Уведомление gdpr что это
О GDPR простыми словами: руководство для малых предприятий
Использование Microsoft 365 для бизнеса для обеспечения соответствия требованиям GDPR
Общий регламент по защите данных (GDPR) — это регламент Европейского союза (ЕС), определяющий порядок обработки персональных данных организациями. Если ваша организация продает товары или предоставляет услуги гражданам ЕС, или нанимает их на работу, вам необходимо соблюдать требования GDPR.
Как администратор малого предприятия, вы, наверное, спрашиваете себя: «С чего начать»? Наиболее часто это происходит в тех случаях, когда обработка персональных данных не является основным направлением деятельности вашей организации и вы не знакомы с GDPR.
Вы можете начать с просмотра этой статьи, в которой рассматриваются основные сведения о регламенте GDPR, причины его появления и возможности использования Microsoft 365 для бизнеса для обеспечения соответствия требованиям GDPR.
В ней также приводятся ответы на часто задаваемые вопросы о GDPR, которые могут возникнуть у малых предприятий, и описываются действия, которые малые предприятия могут предпринять для подготовки к GDPR.
Решения Microsoft 365 и рекомендации в этой статье являются средствами и ресурсами, которые могут помочь вам защитить данные и управлять ими, но они не гарантируют соответствия требованиям GDPR. Вы сами принимаете решение о проведении оценки состояния соответствия требованиям. В случае необходимости проконсультируйтесь со специалистом по правовым вопросам и (или) профессиональным консультантом.
Краткий обзор GDPR
GDPR — это регламент ЕС, который обновляет и расширяет более раннюю Директиву о защите данных (DPD), впервые принятую в 1995 году. Регламент GDPR посвящен обеспечению конфиденциальности данных физического лица, будь то клиент, сотрудник или деловой партнер. Цель GDPR заключается в обеспечении защиты персональных данных граждан ЕС, независимо от того, проживают они в ЕС или в другом месте. В регламенте изложены цели и рекомендации по их достижению. Организации должны принимать меры для обеспечения соответствия требованиям GDPR.
Регламент GDPR посвящен вопросам использования данных. Представьте, что данные имеют жизненный цикл. Цикл начинается со сбора данных, продолжается их хранением и использованием (обработкой) и заканчивается полным удалением данных из систем.
GDPR охватывает следующие типы данных.
Персональные данные. В соответствии с GDPR персональные данные — это данные, которые могут быть связаны с физическим лицом и которые позволяют идентифицировать это лицо. Примеры персональных данных включают имя, адрес, дату рождения и IP-адрес. Согласно GDPR к персональным данным относится даже закодированная информация (также известная как «анонимная» информация), если она может быть связана с физическим лицом, независимо от того, насколько неясной или технической она является.
Конфиденциальные персональные данные. Это данные, которые содержат дополнительные сведения о персональных данных. Например, сведения о религиозной принадлежности, участии в профсоюзах, этническом происхождении и т. д. К конфиденциальным персональным данным также относятся биометрические данные и данные ДНК. В соответствии с GDPR для конфиденциальных данных предусмотрены более строгие правила защиты, чем для персональных данных.
Термины GDPR
Далее приводятся определения терминов, часто используемых в GDPR. Важно понять значение этих терминов.
Согласие
В GDPR говорится, что «обработка персональных данных должна служить интересам всего человечества.» В GDPR планируется достичь этой цели с помощью получения согласия при обработке персональных данных. Это может быть простое обращение к клиентам с вопросом о том, хотят ли они получать сообщения электронной почты от вашей организации. Это также означает, что на сайте вашей организации больше не будет флажков отказа, если потребуется использовать данные для маркетинга. Явно выраженное согласие должно быть получено с помощью «четкого утвердительного действия». Кроме того, вы должны обеспечить сохранность записей о получении согласия или отказе.
Права субъекта данных
В GDPR закреплены права субъекта данных. В отношении своих персональных данных клиенты, сотрудники, деловые партнеры, подрядчики, учащиеся, поставщики и т. д. имеют следующие права.
Получать сведения об использовании своих данных. Необходимо информировать физических лиц об использовании их данных.
Получать доступ к своим данным. Необходимо предоставить физическим лицам доступ к хранящимся у вас данным (например, предоставив доступ к учетной записи или другим ручным способом).
Запрашивать исправление своих данных. Физические лица могут попросить вас исправить неточные данные.
Запрашивать удаление своих данных. Также известное как «право на удаление данных», это право позволяет физическому лицу запрашивать удаление своих персональных данных, собранных организацией, из всех систем, которые их используют или предоставляют к ним общий доступ.
Запрашивать ограничение обработки своих данных. Физическое лицо может попросить вас скрыть свои данные или ограничить к ним доступ. Однако это право применяется только при определенных обстоятельствах.
