simplement montrer le point d'accĂšs au rĂ©seau, c'est-Ă -dire dans certains cas, il peut ĂȘtre utilisĂ© pour dĂ©terminer une personne uniquement en conjonction avec d'autres donnĂ©es. Le fait qu'une adresse IP se rapporte Ă  des donnĂ©es personnelles est un point discutable et dĂ©pend du contexte de la situation. Mais comme le RGPD se concentre sur les identifiants en ligne, il est recommandĂ© de les protĂ©ger Ă©galement.

Les principes et conditions de traitement sont énoncés aux articles 5, 6 de la loi fédérale sur les données personnelles et aux articles 5.6 du RGPD.

La loi sur les donnĂ©es personnelles de la FĂ©dĂ©ration de Russie contient 7 principes de traitement, et le RGPD en contient 6. Tous les principes sont comparables, sauf que la lĂ©gislation russe clarifie l'interdiction de combiner des bases de donnĂ©es crĂ©Ă©es Ă  des fins incompatibles. Un complĂ©ment important aux principes du RGPD est le principe de transparence / transparence. A savoir, toutes les informations et messages liĂ©s au traitement des donnĂ©es personnelles Ă©taient facilement accessibles au sujet et clairs Ă  sa comprĂ©hension, c'est-Ă -dire qu'un langage clair et simple Ă©tait utilisĂ©. De plus, le RGPD dĂ©finit la sĂ©curitĂ© des donnĂ©es personnelles comme un principe [p. (f), article 5, RGPD,], mais avec nous, il est plus susceptible d'ĂȘtre prĂ©sentĂ© comme un devoir.

Les conditions dans lesquelles le traitement est licite sont Ă©galement comparables. Ce faisant, le RGPD permet aux États d'introduire leurs exigences de traitement.

L'article 9 de la loi fĂ©dĂ©rale sur les donnĂ©es personnelles et l'article 7 du RGPD dĂ©crivent le consentement du sujet au traitement des donnĂ©es personnelles. Les deux documents parlent de concrĂ©tisme, de conscience et de conscience. Il est important que le RGPD exige que le consensus soit compilĂ© dans un langage comprĂ©hensible et facilement accessible. Le consentement au traitement des donnĂ©es doit ĂȘtre donnĂ© sĂ©parĂ©ment des autres conditions et accords. Il doit inclure tous les objectifs de traitement. Le processus de retrait du consentement doit ĂȘtre aussi simple que son obtention - voici comment cocher la case et la retirer.

Il s'avĂšre que l'accord ne doit pas ĂȘtre ambigu, mais prĂ©cis - "Je suis d'accord ...". Il doit inclure une liste d'objectifs de traitement spĂ©cifiques. Il est Ă©galement impossible d'utiliser, par exemple, des cases Ă  cocher pour dĂ©finir le consentement par dĂ©faut. Cela est contraire Ă  la libertĂ© de consentement. Et l'opĂ©rateur doit toujours ĂȘtre prĂȘt Ă  confirmer que le sujet a donnĂ© son consentement.

L'une des principales diffĂ©rences du RGPD est qu'il Ă©tablit des rĂšgles spĂ©ciales pour consentir Ă  la fourniture de services de la sociĂ©tĂ© de l'information aux mineurs. Si un enfant de 16 ans est impliquĂ© dans le traitement de donnĂ©es personnelles, alors c'est lĂ©gal. Pour les enfants de moins de 16 ans, le consentement doit ĂȘtre donnĂ© par une personne exerçant des fonctions parentales ou tutrices.

Les deux documents à l'examen décrivent de maniÚre assez détaillée les droits de la personne concernée. Là et là, les individus peuvent recevoir leurs données et informations sur la façon dont ils sont traités, peuvent corriger, supprimer des informations les concernant. L'essentiel est que, conformément à la loi fédérale sur les données personnelles, une entité peut recevoir des informations sur le traitement des données personnelles lors de la collecte de données sur demande. Et selon le RGPD, l'organisation est tenue de fournir toutes les informations sur le traitement au moment de la réception des données personnelles. Le RGPD décrit la suppression et la modification d'informations comme le droit du sujet, et la loi russe comme le devoir de l'opérateur. La personne concernée peut toujours retirer son consentement au traitement et demander la suppression des données la concernant.

Une autre diffĂ©rence importante du RGPD est qu'il existe un droit distinct de transfĂ©rer ses donnĂ©es. Une entreprise opĂ©rant dans le cadre du RGPD doit comprendre que lorsqu'un sujet demande des informations qui lui ont Ă©tĂ© prĂ©cĂ©demment fournies, il est tenu de les fournir sans entrave. Le RGPD prĂ©cise que ces donnĂ©es doivent ĂȘtre structurĂ©es et avoir un format lisible par machine. De plus, Ă  la demande de l'utilisateur, l'organisation doit transfĂ©rer ses donnĂ©es Ă  toute autre organisation. Tout cela est nouveau pour les exigences lĂ©gales.

Il y a une section distincte dans le RGPD sur le délégué à la protection des données. Ce rÎle est similaire à la personne désignée comme responsable de l'organisation du traitement des données personnelles de la loi russe. Selon le RGPD, si une organisation surveille constamment des entités ou traite des catégories spéciales à grande échelle, elle doit nommer un délégué à la protection des données. Sinon, la nomination est faite à la discrétion de l'organisation ou sur la base des lois de son état. Conformément à la loi fédérale sur les données personnelles, l'opérateur est obligé de nommer une personne responsable de l'organisation du traitement des données, dans tous les cas.

Lors de l'Ă©numĂ©ration des mesures de sĂ©curitĂ©, la loi fĂ©dĂ©rale sur les donnĂ©es personnelles fait rĂ©fĂ©rence Ă  la comptabilisation du traitement des donnĂ©es personnelles. À son tour, le RGPD oblige Ă©galement Ă  conserver ces enregistrements sous une forme documentĂ©e, y compris sous forme Ă©lectronique. Aucune obligation n'est imposĂ©e aux organisations de moins de 250 employĂ©s, si elles ne procĂšdent pas Ă  un traitement continu, ne traitent pas Ă  grande Ă©chelle des catĂ©gories spĂ©ciales ou des donnĂ©es sur les condamnations, les infractions. Selon l'auteur, il est conseillĂ© de conserver ces enregistrements dans tous les cas.

Si l'entreprise est un contrÎleur, la comptabilité doit contenir:

  1. des informations sur le responsable du traitement, son représentant et le délégué à la protection des données (le cas échéant);
  2. objectifs de traitement;
  3. des informations sur les personnes concernées et les catégories de données à caractÚre personnel traitées;
  4. des informations sur d'autres destinataires de données personnelles;
  5. dates de suppression des données, si possible;
  6. Description des mesures de sécurité, si possible.

Si l'entreprise est un transformateur, la comptabilité doit contenir:

  1. Informations sur le processeur, le responsable du traitement et, si possible, son représentant et son délégué à la protection des données;
  2. le traitement des informations;
  3. des informations sur d'autres destinataires de données personnelles;
  4. dates de suppression des données, si possible;
  5. Description des mesures de sécurité, si possible.

L'organisation doit ĂȘtre prĂȘte Ă  fournir ces informations au superviseur Ă  tout moment.

Quelles sont les donnĂ©es personnelles elles-mĂȘmes, alors «comment?», «Pourquoi?» et "pourquoi?" ils sont en cours de traitement, quelles mesures sont utilisĂ©es pour protĂ©ger les informations, ce que le sujet peut faire et ce que l'opĂ©rateur est obligĂ© de faire - ces points clĂ©s sont similaires dans la loi fĂ©dĂ©rale sur les donnĂ©es personnelles et le RGPD. Mais voici ce qu'il faut faire si, nĂ©anmoins, une fuite de donnĂ©es indĂ©sirable s'est produite, cela n'est spĂ©cifiquement indiquĂ© que dans le RGPD. Ainsi, si une entreprise autorise nĂ©anmoins une fuite de donnĂ©es Ă  caractĂšre personnel, elle est obligĂ©e d'en informer le superviseur et l'entitĂ© qui en a subi les pertes dans un court laps de temps. Sinon, l'entreprise sera condamnĂ©e Ă  une amende. En vertu du RGPD, un superviseur est nommĂ© dans chaque pays par les actes juridiques rĂ©glementaires pertinents. Les dirigeants de ces organes de contrĂŽle forment le Conseil europĂ©en de la protection des donnĂ©es.

Et le plus intĂ©ressant: pour renforcer le respect obligatoire des normes, le RGPD introduit des amendes pour toute violation. Le montant des amendes atteint jusqu'Ă  20 millions d'euros soit 4% du cash-flow de l'entreprise (le montant le plus Ă©levĂ© est retenu). Mais en rĂ©alitĂ© - tout n'est pas si effrayant. Dans les cas oĂč la violation est mineure, une simple rĂ©primande peut ĂȘtre faite. Les sanctions intangibles peuvent Ă©galement inclure une interdiction par le superviseur du traitement des donnĂ©es personnelles (ou de leur transfert Ă  la contrepartie) jusqu'Ă  ce que la violation soit corrigĂ©e.

La sanction, tout d'abord, devrait avoir un effet convaincant, ce qui signifie qu'elle peut varier considĂ©rablement Ă  l'intĂ©rieur du montant Ă©tabli. Le montant de l'amende est fixĂ© en fonction des caractĂ©ristiques de l'infraction elle-mĂȘme:

  1. la nature, la gravité et la durée de l'infraction;
  2. intentionnellement ou par négligence, une violation complÚte;
  3. des mesures pour réduire les dommages;
  4. mesures de protection utilisées;
  5. violations passées;
  6. catégories de données personnelles affectées par la violation;
  7. comment la violation a été connue;
  8. d'autres facteurs aggravants et atténuants.

C'est-à-dire, par exemple, que la notification de fuite précédemment considérée est un facteur important pour atténuer la peine.

Pour résumer


Le rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es est un nouveau document volumineux avec un long prĂ©ambule et 99 articles, que chacun peut interprĂ©ter Ă  sa maniĂšre. Mais si une entreprise ne veut pas ĂȘtre soumise Ă  une amende de plusieurs millions de dollars, il est nĂ©cessaire de se conformer aux exigences du RGPD et, bien sĂ»r, de ne pas oublier la loi fĂ©dĂ©rale sur les donnĂ©es personnelles et ses statuts.

Si vous ĂȘtes une entreprise russe, vous devez d'abord dĂ©terminer si le champ d'application de l'organisation entre dans le champ d'application du RGPD.

S'ils sont inclus, les actions prioritaires qui doivent ĂȘtre prises pour aligner les nouvelles exigences seront les suivantes:

déterminer si un représentant dans l'UE est nécessaire. Attribuez-le si nécessaire.
Vérifier la disponibilité des informations aux sujets du processus de traitement (objectifs, périodes de stockage, informations sur les droits de la personne concernée, etc.), ainsi que l'existence de processus structurés et documentés pour répondre au traitement des sujets de données personnelles.
VĂ©rifiez le consentement au traitement des donnĂ©es personnelles pour vĂ©rifier la conformitĂ© aux exigences du RGPD. Il doit ĂȘtre indiquĂ© dans un langage comprĂ©hensible, en particulier, contenir tous les objectifs de traitement, situĂ©s sĂ©parĂ©ment des autres conditions / accords. Le consentement est donnĂ© sur la base d'actions actives et non «par dĂ©faut» ou d'inaction. Si nĂ©cessaire, mettez-le Ă  jour.

Vérifiez la conformité des données personnelles traitées avec les objectifs de traitement spécifiés.
Gardez une trace de toutes les activités de traitement des données personnelles

Réaliser une évaluation de l'impact de la protection des données, c'est-à-dire déterminer le degré d'importance de chaque processus métier spécifique lié au traitement des données personnelles en évaluant les dommages causés lors d'un dysfonctionnement.

Vérifiez la conformité des mesures de sécurité avec le RGPD. Si nécessaire, améliorez-les.

Introduire des processus bien organisés et documentés pour la notification d'un incident par un superviseur, de préférence dans les 72 heures suivant la détection. Inclure des informations sur la nature de la fuite, des informations pour la rétroaction, les conséquences possibles, des mesures pour éliminer la fuite dans les notifications. Si possible, informez le sujet des données personnelles s'il existe un risque pour ses droits et libertés et si les données n'ont pas été cryptées, dans un délai raisonnable.

Soyez prĂȘt Ă  apporter la preuve de la lĂ©gitimitĂ© des activitĂ©s de traitement de PD.

Source: https://habr.com/ru/post/fr423733/

More articles:


All Articles