作者:UTSB LLC分析中心助理分析师Anastasia Zavedenskaya
审稿人:UTSB LLC分析中心方向负责人Ekaterina Rubleva和Konstantin Samatov处理个人数据的公司被视为其运营商。 该公司很可能了解2006年7月27日第152-FZ号联邦法律“关于个人数据”及其要求。 如果公司在欧盟有客户,还是有吸引这些客户的愿望? 或者只是在Internet上建立一个网站,供用户填写表格? 然后,您需要了解什么是GDPR及其范围。
早在1995年,欧盟国家通过了关于保护个人在处理个人数据中的权利的第95/46号指令/欧盟。 但是一切都在变化,2018年5月25日,它被欧洲议会于2016年4月通过的《通用数据保护条例》所取代,简称为GDPR。
GDPR的使用将在欧洲自由贸易协会(EFTA)的另外三个国家/地区中得到批准,尤其是在非欧盟成员国的冰岛,列支敦士登,挪威中。 EFTA网站(EFTA)在有关“将GDPR纳入EEA(欧洲经济区)并继续适用第95/46 / EC号指令”的文章中指出,EPR有望被EEA联合委员会(EEA)通过联合委员会)及其于2018年7月中旬在欧洲经济区EFTA州生效。 在此之前,第95/46号/ EC数据保护指令仍然适用于EEA协议,从而保证了EEA EFTA与欧盟成员国之间数据分发不受阻碍的可能性。
GDPR适用于谁?
首先,您需要了解谁需要遵循GDPR的要求,以及谁不符合他的要求。
图1-确定GDPR范围的算法根据文档的文本,其要求不仅适用于欧洲组织,还适用于使用欧盟公民或位于欧盟的个人数据的任何公司(参见图1)。 同时,公司本身的位置并不重要。
因此,如果一家公司在欧盟或例如在上述冰岛,列支敦士登,挪威中注册,则无论处理过程本身的位置如何,这无疑是GDPR。
要了解某个组织是否向位于欧盟的人提供服务或商品,即使其提供服务/商品的意图也已足够。 根据GDPR,如果公司的网站使用欧盟成员国的本国语言和货币,并且可以使用该语言进行订购,那么意图就显而易见了。 或有提及欧盟的消费者或用户。
尽管即使该站点完全是俄语,并且本身对欧盟人民的可用性也没有显示出意图,但您不能完全确定在欧盟中没有人会使用其服务。 因此,无论如何建议您遵守GDPR要求。
在GDPR的背景下,另一个有趣且相关的概念是监视。 GDPR中的监视是指通过进一步使用或潜在应用各种技术来处理个人数据,以分析或预测偏好,个人特征和行为特征,从而在Internet上跟踪个人。 也就是说,如果公司采取某些措施来研究位于欧盟的人员的行为,用于营销目的,用于统计等。 -这是监视。 例如,在组织的网站上安装了Yandex.Metrica,Google Analytics(分析)等,因此必须应用GDPR。 因为,正如已经提到的,不能保证欧盟的任何人都不会前往使用这些服务的站点。
重要的是要知道,在满足以下至少一项条件时,该组织必须任命一名欧盟代表:
- 处理正在进行中;
- 大规模处理特殊类别的个人数据;
- 处理与刑事定罪或罪行有关的个人数据;
- 侵犯人权和自由的风险很高。
根据GDPR,个人数据的特殊类别的定义与俄罗斯法律相似。 除了定罪和犯罪数据是分别发布,有义务由官方机构或州法律授权控制其处理的事实外。
代表可以是根据相关文件获得特别授权的自然人或法人。 该代表必须位于数据主体所在的欧盟国家/地区。 他代表公司的任务是与欧盟当局和公民互动,以遵守公司的指示。 他同样要为侵权行为负责。
例如,一家在芬兰没有子公司的俄罗斯公司不断向其公民提供服务。 这意味着公司必须任命一名正式位于芬兰的代表。 如果有子公司,则可以指定代表。
事实证明,《通用数据保护条例》涵盖的范围相当广泛,如果与欧盟公司的所有事情都合乎逻辑,那么其他国家/地区也将归于此。 显而易见,面向客户的欧盟俄罗斯组织也必须遵守GDPR的要求。
假设一家小型俄罗斯公司有一家网上商店,而拉脱维亚公民购买了他们的商品。 这意味着GDPR要求适用于此在线商店,因为将在其中处理欧盟公民的个人数据。 如果该公司的网站最初具有英文版本,并根据用户状态以货币设置价格,则它也属于GDPR的范围。 而且,无论如何,如果公司不与每个客户亲自合作,您将无法确切知道客户来自何方。 这意味着,即使是一家小公司的完全俄语的网站也需要准备以满足GDPR的要求。
作者认为,GDPR涵盖的公司名单可以持续很长时间,但是到目前为止,还没有执法实践。有必要分析公司行动针对的是谁以及与谁进行互动。
GDPR扮演什么角色?
像任何处理一样,数据处理也有两个方面-处理数据的一方,即 个人数据的主题,以及处理此数据的人。 让我们更详细地讨论第二个。 GDPR中引入了控制器(英文数据控制器)和处理器(英文数据处理器)的概念。
我们将根据GDPR和欧盟委员会网站上的解释来处理这些术语。
根据GDPR第4条第(7)款,控制者是个人,个人或法人实体,各种机构和机构,它们决定出于何种目的以及以何种方式处理数据。
满足处理和保护个人数据要求的所有责任由控制器承担。 控制器必须能够验证合规性。
事实证明,该公司是否决定“为什么?” 和“如何?” 处理过的个人数据,它是一个数据控制器。 加工公司的员工充当数据控制器。
如果一家公司与一个或多个组织共同确定“为什么?” 和“如何?” 处理的个人数据,可以称为联合控制器(英文联合控制器)。 联合监管人缔结协议,阐明遵守GDPR要求的义务。 该协议的主要方面应移交给处理数据的人员。
根据GDPR第4条第(8)款,处理者(处理者)是代表控制者从事个人数据处理的个人,个人或法人实体,各种机构和代理。
事实证明,处理器有权仅代表控制器处理个人数据。 数据处理处理器,例如,可以是参与数据处理的第三方公司。
组织可以是数据控制器或数据处理器,也可以同时是两者。
在2006年7月27日第152-FZ号联邦法律“关于个人数据”中,有一个操作员的概念,类似于控制者,而处理者类似于代表操作者处理个人数据的人。
GDPR和第152-FZ号“关于个人数据”。 一般与差异
任何法规文件都使用其自己的定义规则,对其进行考虑和比较。
根据联邦法律“关于个人数据”的第3条,个人数据是直接或间接允许您识别个人的任何信息。 GDR第4条第(1)款提供了类似的定义,只是使用了“ identify”代替“ define”。
术语相似,但是GDPR更详细地说明了与个人数据有关的信息。 我们从哪里获得可以确定数据主体身份的信息是个人数据。 是否可以由他们直接识别主题还是是否需要特殊的工具或程序都没有关系。
GDPR包含以下个人数据列表:
- 名
- 身份证号码;
- 位置数据;
- 在线标识符;
- 标识符/指标的组合。
在线标识符最难。 其中包括IP地址,Cookie等。 例如,IP地址可以导致某人访问Internet,或者可以简单地显示网络的访问点,即 在某些情况下,它只能与其他数据一起用于确定一个人。 IP地址是否与个人数据有关是一个争论点,并取决于情况的上下文。 但是,由于GDPR侧重于在线标识符,因此建议您也保护它们。
联邦法律“关于个人数据”的第5条,第6条和GDPR第5.6条规定了这些原则和处理条件。
俄罗斯联邦个人数据法包含7条处理原则,GDPR包含6条处理原则。所有原则均具有可比性,不同之处在于俄罗斯立法明确禁止合并为不兼容目的而创建的数据库。 GDPR原则的重要补充是透明度/透明度原则。 即,与个人数据的处理有关的任何信息和消息都易于被主体访问并易于理解,即使用了清晰,简单的语言。 此外,GDPR将个人数据的安全性定义为一项原则[p。 (f),《 GDPR》第5条,],但对于我们来说,它更有可能被列为义务。
处理合法的条件也是可比较的。 通过这样做,GDPR允许各州引入其加工要求。
联邦法律“关于个人数据”的第9条和GDPR第7条描述了主体对处理个人数据的同意。 这两份文件都谈到了具体性,意识和意识。 GDPR要求以易于理解和易于使用的语言来编写共识,这一点很重要。 必须与其他条件和协议分开提供同意处理数据。 它应包括所有处理目标。 撤回同意的过程应该与获得同意一样简单-这就是选中此框并将其删除的方法。
事实证明,协议不应含糊不清,而应准确无误-“我同意……”。 它应包括特定处理目标的列表。 例如,也无法使用设置默认同意的复选框。 这违反了同意自由。 并且操作者总是需要准备好确认受试者已经同意。
GDPR的主要区别之一是,它建立了同意向未成年人提供信息社会服务的特殊规则。 如果16岁的孩子参与个人数据的处理,那是合法的。 对于16岁以下的儿童,必须得到行使父母或监护人职能的人的同意。
所审议的两个文件都相当广泛地描述了数据主体的权利。 无论在那里,个人都可以接收有关其处理方式的数据和信息,可以更正,删除有关自身的信息。 最主要的是,根据“关于个人数据”的联邦法律,当应要求收集数据时,实体可以接收有关处理个人数据的信息。 根据GDPR,组织有义务在接收个人数据时提供有关处理的所有信息。 GDPR将信息的删除和更改描述为主题的权利,将俄罗斯法律描述为运营商的义务。 个人数据主体始终可以撤回其对处理的同意,并要求删除与此有关的数据。
GDPR的另一个重要区别是,有单独的传输数据的权利。 在GDPR框架内运作的公司应了解,当受试者要求事先提供给他们的信息时,他们必须无障碍地提供信息。 GDPR明确指出,这些数据必须结构化并具有机器可读格式。 另外,根据用户的要求,组织必须将其数据传输到任何其他组织。 所有这些对于法律要求都是新的。
GDPR中有单独的部分关于数据保护官。 此角色类似于指定负责组织俄罗斯法律处理个人数据的人员。 根据GDPR,如果组织持续监控实体或大规模处理特殊类别,则需要任命一名数据保护官。 否则,任命由组织酌情决定或根据其所在州的法律进行。 根据联邦法律“关于个人数据”,在任何情况下,运营商都有义务任命一名负责组织数据处理的人员。
在列举安全措施时,联邦法律“关于个人数据”是指对个人数据的处理进行核算。 反过来,GDPR也有义务以文件形式(包括电子形式)保存此类记录。 雇员少于250人的组织没有义务,如果他们不持续进行处理,不大规模处理特殊类别或定罪和违法数据。 根据作者的说法,在任何情况下都建议保留此类记录。
如果公司是控制人,则会计应包含:
- 有关控制人,其代表和数据保护人员(如果有)的信息;
- 处理目标;
- 有关数据主题和已处理个人数据类别的信息;
- 有关其他个人数据接收者的信息;
- 数据删除日期(如果可能);
- 如果可能,说明安全措施。
如果公司是加工者,则会计应包含:
- 有关处理器,控制器以及(如果可能)其代表和数据保护人员的信息;
- 处理信息;
- 有关其他个人数据接收者的信息;
- 数据删除日期(如果可能);
- 如果可能,说明安全措施。
组织应准备随时向主管提供此信息。
个人数据本身是什么,然后是“如何?”,“为什么?” 和“为什么?” 它们正在被处理,采取了哪些措施来保护信息,主体可以做什么以及运营商有义务做什么-这些关键点在“关于个人数据的联邦法律”和GDPR中相似。 但是,如果发生了不希望的数据泄漏,该怎么办,仅在GDPR中明确指出。 因此,如果一家公司仍然允许泄露个人数据,则有义务在短时间内告知遭受损失的主管和实体。 否则,公司将被罚款。 根据GDPR,每个国家/地区均会根据相关的监管法律法规任命一名监事。 这些监督机构的领导人组成了欧洲数据保护委员会。
最有趣的是:为了加强对规范的强制性遵守,GDPR对任何违规行为处以罚款。 罚款金额最高为2000万欧元,占公司现金流量的4%(选择最高金额)。 但实际上-一切并不那么可怕。 如果违规程度较小,则只能提出谴责。 无形制裁还可能包括监管者禁止在纠正违法行为之前处理个人数据(或将其转移至交易对手)。
首先,罚款应具有令人信服的效果,这意味着罚款可以在既定数额内变化很大。 罚款金额的设置取决于违规本身的特征:
- 违规的性质,严重程度和持续时间;
- 故意或过失,完全违反;
- 减少损害的措施;
- 使用的保护措施;
- 过去的违规行为;
- 受违规影响的个人数据类别;
- 如何知道违规行为;
- 其他加剧和缓解因素。
也就是说,例如,先前考虑的泄漏通知是减轻处罚的重要因素。总结一下
General Data Protection Regulation – 99 , -. , GDPR, , , « » .
, , GDPR.
, , , :
, . .
(, , ..), .
GDPR. , , , /. , « » . , .
.
.
Data protection impact assessment, .. -, , .
GDPR. , .
, 72 . , , , . , , .
准备提供有关PD处理活动合法性的证据。