Запрашивать перенос своих данных. Физическое лицо может попросить вас передать свои данные в другую организацию.
Заявлять о возражении. Физическое лицо может высказать возражение против использования своих данных для различных целей, включая адресный маркетинг.
Требовать не подвергать свои данные автоматизированной обработке, включая определение профиля. В GDPR предусмотрены строгие правила использования данных для определения профилей людей и автоматизации решений на основе этих профилей.
Действия по подготовке к GDPR
В этом разделе описываются действия, которые может предпринять малое предприятие, чтобы подготовиться к GDPR. Большая часть сведений об этих действиях взята из публикации, подготовленной Бюро публикаций Европейского союза, — Семь шагов, которые может предпринять организация, чтобы подготовиться к Общему регламенту по защите данных.
Лучший способ для малого предприятия начать работу с GDPR — это обеспечить применение указанных ниже ключевых принципов при сборе персональных данных.
Действие 1. Узнайте, какие персональные данные собирает и использует ваша организация и в каких целях это делается
Одним из первых действий, которые должно предпринять малое предприятие, является проведение инвентаризации собираемых и используемых персональных данных, а также целей этих действий. Это относится к данным как сотрудников, так и клиентов.
Например, вам могут понадобиться персональные данные ваших сотрудников на основании трудового договора или по юридическим причинам (например, для предоставления налоговой отчетности в налоговую службу).
В качестве другого примера можно привести необходимость управлять списками клиентов, чтобы отправлять уведомления о специальных предложениях, если они дали на это согласие.
Функции Microsoft 365, которые могут помочь
Используйте Microsoft Information Protection в Microsoft 365 для поиска, классификации и защиты конфиденциальных данных в вашей организации. С помощью обучаемых классификаторов можно выявлять и маркировать документы, содержащие персональные данные.
Действие 2. Сообщите своим клиентам, сотрудникам и другим физическим лицам о необходимости сбора их персональных данных
Физические лица должны знать, что вы обрабатываете их персональные данные и зачем вы это делаете. Например, если клиенту необходимо создать профиль для доступа к веб-сайту вашей организации, укажите, как вы собираетесь использовать его данные.
Однако нет необходимости информировать физических лиц, если они уже знают, как вы будете использовать их данные. Например, когда они предоставляют домашний адрес для доставки заказанного товара.
Вы также должны информировать физических лиц по запросу о хранящихся у вас персональных данных и предоставлять им доступ к этим данным. Систематизация данных облегчает их предоставление в случае необходимости.
Действие 3. Храните персональные данные только до тех пор, пока в этом есть необходимость
Данные сотрудников необходимо хранить до тех пор, пока сохраняются трудовые отношения и связанные с ними юридические обязательства. Данные клиентов необходимо хранить до тех пор, пока существуют отношения с клиентами и связанные с ними юридические обязательства (например, необходимость уплаты налогов). Удалите данные, если цели их сбора и использования утратят свою актуальность.
Функции Microsoft 365, которые могут помочь
Используйте политики и метки хранения, чтобы обеспечить хранение персональных данных в течение определенного периода времени и удалять их, если в них больше не будет необходимости.
Действие 4. Защитите персональные данные, которые вы обрабатываете
При хранении персональных данных в ИТ-системе ограничьте доступ к файлам, содержащим эти данные, с помощью надежного пароля. Регулярно обновляйте параметры безопасности вашей системы.
GDPR не предписывает использование определенных ИТ-систем, но требует, чтобы система имела соответствующий уровень безопасности. Дополнительную информацию см. в статье Статья 32 о GDRP: безопасная обработка данных.
При хранении бумажных документов, содержащих персональные данные, убедитесь, что они недоступны для посторонних лиц.
При хранении персональных данных в облаке, например в Microsoft 365, вы можете воспользоваться функциями безопасности, такими как управление разрешениями на доступ к файлам или папкам, защищенные централизованные расположения для хранения файлов (например, библиотеки документов OneDrive или SharePoint) и шифрование данных при отправке и получении файлов.
Функции Microsoft 365, которые могут помочь
Используйте Защиту от потери данных (Майкрософт), чтобы защитить конфиденциальные данные в вашей организации. Политику защиты от потери данных можно настроить с помощью шаблона GDPR.
Действие 5. Обеспечьте сохранность документации по обработке данных
Подготовьте краткий документ, описывающий типы сохраняемых персональных данных и цели их использования. При необходимости предоставьте документацию в государственный орган по надзору за соблюдением законодательства о защите персональных данных.
Такие документы должны включать указанные ниже сведения.
| Информация | Примеры |
|---|---|
| Цель обработки данных | Уведомление клиентов о специальных предложениях, например о возможности доставки товара на дом, оплата услуг поставщиков, начисление заработной платы и социальное обеспечение сотрудников |
| Типы персональных данных | Контактные данные клиентов, контактные данные поставщиков и данные сотрудников |
| Затрагиваемые категории субъектов данных | Сотрудники, клиенты и поставщики |
| Категории получателей | Министерство труда и социальный защиты, налоговые органы |
| Сроки хранения | Персональные данные сотрудников до окончания трудового договора (и связанных с ним юридических обязательств), персональные данные клиентов до окончания клиентских или договорных отношений |
| Технические и организационные меры по защите персональных данных | Регулярное обновление ИТ-систем, защищенное расположение, управление доступом, шифрование данных и резервное копирование данных |
| Передача персональных данных получателям за пределами ЕС | Использование обработчика данных за пределами ЕС (например, хранение в облаке), расположение обработчика данных, договорные обязательства |
Договорные обязательства корпорации Майкрософт в отношении GDPR можно найти в Приложении по защите данных при использовании веб-служб Майкрософт. В этом приложении описаны обязательства корпорации Майкрософт по обеспечению конфиденциальности и безопасности, условия обработки данных и условия GDPR для служб, размещаемых на серверах Майкрософт, на которые подписываются клиенты в соответствии с соглашением о корпоративном лицензировании.
Действие 6. Убедитесь, что ваши субподрядчики соблюдают правила
Если вы передаете обработку персональных данных другой компании, используйте только поставщика услуг, который гарантирует обработку данных в соответствии с требованиями GDPR (например, меры безопасности).
Действие 7. Назначьте специалиста, ответственного за обеспечение защиты данных
Для обеспечения надежной защиты персональных данных организациям может потребоваться назначить специалиста по защите данных. Если обработка персональных данных не является основной частью вашей деятельности или если вы владеете малым предприятием, назначение специалиста по защите данных может не потребоваться. Например, если ваша организация собирает данные о ваших клиентах только для доставки товаров на дом, назначать специалиста по защите данных не нужно. Даже если возникнет необходимость в специалисте по защите данных, можно назначить его обязанности имеющемуся сотруднику в дополнение к его задачам. В случае необходимости можно нанять внешнего консультанта для выполнения этих обязанностей.
Обычно Оценка влияния на защиту данных не требуется. Такая оценка необходима организациям, деятельность которых представляет большой риск для персональных данных (например, если они проводят комплексный мониторинг общедоступной области — видеонаблюдение).
Если вы владеете малым предприятием, начисляющим зарплату сотрудникам и управляющим списком клиентов, вам, как правило, не нужно проводить оценку влияния на защиту данных.
Вопросы и ответы о соблюдении требований GDPR малыми предприятиями
Я являюсь индивидуальным предпринимателем, нужно ли мне беспокоиться о GDPR?
Регламент GDPR устанавливает правила обработки данных, а не количество нанимаемых сотрудников. Он затрагивает компании всех размеров, даже индивидуальных предпринимателей. Однако для компаний, количество сотрудников которых составляет менее 250 человек, предусмотрены некоторые исключения, например упрощенное ведение записей, но только в том случае, если вы уверены, что обработка данных не нарушает права физических лиц и носит случайный характер.
Например, обработка неличных данных является исключением и требует принятия упрощенных мер. Однако при обработке данных, являющихся «конфиденциальными данными особой категории», даже если обработка носит случайный характер, необходимо регистрировать факт обработки таких данных. Определение «случайной обработки» является расплывчатым, но оно применяется к данным, используемым один раз или редко.
Вы также должны обеспечить защиту собираемых персональных данных. Для этого необходимо зашифровать собираемые персональные данные и ограничить к ним доступ хотя бы с помощью пароля. Хранение данных клиентов в электронной таблице на рабочем столе без защиты не соответствует требованиям GDPR.
Как определить, что веб-сайт организации соответствует требованиям GDPR?
Первый вопрос, который нужно себе задать: «Собираются ли персональные данные на веб-сайте моей организации?» Например, на сайте вашей организации может присутствовать контактная форма, в которой запрашивается имя и адрес электронной почты. Если вы хотите отправлять электронные сообщения с рекламой, добавьте поле для флажка «подписаться» и сведения о целях использования данных. Только если получатель установит этот флажок, вы сможете использовать его персональные данные в целях маркетинга.
Также необходимо обеспечить защиту базы данных, в которой хранятся данные. Компания, предоставляющая услуги по размещению данных, или поставщик облачных хранилищ смогут проконсультировать вас по этому вопросу. Использование Microsoft 365 для бизнеса гарантирует хранение данных в соответствии с требованиями GDPR.
Моя организация находится за пределами Европы. Необходимо ли соблюдать требования GDPR?
GDPR — это регламент, который защищает граждан ЕС. Если ваша организация сотрудничает с гражданами ЕС или вы надеетесь на это в будущем, вам необходимо соблюдать этот регламент. Этот регламент распространяется как на граждан ЕС, проживающих в Европейском союзе, так и на граждан ЕС, проживающих в другом месте.
Рассмотрим следующие примеры.
Американская компания, которая сдает автомобили в прокат гражданам ЕС, должна соответствовать требованиям GDPR при сборе и обработке данных клиентов. Компания должна получить согласие на сбор данных клиентов и обеспечить их безопасное хранение. Компании также необходимо обеспечить соблюдение всех прав субъекта данных.
Австралийская компания продает товары в Интернете, и ее пользователи создают учетные записи для совершения покупок через Интернет. Права субъекта данных GDPR и согласие должны применяться к гражданам ЕС, создающим учетные записи. Компании также необходимо обеспечить соблюдение всех прав субъекта данных.
Международная благотворительная организация собирает данные о донорах и использует их для рассылки сообщений и запросов на пожертвования. В GDPR говорится: «. обработка персональных данных в целях целевого маркетинга может рассматриваться как осуществляемая в законных интересах.» Однако на организации лежит ответственность за то, чтобы доказать, что ее интересы имеют приоритет перед интересами субъекта данных. Компания (или, в данном случае, благотворительная организация) всегда должна получать явное и информированное согласие на обработку персональных данных.
GDPR также применяется при перемещении данных клиентов через границы. Если вы используете облачные вычисления для хранения данных, вам необходимо обеспечить полное соответствие службы требованиям GDPR. Это может оказаться сложным, если хранилище данных находится в месте с плохой защитой данных. При использовании Microsoft 365 для бизнеса вы получите доступ к соответствующей юридической документации для обеспечения соответствия требованиям GDPR.
Я собираю данные, но их хранит другая организация. Освобождает ли это меня от необходимости соблюдать требования GDPR?
Согласно GDPR, если вы собираете данные, вы подпадаете под действие некоторых его требований. GDPR вводит понятия обработчика данных и управляющего данными.
Управляющий данными — это физическое лицо или организация (у вас могут быть совместные управляющие), которые определяют способы и цели сбора данных, а также типы собираемых данных. Они могут хранить собираемые данные на облачных серверах другой организации. Например, веб-сайт, собирающий данные о клиентах, является управляющим данными.
Обработчик данных — это физическое лицо или организация, которые хранят и обрабатывают данные по запросу управляющего данными. Например, хранилище данных в Приложениях Microsoft 365 для бизнеса является обработчиком данных и полностью соответствует требованиям GDPR.
Организация или система могут одновременно выступать в качестве управляющего данными и обработчика данных. Microsoft 365 для бизнеса можно использовать в качестве управляющего данными и обработчика данных при полном соблюдении требований GDPR.
Можно ли по-прежнему рассылать сообщения с рекламой старым клиентам?
Вы должны убедиться, что ваши клиенты, даже те, которые у вас были в течение многих лет, дали согласие на использование своих данных в целях маркетинга. Возможно, вы ранее получили согласие и у вас есть подтверждающие записи. Если это так, вы можете продолжать рассылать сообщения с рекламой. Если нет, вам нужно получить согласие клиентов, чтобы продолжить присылать им сообщения с рекламой. Обычно это предполагает отправку сообщения вашим клиентам с просьбой перейти на ваш сайт и выбрать вариант согласия на получение сообщений в будущем.
Нужно ли задаваться вопросом о GDPR при найме новых сотрудников? Как действовать в отношении имеющихся сотрудников?
Требования GDPR распространяются не только на данные клиентов, но и на данные сотрудников. Новых сотрудников часто находят с помощью социальных сетей, например LinkedIn. Убедитесь, что вы не храните данные о потенциальных новых сотрудниках без их явного согласия.
Что касается имеющихся сотрудников и договоров с новыми сотрудниками, подпись в конце договора необязательно предполагает согласие, особенно если в договоре используется условие в неутвердительной форме. В этом случае необходимо получить явное согласие в отношении этого условия. Что это означает на практике, зависит от вашего договора с сотрудником, но в некоторых случаях вы можете использовать «законный интерес» и добавить уведомление об обработке данных, чтобы проинформировать сотрудников о целях обработки их данных.
Обеспечение конфиденциальности данных с помощью Microsoft 365 для бизнеса
Соблюдение требований GDPR подразумевает обеспечение защиты персональных данных. В GDPR есть понятие, известное как конфиденциальность по умолчанию. Оно означает, что защита данных должна быть «встроена» в систему и продукт, чтобы обеспечение конфиденциальности стало обычным делом.
Крупные и малые предприятия нуждается в удобстве, не жертвуя безопасностью. Microsoft 365 для бизнеса предназначен для организаций, имеющих не более 300 сотрудников. Небольшие организации могут использовать облачные средства Майкрософт для повышения производительности своего бизнеса. С помощью Microsoft 365 для бизнеса небольшие организации могут управлять электронной почтой, документацией, собраниями, мероприятиями и не только! В Microsoft 365 для бизнеса также предусмотрены встроенные меры безопасности и возможность управления устройствами, что имеет очень важное значение для обеспечения соответствия требованиям GDPR.
Microsoft 365 для бизнеса может помочь вам обеспечить соответствие требованиям GDPR следующим образом.
Обнаружение. Важным шагом к обеспечению соответствия требованиям GDPR является знание того, какие данные имеются в вашей организации.
Управление. Управление доступом к данным и контроль их использования являются неотъемлемой частью GDPR. Microsoft 365 для бизнеса защищает бизнес-данные на основе политик, применяемых к устройствам. В эпоху, когда сотрудники работают удаленно, возможность управления устройствами становится жизненно важной. Microsoft 365 для бизнеса включает функции управления устройствами, которые обеспечивают защиту данных на всех устройствах. Например, вы можете указать, чтобы все устройства с Windows 10 в вашей организации были защищены с помощью Защитника Windows.
Защита. Решение Microsoft 365 для бизнеса создано для обеспечения безопасности. Элементы управления устройствами и защиты данных Microsoft 365 для бизнеса работают в вашей корпоративной сети, включая удаленные устройства, для обеспечения безопасности ваших данных. Microsoft 365 для бизнеса предлагает такие функции, как настройка конфиденциальности в приложениях Office и шифрование документов. Microsoft 365 для бизнеса позволяет отслеживать соответствие требованиям GDPR, обеспечивая необходимый уровень защиты.
Создание отчетов. В GDPR большое внимание уделяется отчетности. Даже предприятие с одним сотрудником, если оно обрабатывает большие объемы данных, должно документировать свои процедуры обработки данных и отчитываться о них. Microsoft 365 для бизнеса берет на себя выполнение требований по предоставлению отчетности.
Такие инструменты, как журналы аудита, позволяют отслеживать данные и сообщать об их перемещении. Отчеты включают сведения о классификации собираемых и сохраняемых данных, сведения о действиях с данными и сведения об их передаче.
Клиенты и сотрудники все больше осознают важность конфиденциальности данных и теперь ожидают, что компания или организация будет обеспечивать эту конфиденциальность. Microsoft 365 для бизнеса предоставляет инструменты для достижения и поддержания соответствия требованиям GDPR без серьезных потрясений для вашего бизнеса.
Дальнейшие действия
Чтобы подготовиться к GDPR, рекомендуется выполнить следующие действия.
Исследуйте Microsoft 365 для бизнеса как решение для достижения и поддержания соответствия требованиям GDPR.
Получите юридическую консультацию, соответствующую вашей компании или организации.
Согласие на обработку данных по GDPR: подробный разбор
Статья представляет собой краткую выжимку и мою интерпретацию Руководства по согласию в соответствии с Регламентом 2016/679 (Guidelines on consent under Regulation 2016/679) («Руководство») и некоторых документов, на которые есть ссылки в Руководстве.
Как правильно оформить
Согласие на обработку персональных данных – это средство безопасности, которое дает вашей компании свободу (пусть и ограниченную) в сфере обращения с персональными данными.
Существуют базовые условия, которым должно отвечать согласие на обработку персональных данных. Несоблюдение любого из них может привести к ситуации, когда полученное согласие окажется полностью или частично недействительным, а ваша компания – под угрозой штрафов.
Штрафы GDPR за неправильно оформленное согласие: до 20 млн. евро или 4 % от глобального оборота компании за предшествующий финансовый год, в зависимости от того, что выше (Статья 83(5)(a) Регламента).
Четыре базовых условия правильно оформленного согласия: согласие дается свободно, является конкретным, информированным и выражено недвусмысленно. Дополнительное, пятое условие: согласие должно быть явно выраженным при особых обстоятельствах.
Рассмотрим каждое из условий подробнее.
Согласие дается свободно
Согласие считается данным свободно, если у владельца персональных данных есть реальный выбор, дать его или нет, и на каких условиях. Для определения степени свободы применяются критерии: привязки к условиям, дисбаланса возможностей (или полномочий) между владельцем данных (частным лицом) и контролером (тем, кто их обрабатывает); возможности дробления целей, в отношении которых дается согласие; негативных последствий отказа дать согласие.
Привязка к условиям
Согласие не является свободным, если согласие представляет собой часть договора, которая не подлежит обсуждению или изменению по инициативе владельца данных. Обрабатываемые данные не являются необходимыми для оказания услуги или заключения (выполнения) договора. Без дачи согласия человек не может получить основную услугу, заключить или исполнить договор. Или же услуга будет оказана в усеченном виде, на более худших условиях (например, ограниченный функционал).
Если договор допускает обсуждение или изменение его условий, размещение текста согласия в тексте договора вместе с иной информации все равно считается неправильным способом информирования о запросе согласия. Подробнее см. Согласие является информированным.
Пример из Руководства: Сервис по редактированию фотографий запрашивает согласие на обработку геолокационных данных о месте нахождения человека. Сервис уведомляет пользователя, что данные о месте нахождения собираются в целях изучения поведения пользователя и рекламирования товаров и услуг. Очевидно, что сама по себе услуга редактирования не требует сбора геолокационных данных, и в этом случае выданное согласие может быть признано недействительным.
На мой взгляд, в ситуации, описанной выше, допустимы исключения. Геолокационные данные для сервиса обработки фотографий могут быть включены в согласие, если предоставляется отдельная услуга редактирования фотографий с привязкой к местности, в которой была сделана фотография. Представим, что пользователю интересно, чтобы сервис сам указывал на фотографии точное название местности, где она была сделана. Это возможно в режиме реального времени (автоматическое редактирование в момент снимка) или пользователь соглашается, что сервис будет запоминать место, в котором была сделана фотография, и затем будет предлагать название местности для редактирования.
Во всех случаях, когда планируется обработка данных, выходящих за пределы явно и однозначно необходимых для предоставления сервиса или заключения/выполнения договора, такая обработка должна быть связана с оказанием дополнительной услуги. Несогласие с обработкой дополнительных данных, не нужных для работы основного сервиса, может приводить только к невозможности использования дополнительного сервиса, но не основного.
В более выгодном положении всегда находятся органы власти и им подобные структуры. Дисбаланс возможностей присутствует в отношениях работодателя и работника. Регламент и Руководство рассматривают человека, который дает согласие, как изначально находящегося в неравных условиях. Если ваша компания принимает на работу (в любой форме) частное лицо из Евросоюза, к оформлению его согласия на обработку персональных данных необходимо относится очень серьезно. Это особенно актуально для компаний, активно использующих перевод сотрудников в офисы в странах Евросоюза. Таким компаниям стоит иметь в виду, что их сотрудники из России, Украины или других стран СНГ, получая легальный статус для пребывания в ЕС, автоматически подпадают под защиту правил GDPR.
Пример: Часто применяемый для программистов (и иных удаленных сотрудников) способ учета рабочего времени через регулярные скриншоты с монитора. Для исключения или хотя бы минимизации риска принуждения сотрудника к согласию на отслеживание данных с его экрана, желательно в любой договор с таким сотрудником или независимым исполнителем (подрядчиком) включать условие о мониторинге рабочего времени через данные экрана. В этом случае обработка полученных данных будет проводиться уже не на основании согласия, а на другом легитимном основании – необходимости выполнения заключенного договора (Статья 6(1)(b) Регламента).
Если же данное условие по какой-либо причине не включено в договор, то при получении согласия вашего сотрудника необходимо будет обосновать, что такая практика является широко распространённой в среди работодателей: Заключение 15/2011 об определении согласия / Opinion 15/2011 on the definition of consent. При всей очевидности для вас этого факта, не гарантировано, что при конфликте контролирующий орган не потребует каких-то документальных подтверждений такой практики.
В соответствии с Правом Европейского Союза, заключения не относятся к обязательным для применения нормам права. Вместе с тем, они содержат определенные примеры и толкования правил Регламента. Заключения предоставляют всем участникам обработки персональных данных лицам и государствам ЕС унифицированный подход к применению норм GDPR. (Даже если заключения были выпущены до принятия GDPR, они послужили основной для разработки Регламента и могут приниматься во внимание контролирующими органами и судами).
Я бы рекомендовал всегда заранее обсуждать вопросы мониторинга с сотрудником. Желательно убедиться, что использование скриншотов не будет вынужденным для него и не повлияет на случайный сбор каких-либо персональных данных, не требующихся для выполнения работы по договору.
Пример: Сотрудник вынужден использовать личный компьютер не только для работы на вашу компанию, но, скажем, и для наблюдения за инвалидом, или престарелым членом семьи в режиме реального времени. В этой ситуации лучше обеспечить его дополнительным, рабочим компьютером. Иначе вы рискуете случайно собрать данные о третьих лицах. Просто же ограничить сотрудника в праве использовать Интернет или внутреннюю сеть для личных нужд нельзя, такое ограничение требует серьезных оснований.
(Подробнее о нюансах обработки персональных данных в электронных коммуникациях можно узнать из Рабочего документа по наблюдению за электронными коммуникациями на рабочем месте / Working document on the surveillance of electronic communications in the workplace).
В любых отношениях, где присутствует дисбаланс возможностей, лучше избегать обработки данных на основании согласия. Вместо использования согласия старайтесь тщательнее продумать ваши бизнес-процессы и указывать случаи обработки персональных данных в договорах, которые вы заключаете. Согласие зачастую является сложным в оформлении и неудобным инструментом в системе «работодатель — работник». Вашей компании придется всегда быть готовой пройти тест на свободу воли ваших сотрудников при выдаче согласия.
Перечень случаев дисбаланса открытый и не ограничен работодателями или органами власти. Дисбаланс возможностей между вашей компанией и частным лицом из Евросоюза может быть там, где отказ от дачи согласия на ваших условиях ведет к любым негативным последствиям для такого лица. В том числе, к дополнительным материальным издержкам.
Пример: Ваша компания продает товары или предоставляет сервисы, которые сложно заменить в силу и уникальности или даже вашей более выгодной цены по сравнению с конкурентами. Отказ в даче согласия на ваших условиях не позволит покупателю из Евросоюза выгодно купить у вас данный товар или воспользоваться вашим сервисом. В результате, ему придется заплатить за них дороже другому поставщику.
Если есть возможность разделить цели получения согласия – их нужно разделить. Как правило, такая возможность всегда есть. У человека должен быть простой и понятный выбор: дать или не дать согласие по конкретной цели обработки.
Пример: Пользователь согласен, чтобы вы рассылали ему сведения об обновлении вашего программного продукта. Но не согласен, чтобы вы передавали его данные вашим партнерам. В такой ситуации нельзя формулировать запрос вот так:
«В целях обновления продукта я настоящим соглашаюсь на получение от /. / уведомлений о выходе новых версий, в том числе получать уведомления об обновлённом/добавленном функционале, реализуемом партнерами /. /, для чего соглашаюсь с тем, что /. / может передавать мои персональные данные своим партнерам по своему выбору».
Я рекомендую при получении согласия (и в целом при обработке на любых иных основаниях) максимально дробить (детализировать) виды собираемых данных, цели их получения и всю иную необходимую информацию. Это поможет вам не только избежать обвинений в сборе данных неким массивом, без конкретизации, но и понять, что и зачем вы собираете, используете и храните, как долго это нужно хранить. При получении любых запросов на изменение или удаление данных вы всегда сможете оперативно их изменить или удалить, без вреда для остальных данных.
Если же вы включили персональные данные в единый документ (договор или какую-либо громоздкую форму, анкету и т.п.), то для их удаления или изменения вам потребуется выполнить множество формальностей. Начиная от повторного подписания (одобрения) такого документа у самого владельца данных, до повторного прохождения процедуры согласования внутри собственной компании.
Их не должно быть. Человек может отказаться дать согласие в отношении персональных данных, которые явно не являются необходимыми для оказания ему какой-либо услуги, исполнения договора. И это не должно приводить к отказу в оказании ему услуги или к ее оказанию на худших условиях.
Избежать негативных последствий просто. Повторюсь, что любые данные, которые не нужны для работы основного сервиса, могут обрабатываться на основании согласия, даваемого в отношении какой-либо дополнительного сервиса или дополнительной привилегии (льготы, скидки и пр.), которую предоставляет ваша компания. Я бы рекомендовал для тех данных, которые вы хотите собрать и обрабатывать, но не уверены, точно ли они необходимы для работы основного сервиса, выделить из основного функционала какой-то дополнительный (если это технически возможно). И привязать получение дополнительных данных к возможности получить расширенный функционал.
Согласие является конкретным
Конкретность обеспечивается соблюдением следующих условий:
Рассмотрим, как правильно указывать и формулировать цели обработки данных в соответствии с Регламентом. Рекомендации по определению целей можно найти в Заключении 03/2013 по ограничению целей (Opinion on purpose limitation).
Цель обработки не должна быть сформулирована неявно (размыто) или слишком обобщенно. В частности, формулировки «улучшение пользовательского поведения», «в маркетинговых целях», «в целях безопасности информационных технологий» или «для будущих исследований» обычно не являются правильными в рамках GDPR. В то же время, Заключение 03/2013 рекомендует всегда сверяться с каждым конкретным случаем получения согласия. Излишняя детализация может привести к обратному эффекту – информация о цели дачи согласия будет перегружена сложными для понимания терминами. Это, в свою очередь, нарушит одно из фундаментальных требований Регламента – использовать понятный и простой язык любых документов по обработке персональных данных.
В Приложении 3 к Заключению 03/2013 приводятся примеры, как можно формулировать цели в зависимости от ситуации.
Пример A: Местный магазин, торгующий одеждой и рассылающий свои каталоги о новых коллекциях ограниченному количеству местных жителей. В этом случае допускается указать просто «маркетинг» в качестве цели для сбора данных об именах, адресах и телефонах клиентов, т.к. у магазина ограниченный круг покупателей, все покупатели хорошо понимают, что речь идет только о получении каталога с одеждой. При этом каталог позволяет купить коллекции, которые еще не поступили в широкую продажу и не доступны другим покупателям. Т.е. речь идет о дополнительной услуге, отказавшись от которой покупатели все равно смогут приобрести ту же одежду, только позднее.
Пример B: Если речь идет о глобальной торговой площадке, собирающей множество данных и использующей сложную аналитику пользователей и их поведения для таргетированной рекламы и персональных предложений, необходимо детализировать каждую цель обработки данных; в том числе, указать критерии принятия автоматизированных решений на основе профилей пользователей.
Заключение 03/2013 советует применять многоуровневые или «слоеные» (layered) уведомления о целях обработке данных, а именно:
Пример C: На здании размещены таблички, позволяющие немедленно уведомить посетителей о том, что ведется видеонаблюдение. Таблички содержат краткую информацию об обработке: ссылку на веб-сайт и/или имя компании, ответственной за нее. На самом же сайте размещена подробная Политика, регламентирующая обработку данных и права владельцев персональных данных. Такой прием позволяет в дружественной и простой манере оперативно информировать об обработке персональных данных.
Многоуровневый способ информирования сегодня применяется все большим числом офф- и онлайн сервисов. Например, при телефонном разговоре с банками воспроизводится автоматическое уведомление о записи разговора. При заходе на страницу веб-сайта посетитель видит короткое уведомление о сборе куки, в котором содержится ссылка к Политике конфиденциальности или же к Политике обработке куки. Если дальнейшие действия посетителя веб-сайта предполагают сбор иных данных (например, при заполнении формы), вновь запрашивается согласие на обработку и дается ссылка на документ с подробной информацией.
Согласие является информированным
Руководство рекомендует минимальный набор сведений, которые должен получить владелец данных перед тем, как дать свое согласие. Это информация о:
Во-первых, информация о том, кто собирает и/или обрабатывает данные. Я рекомендую, чтобы эта информация была легко доступна из запроса на дачу согласия, и была бы достаточна для идентификации в соответствии с личным законом соответствующего государства, применимым к той или иной компании. Нужно убедиться, что на сайте или в Политике конфиденциальности есть прямое указание наименования, адреса и/или идентификационных номеров вашей компании. Указать просто фирменное наименование вашей компании недостаточно. Если же данные будут обрабатываться группой компаний, нужно перечислить все компании такой группы.
Под личным законом понимается закон государства, которым регулируется статус юридического или иного лица, определяется требования к наименованию, порядку регистрации, и т.д.
Рекомендуется выделять текст согласия соответствующим заголовком.
Пример: Для сервисов мобильных приложений, где размер экрана существенно затрудняет прочтение документов, особенно таких, как лицензии на пользование сервисом и пр., я бы рекомендовал запрос на согласие вынести в отдельную страницу (экран). Не беда, если ваше приложение дважды или трижды запросит пользователя проставить отметки в чек-боксе о согласии на обработку их данных, и о согласии с условиями лицензии. Хуже, если вы сделаете согласие разделом в конце многостраничного документа, пролистать (не говорю уже о «прочитать») который даже до середины сможет не каждый. Тогда есть риск, что ваш запрос будет признан ущербным с точки зрения надлежащего информирования, а само согласие – несвободным.
Согласие выражено недвусмысленно
Это требование тесно связано с требованием об информированности и, в частности, со способом информирования / запроса на дачу согласия. Согласие должно быть дано путем заявления или четкого утвердительного действия. Молчание или бездействие не может считаться согласием. В этом случае предполагается, что согласие не дано.
Формы согласия (путем заявления) включают в себя не только заявления в письменной форме. Это может быть все что угодно, в том числе запись устных переговоров. При записи разговора обязательно информирование о сборе данных и о том, что запрашивается согласие.
Встречаются ситуации, когда сервис или веб-сайт запрашивает согласие онлайн через заранее отмеченный чек-бокс, и что-то вроде кнопки «Далее». Вместо собственноручного проставления отметки о согласии используется отметка, проставленная сервисом (веб-сайтом) по умолчанию. Здесь согласие считается выраженным неопределенно, т.к. для отказа от согласия пользователю онлайн сервисов необходимо провести отмену заранее предустановленных одобрений.
Часто такими предустановленными чек-боксами «грешат» сервисы по бронированию билетов, отелей и прочие. Одновременно с бронированием билета они проставляют ваше согласие с покупкой страховок от отмены рейса, потери, страхование жизни и прочие услуги. Оставим за рамками данной статьи законность такого способа продажи дополнительных услуг. Важно то, что даже если клиент согласится (случайно) с покупкой такой страховки, вряд ли он мог дать свое информированное и недвусмысленное согласие на передачу своих данных третьим лицам (страховым компаниям и прочим).
Согласие должно быть явно выраженным при особых обстоятельствах
Для ряда случаев Регламент GDPR требует, чтобы согласие было явно выраженным. Как правило, это ситуации сбора специальных категорий данных (например, о здоровье), передачи в третьи страны без адекватного уровня защиты персональных данных, или принятия автоматизированных решений в отношении владельца данных. