什么是GDPR?
2018年5月25日,欧盟通用数据保护条例(GDPR;以下简称为GDPR,该条例)生效。 许多人认为GDPR仅适用于在欧盟中处理个人数据(PD)的欧洲组织或公司。 但实际上,该法规是域外的,适用于非欧盟国家的组织。
该规则以及俄罗斯联邦第152-号“关于个人数据”的联邦法律,使用了《保护个人公约》中有关自动处理个人数据的概念和方法。
该法规的主要重点是在处理个人数据时保护个人的权利和自由。
属于GDPR范围内的俄罗斯组织发现自己处于“两次大火之间”:它们必须遵守俄罗斯法律和新的欧洲法规。 在本文中,我们将尝试揭示谁需要遵守俄罗斯的GDPR要求,原因以及不满足这些要求的后果。
GDPR适用于谁?
根据该法规第3条,GDPR适用于:
1.在操作员或处理者(操作员委托处理PD的人)在欧盟(EU)领土上进行活动期间进行的PD处理,而不管在何处进行处理-在EU领土内或在其外部进行。
2.如果处理与以下内容有关,则由位于欧盟以外的运营商或处理器进行的PD处理:
一个 向位于欧盟的PD主体提供商品或服务(收费或免费);
b。 监视欧盟PD主体的行为(行为,活动)。
3.由欧盟以外的运营商进行的PD处理(如果适用于根据国际公法的成员国立法)。
如果显然属于第1条(您必须在欧盟中)和第3条(欧盟成员国的外交使团和领事馆)下的运营商明确,那么第2条提出了很多问题,因为它确定了GDPR对俄罗斯的适用性公司。
为了找到这些问题的答案,除了《法规》的主要内容外,还应注意以下事实:GDPR的序言披露了在GDPR中设定上述标准时立法者的指导原则。 特别是在序言第23段中,我们说过如何确定运营商(或数据处理器)向位于欧盟的人员提供商品或服务。 可以确定在欧盟开展活动的方向的因素可以被视为在以欧盟成员国的
语言或
货币进行的商品或服务的提供和销售中的使用,提及了位于欧盟的客户或用户。 在序言的第24段中,据说监视PD主体的行为意味着跟踪Internet用户,包括随后可能创建的个人资料,特别是为了分析或预测偏好,行为等。
此外,GDPR第2条规定,该
法规不适用于不受欧盟法律约束的活动。从以上所述,可以确定以下标准来将GDPR直接适用于俄罗斯组织:
- 该组织位于欧盟(是俄罗斯公司的分支机构或代表处)。
- 该组织不在欧盟境内,而是在欧盟境内实际开展活动,并且该活动包括处理个人数据(例如,运输公司负责从俄罗斯向欧盟境内的个人运送货物)。
- 该组织系统地向欧盟交付货物,并可能以欧元付款(PLN,SEK等)。
- 该组织以欧盟的一种官方语言为个人提供服务,有一个使用该语言的网站。 要支付服务费用,您可以使用欧盟国家/地区的货币或不需要付款。
- 该组织收集和分析有关欧盟网站访问者的信息,并自行使用分析结果或出售(转让)给他人。
对于属于第2-5条的组织,GDPR在对位于欧盟的人员进行PD处理的范围内有效。 例如,如果组织的所有员工都在俄罗斯工作,则作为人事记录一部分处理个人数据将不受GDPR的监管,并且该标准中指定的业务流程也会受到影响。
代表作为GDPR法规主体的运营商处理个人数据的组织受GDPR的影响,金额取决于代表该处理的哪一部分转移。 如果组织执行部分处理过程(例如,收集个人数据,分析个人数据等),那么它将受到GDPR的影响。 如果组织提供托管服务(DPC),则仅运营商将向其提出的GDPR要求直接适用于它。
我们还想指出的是,以下情况经常出现在有关GDPR的材料中,而不是该法规适用的标准:
- PD受试者的公民身份不会影响GDPR的适用性(例如,欧盟公民工人的存在并不意味着该组织属于GDPR之下);
- 该组织网站在欧盟的可用性并不意味着GDPR的自动适用性。 如果组织不进行分析,并且收集的统计信息不与特定用户相关,则其活动不应属于GDPR。
- 如果服务是在欧盟以外提供的(例如,可以在远离欧盟的地方预订位于俄罗斯的酒店房间),则该组织不应受到GDPR的约束,因为其活动不在欧盟进行且不受欧盟法律的约束。
如果您仍然对该法规是否适用于组织有疑问,可以联系NIP Informzashita CJSC,我们将帮助您确定应如何以及如何遵守组织的GDPR要求。
监控俄罗斯对GDPR的遵守情况以及违规的后果
为了保护每个欧盟国家中PD主体的权利,已经创建了国家机构来保护PD主体的权利(在法规-监管机构的文本中,通常将此类机构称为数据保护机构(DPA))。 其中,根据GDPR第58条第1款,DPA被赋予以下权力:
- 请求有关PD处理的任何信息;
- 对PD进行安全审核;
- 从操作员和处理器那里接收所有PD以及执行其任务所需的所有信息的访问权;
- 可以访问任何操作员和处理器的处所,包括任何设备和数据处理设施。
特定的控制程序由欧盟国家独立制定。 如果违反了DPA法规的规定,尤其是根据GDPR第58条第2部分的规定,他们可以:
- 向操作员或处理者发出警告或评论,以表明当前处理PD的程序违反了法规的规定;
- 下达关于满足主体请求的需求的命令,关于是否需要通知主体违反安全性PD的命令;
- 要求在规定的时间内使个人数据的处理与本条例保持一致;
- 对加工施加临时或永久限制 ,包括禁止加工;
- 发布命令以删除或澄清PD;
- 与其他措施一起或代替其他措施处以行政罚款 ;
- 要求停止将PD转移到第三国或国际组织。
该法规确定了位于欧盟以外的组织必须任命欧盟的代表,DPA将通过该代表与组织进行互动,但是要强调的是,处理PD的责任不是代表,而是组织本身。
GDPR没有披露位于欧盟以外且未任命代表的组织的监督法规实施程序的程序,也没有披露位于欧盟以外的组织如何对违反处理个人数据规则的行为负责。
我们与欧盟国家的DPA进行了一系列访谈,以监测欧盟以外对GDPR的遵守情况。 答案是不同的,但总体而言并不清楚。 DPA的一位代表表示保留,将与运营商或处理者所在国家的DPA合作规范此类案件。 当前的地缘政治局势以及俄罗斯联邦组织负责人必须遵守GDPR的Roskomnadzor A. Zharov负责人的立场使人们怀疑,欧盟DPA和Roskomnadzor之间进行此类合作的尝试是否会富有成效。
我想提请注意以下事实:GDPR中规定的数百万美元的罚款是最高标准,而在大多数恐慌经营者中,这些罚款最高。 GDPR表示,施加的罚款(和其他制裁)必须与违法行为相称,有效并防止屡犯。 罚款的具体数额将考虑很多因素,分别确定。 如果一个组织有意识地和恶意地侵犯了主体的权利,小心地将其隐藏起来并从这种PD处理中获得高额利润,则可能对其处以数百万美元的罚款。
对于在欧盟没有代表处或子公司(以及PD处理的指定代表)的俄罗斯组织,最有可能(但不是唯一的)和不遵守GDPR的重大后果不是罚款,而是封锁了该组织在欧盟或各个州的网站欧盟成员国。 尽管GDPR中未明确规定可能会阻塞站点,但似乎是限制PD处理以防止重复违规的一种自然方法,尤其是在没有其他方法可以影响运营商的情况下。
俄罗斯组织为什么要遵守GDPR?
除了避免欧盟DPA可能实施制裁的明显机会外,GDPR的实施还为组织带来了其他优势。
首先,这是组织中信息安全和数据管理总体水平的提高。 通常,在满足对个人数据保护的要求的过程中,组织首次创建其现有业务流程的注册表,了解现有数据流,创建网络图,描述现有信息保护系统。 这些行为不仅成为保护PD的基础,而且还成为保护其他类型的机密信息以及优化业务流程的基础。
如果组织处理由受GDPR约束的交易对手转移到其的个人数据,则交易对手将要求其遵守GDPR对个人数据处理器的要求。 遵守GDPR将使服务提供商能够扩展可访问的市场,以在欧盟内提供服务,并向符合GDPR要求的俄罗斯组织提供服务。
当GDPR适用于俄罗斯组织与之交换个人数据的一组公司的组织时,可能必须由母公司提出强制遵守GDPR的要求。 但是在这种情况下,建议首先澄清是否确实处理了位于欧盟的人员的个人数据,其次,如果进行了处理,则将法规的要求扩展到处理此类个人数据的过程,而不是整个过程组织。
GDPR确定需要尊重PD主体的众多权利,并确保PD主体处理的透明度。 与联邦法律“关于个人数据”相比,GDPR更详细地说明了如何告知PD受试者有关其PD的处理,以及他们如何行使与该处理有关的权利。 这些处理个人数据的问题反映在处理个人数据的政策中,以及在收集有关处理个人数据的信息时,可以提高组织的透明度,并在个人数据的所有主题方面提供更大的信心。
总结
如果您的组织位于俄罗斯,这并不意味着GDPR不适用于它。 您可以使用上述条件检查规则要求对您组织的适用性。
该法规刚刚生效,据赛门铁克称,欧盟80%的组织不符合GDPR要求。 尚不清楚欧盟如何对违反GDPR的行为制裁欧盟组织,但仍然应认真对待该法规。
总而言之,我们想指出的是,在不久的将来,很有可能在俄罗斯有关PD处理的立法中与欧洲立法保持一致,出现类似于GDPR要求的措词。
由Informzaschita咨询和审计部门高级顾问Alisa Gorinova发布。 如果您还有疑问,我们随时可以与您交谈。 我们正在等待您给a.gorinova@infosec.ru的来信。