Geekly articles weekly

O impacto do GDPR nos operadores de dados pessoais russos

Publicado por: Anastasia Zavedenskaya, Analista Assistente, Centro Analítico da UTSB LLC
Revisores: Ekaterina Rubleva e Konstantin Samatov, Chefes de Direção, Centro Analítico da UTSB LLC

Uma empresa que processa dados pessoais é considerada sua operadora. Provavelmente, esta empresa conhece a Lei Federal de 27 de julho de 2006, nº 152-FZ “Sobre dados pessoais” e seus requisitos. E se a empresa tem clientes na União Europeia ou existe um desejo de atraí-los? Ou apenas possui um site na Internet com formulários a serem preenchidos pelo usuário? Então você precisa entender o que é GDPR e seu escopo.

Em 1995, os países da UE adotaram a Diretiva nº 95/46 / UE sobre a proteção dos direitos das pessoas no processamento de dados pessoais. Mas tudo está mudando e, em 25 de maio de 2018, foi substituído pelo Regulamento Geral de Proteção de Dados, adotado pelo Parlamento Europeu em abril de 2016, simplesmente abreviado o GDPR.

O uso do RGPD será aprovado em mais três países da Associação Europeia de Comércio Livre (EFTA) e, mais especificamente, na Islândia, Liechtenstein, Noruega, que não são membros da UE. O site da EFTA (EFTA), em um artigo sobre “Incorporando o RGPD no EEE (Espaço Econômico Europeu) e continuando a aplicar a Diretiva 95/46 / CE”, declara que o EPR deve ser adotado pelo Comitê Conjunto do EEE (EEE) Comité Misto) e a sua entrada em vigor nos países do EEE / EFTA em meados de julho de 2018. Até então, a Diretiva de Proteção de Dados Nº 95/46 / CE permanece aplicável no Acordo EEE, garantindo assim a possibilidade de distribuição desimpedida de dados entre a AEA EFTA e os estados membros da UE.

A quem o GDPR é aplicável?


Primeiro, você precisa entender quem precisa seguir os requisitos do RGPD e quem não se enquadra nos requisitos dele.

imagem

Figura 1 - Algoritmo para determinar o escopo do GDPR

Com base no texto do documento, seus requisitos são aplicáveis ​​não apenas às organizações europeias, mas também a quaisquer empresas que trabalhem com dados pessoais de cidadãos da UE ou pessoas localizadas na UE (veja a Fig. 1). Ao mesmo tempo, a localização da própria empresa não importa.

Portanto, se uma empresa estiver registrada na UE ou, por exemplo, na Islândia, Liechtenstein e Noruega acima mencionadas, então, independentemente da localização do processo de processamento em si, isso é inequivocamente GDPR.

Para entender se uma organização presta serviços ou bens a pessoas localizadas na UE, mesmo sua intenção de oferecer serviços / bens será suficiente. De acordo com o RGPD, a intenção se torna óbvia se o site da empresa usar o idioma e a moeda nacionais de um estado membro da União Europeia, e uma ordem nesse idioma for possível. Ou há referências a consumidores ou usuários que estão na União Europeia.

Embora o site seja totalmente em russo e, por si só, sua disponibilidade para o povo da UE não mostre intenções, você não pode ter 100% de certeza de que ninguém, estando na União Europeia, usará seus serviços. Portanto, é recomendável que você cumpra os requisitos do GDPR em qualquer caso.

Outro conceito que é interessante e relevante no contexto do RGPD é o monitoramento. O monitoramento no GDPR refere-se ao rastreamento de indivíduos na Internet com o uso adicional ou a aplicação potencial de várias tecnologias para o processamento de dados pessoais para analisar ou prever preferências, características pessoais e características comportamentais. Ou seja, se a empresa tomar algumas ações para estudar o comportamento de pessoas localizadas na UE, para fins de marketing, para estatísticas, etc. - isso é monitoramento. Por exemplo, Yandex.Metrica, Google Analytics etc. estão instalados no site da organização, portanto, o GDPR deve ser aplicado. Porque, como já mencionado, não há garantia de que uma pessoa da UE não vá ao site em que esses serviços são usados.

É importante saber que a organização deve nomear um representante na UE quando pelo menos uma das seguintes condições for atendida:

  1. o processamento está em andamento;
  2. processamento em larga escala de categorias especiais de dados pessoais;
  3. dados pessoais processados ​​relacionados a condenações ou crimes criminais;
  4. existe um alto risco de violação dos direitos e liberdades humanos.

Segundo o GDPR, categorias especiais de dados pessoais são definidas de maneira semelhante à legislação russa. Exceto pelo fato de que os dados sobre condenações e ofensas são emitidos separadamente, com a obrigação de controlar seu processamento por um órgão oficial ou conforme autorizado pela lei estadual.

Um representante pode ser uma pessoa singular ou coletiva especificamente autorizada com base em documentos relevantes. O representante deve estar localizado no país da UE em que os titulares dos dados estão localizados. Sua tarefa em nome da empresa é interagir com as autoridades e os cidadãos da UE, para cumprir as instruções da empresa. Ele também é responsabilizado por violações.

Por exemplo, uma empresa russa que não possui subsidiárias na Finlândia fornece constantemente seus serviços a seus cidadãos. Isso significa que a empresa deve nomear um representante localizado oficialmente na Finlândia. Se houver uma subsidiária, ela poderá ser nomeada representante.

Acontece que o Regulamento Geral de Proteção de Dados tem uma cobertura bastante ampla e, se tudo for bastante lógico com as empresas da UE, outros países também estarão sob a distribuição. Torna-se claro que as organizações russas, orientadas para o cliente na União Européia, também devem cumprir os requisitos do RGPD.

Suponha que uma pequena empresa russa tenha uma loja on-line e que um cidadão letão compre seus produtos. Isso significa que os requisitos GDPR se aplicam a esta loja on-line, pois os dados pessoais de um cidadão da UE serão processados ​​nela. Se o site desta empresa tiver inicialmente uma versão em inglês e definir preços na moeda de acordo com o estado do usuário, ele também se enquadra no escopo do RGPD. E, em qualquer caso, se a empresa não trabalhar pessoalmente com cada cliente, você não poderá saber exatamente de onde o cliente é. Isso significa que mesmo um site completamente russo de uma pequena empresa precisa estar preparado para atender aos requisitos do RGPD.

A lista de empresas cobertas pelo GDPR pode ser mantida por um longo tempo, mas até o momento não existe prática de aplicação da lei, segundo o autor, é necessário analisar para quem as ações da empresa são direcionadas e com quem ela interage.

Que papéis o GDPR oferece?


Como qualquer processo, o processamento de dados tem dois lados - aquele cujos dados são processados, ou seja, O assunto dos dados pessoais e quem processa esses dados. Vamos nos aprofundar mais no segundo. Os conceitos de um controlador (controlador de dados em inglês) e um processador (processador de dados em inglês) são introduzidos no GDPR.

Lidaremos com esses termos com base no RGPD e nas explicações fornecidas no site da Comissão Europeia.

O responsável pelo tratamento, de acordo com o parágrafo (7) do Artigo 4 do GDPR, é uma pessoa, individual ou jurídica, vários órgãos e agências que determinam com que finalidade e por que meios os dados são processados.

Toda a responsabilidade pelo cumprimento dos requisitos para o processamento e proteção de dados pessoais cabe ao controlador. O controlador deve poder verificar a conformidade.

Acontece que se a empresa decide "por quê?" e "como?" dados pessoais processados, é um controlador de dados. Os funcionários da empresa de processamento fazem isso como um controlador de dados.

Se uma empresa, juntamente com uma ou mais organizações, determinar conjuntamente "por quê?" e "como?" dados pessoais processados, pode ser chamado de controlador conjunto (controlador conjunto inglês). Os supervisores conjuntos concluem um acordo estabelecendo obrigações para cumprir os requisitos do RGPD. Os principais aspectos deste contrato devem ser transferidos para as pessoas cujos dados são processados.

O processador (processador), de acordo com o parágrafo (8) do Artigo 4 do GDPR, é pessoas, pessoas físicas ou jurídicas, vários órgãos e agências envolvidos no processamento de dados pessoais em nome do responsável pelo tratamento.

Acontece que o processador tem o direito de processar dados pessoais apenas em nome do controlador. Um processador de processamento de dados, por exemplo, pode ser uma empresa terceirizada envolvida no processamento de dados.

Uma organização pode ser um controlador ou processador de dados, ou ambos ao mesmo tempo.

Na Lei Federal de 27 de julho de 2006, nº 152 - On “Sobre Dados Pessoais”, existe o conceito de operador semelhante a um controlador e um processador semelhante a uma pessoa que processa dados pessoais em nome do operador.

GDPR e nº 152-FZ “Sobre dados pessoais”. Geral e diferenças


Qualquer documento regulatório usa suas próprias regras de definição, considere-as e compare-as.

Dados pessoais, de acordo com o Artigo 3 da Lei Federal "Sobre Dados Pessoais", são quaisquer informações que direta ou indiretamente permitem identificar um indivíduo. A cláusula (1) do artigo 4 da RDA fornece uma definição semelhante, exceto que, em vez da palavra "definir", "identificar" é usado.

Os termos são semelhantes, mas o GDPR fala com mais detalhes sobre informações relacionadas a dados pessoais. Onde obtemos que as informações que permitem determinar a identidade do titular dos dados são dados pessoais. Não importa se o assunto pode ser diretamente identificado por eles ou se ferramentas ou programas especiais são necessários.

O GDPR contém a seguinte lista de dados pessoais:

  1. Primeiro nome;
  2. Número de identificação;
  3. Dados de localização;
  4. Identificador online;
  5. A combinação de identificadores / indicadores.

A coisa mais difícil com identificadores online. Isso inclui endereços IP, cookies etc. Um endereço IP, por exemplo, pode levar uma pessoa a acessar a Internet ou simplesmente mostrar o ponto de acesso à rede, ou seja, em alguns casos, pode ser usado para determinar uma pessoa apenas em conjunto com outros dados. Se um endereço IP está relacionado a dados pessoais é um ponto discutível e depende do contexto da situação. Mas como o GDPR se concentra nos identificadores online, é recomendável que você os proteja também.

Os princípios e condições de processamento estão estabelecidos nos artigos 5, 6 da Lei Federal “Sobre Dados Pessoais” e nos artigos 5.6 do GDPR.

A lei de dados pessoais da Federação Russa contém 7 princípios de processamento e o GDPR contém 6. Todos os princípios são comparáveis, exceto que a legislação russa esclarece a proibição de combinar bancos de dados criados para fins incompatíveis. Um complemento importante aos princípios do RGPD é o princípio da transparência / transparência. Nomeadamente, qualquer informação e mensagem relacionada ao processamento de dados pessoais era facilmente acessível ao sujeito e clara ao seu entendimento, ou seja, era usada uma linguagem clara e simples. Além disso, o GDPR define a segurança dos dados pessoais como um princípio [p. (f), Art. 5, GDPR,], mas conosco é mais provável que seja apresentado como um dever.

As condições sob as quais o processamento é legal também são comparáveis. Ao fazer isso, o GDPR permite que os estados introduzam seus requisitos de processamento.

O Artigo 9 da Lei Federal “Sobre Dados Pessoais” e o Artigo 7 do GDPR descrevem o consentimento do sujeito ao processamento de dados pessoais. Ambos os documentos falam de concretude, consciência e consciência. É importante que o GDPR exija que o consenso seja compilado em um idioma compreensível e facilmente acessível. O consentimento para o processamento de dados deve ser fornecido separadamente de outras condições e acordos. Deve incluir todos os objetivos de processamento. O processo de retirada do consentimento deve ser tão simples quanto obtê-lo - é como marcar a caixa e removê-la.

Acontece que o acordo não deve ser ambíguo, mas preciso - "eu concordo ...". Deve incluir uma lista de objetivos de processamento específicos. Também é impossível usar, por exemplo, caixas de seleção com a configuração do consentimento padrão. Isso é contrário à liberdade de consentimento. E o operador sempre precisa estar preparado para confirmar que o sujeito deu seu consentimento.

Uma das principais diferenças do GDPR é que ele estabelece regras especiais para consentir a prestação de serviços da sociedade da informação a menores. Se uma criança de 16 anos estiver envolvida no processamento de dados pessoais, isso é legal. Para crianças menores de 16 anos, o consentimento deve ser dado por uma pessoa que exerce funções de pais ou responsáveis.

Ambos os documentos em consideração descrevem os direitos do titular dos dados bastante extensivamente. Ali e ali, os indivíduos podem receber seus dados e informações sobre como são processados, podem corrigir e excluir informações sobre si mesmos. O principal é que, de acordo com a Lei Federal “Sobre Dados Pessoais”, uma entidade pode receber informações sobre o processamento de dados pessoais ao coletar dados mediante solicitação. E, de acordo com o GDPR, a organização é obrigada a fornecer todas as informações sobre o processamento no momento do recebimento de dados pessoais. O GDPR descreve a exclusão e alteração de informações como o direito do sujeito e a lei russa como o dever do operador. O titular dos dados pessoais pode sempre retirar seu consentimento para o processamento e solicitar a exclusão de dados relacionados a ele.

Outra diferença importante do GDPR é que há um direito separado de transferir seus dados. Uma empresa que opera sob o RGPD deve entender que, quando um sujeito solicita informações fornecidas anteriormente, deve fornecê-las sem impedimentos. O GDPR deixa claro que esses dados devem ser estruturados e ter um formato legível por máquina. Além disso, a pedido do usuário, a organização deve transferir seus dados para qualquer outra organização. Tudo isso é novo para os requisitos legais.

Há uma seção separada no GDPR sobre o Data Protection Officer. Essa função é semelhante à pessoa designada como responsável pela organização do processamento de dados pessoais pelas leis russas. De acordo com o GDPR, se uma organização monitora constantemente entidades ou processa categorias especiais em larga escala, é necessário nomear um responsável pela proteção de dados. Caso contrário, a nomeação será feita a critério da organização ou com base nas leis de seu estado. De acordo com a Lei Federal “Sobre Dados Pessoais”, o operador é obrigado a nomear uma pessoa responsável pela organização do processamento de dados, em qualquer caso.

Ao enumerar medidas de segurança, a Lei Federal “Sobre Dados Pessoais” refere-se à contabilização do processamento de dados pessoais. Por sua vez, o GDPR também obriga a manter esses registros em um formulário documentado, inclusive em formato eletrônico. A obrigação não é imposta às organizações com menos de 250 funcionários; se elas não conduzirem o processamento continuamente, não processarão em larga escala categorias especiais ou dados sobre condenações e ofensas. Segundo o autor, é aconselhável manter esses registros em qualquer caso.

Se a empresa é controladora, a contabilidade deve conter:

  1. Informações sobre o responsável pelo tratamento, o seu representante e o responsável pela proteção de dados (se existir);
  2. objetivos de processamento;
  3. informações sobre titulares de dados e categorias de dados pessoais processados;
  4. informações sobre outros destinatários de dados pessoais;
  5. datas de exclusão de dados, se possível;
  6. Descrição das medidas de segurança, se possível.

Se a empresa é um processador, a contabilidade deve conter:

  1. Informações sobre o processador, controlador e, se possível, seu representante e responsável pela proteção de dados;
  2. processamento de informações;
  3. informações sobre outros destinatários de dados pessoais;
  4. datas de exclusão de dados, se possível;
  5. Descrição das medidas de segurança, se possível.

A organização deve estar preparada para fornecer essas informações ao supervisor a qualquer momento.

Quais são os dados pessoais em si, então "como?", "Por quê?" e "por que?" estão sendo processados, que medidas são usadas para proteger as informações, o que o sujeito pode fazer e o que o operador é obrigado a fazer - esses pontos-chave são semelhantes na Lei Federal “Dados Pessoais” e no GDPR. Mas aqui está o que fazer se, no entanto, ocorrer um vazamento de dados indesejados, é declarado especificamente apenas no GDPR. Portanto, se uma empresa, no entanto, permitir o vazamento de dados pessoais, ela é obrigada a informar o supervisor e a entidade que sofreu as perdas em um curto espaço de tempo. Caso contrário, a empresa será multada. De acordo com o RGPD, um supervisor é nomeado em cada país pelos atos legais regulamentares relevantes. Os líderes desses órgãos de supervisão formam o Conselho Europeu de Proteção de Dados.

E o mais interessante: para fortalecer o cumprimento obrigatório das normas, o GDPR introduz multas por quaisquer violações. O valor das multas atinge até 20 milhões de euros ou 4% do fluxo de caixa da empresa (o valor mais alto é selecionado). Mas, na realidade - nem tudo é tão assustador. Nos casos em que a violação é menor, apenas uma repreensão pode ser feita. As sanções intangíveis também podem incluir uma proibição do supervisor no processamento de dados pessoais (ou sua transferência para a contraparte) até que a violação seja corrigida.

A penalidade, antes de tudo, deve ter um efeito convincente, o que significa que pode variar amplamente dentro do valor estabelecido. O valor da multa é definido de acordo com as características da própria violação:

  1. a natureza, gravidade e duração da violação;
  2. intencionalmente ou por negligência, uma violação completa;
  3. medidas para reduzir danos;
  4. medidas de proteção utilizadas;
  5. violações passadas;
  6. categorias de dados pessoais afetados pela violação;
  7. como a violação ficou conhecida;
  8. outros fatores agravantes e atenuantes.

Ou seja, por exemplo, a notificação de vazamento anteriormente considerada é um fator importante para mitigar a punição.

Resumir


O Regulamento Geral de Proteção de Dados é um novo documento grande, com um preâmbulo longo e 99 artigos, que todos podem interpretar à sua maneira. Mas se uma empresa não deseja ser submetida a uma multa de vários milhões de dólares, é necessário cumprir os requisitos do GDPR e, é claro, não esquecer a Lei Federal "Dados Pessoais" e seu estatuto.

Se você é uma empresa russa, primeiro precisa determinar se o escopo da organização está dentro do escopo do GDPR.

Se incluídas, as ações prioritárias que devem ser tomadas para alinhar os novos requisitos serão as seguintes:

Determine se é necessário um representante na UE. Atribua, se necessário.
Verifique a disponibilidade de informações sobre o processo de processamento (metas, períodos de armazenamento, informações sobre os direitos do titular dos dados, etc.), bem como a presença de processos estruturados e documentados para responder a solicitações de titulares de dados pessoais.
Verifique o consentimento para o processamento de dados pessoais quanto à conformidade com os requisitos do GDPR. Deve ser declarado em um idioma compreensível, especificamente, conter todos os objetivos de processamento, localizados separadamente de outras condições / acordos. O consentimento é dado com base em ações ativas, e não "por padrão" ou inação. Se necessário, atualize-o.

Verifique os dados pessoais processados ​​quanto à conformidade com as metas de processamento especificadas.
Mantenha registros de todas as atividades de processamento de dados pessoais.

Realize uma avaliação de impacto na proteção de dados, ou seja, determine o grau de importância de cada processo comercial específico relacionado ao processamento de dados pessoais, avaliando os danos causados ​​durante um mau funcionamento.

Verifique as medidas de segurança quanto à conformidade com o GDPR. Se necessário, melhore-os.

Introduzir processos bem organizados e documentados para notificação de um incidente por um supervisor, de preferência dentro de 72 horas após a detecção. Inclua informações sobre a natureza do vazamento, informações para feedback, possíveis consequências, medidas para eliminar o vazamento nas notificações. Se possível, informe o sujeito dos dados pessoais se houver um risco aos seus direitos e liberdades e os dados não tiverem sido criptografados, dentro de um prazo razoável.

Esteja preparado para fornecer evidências da legitimidade das atividades de processamento de PD.

Source: https://habr.com/ru/post/pt423733/

More articles:


All Articles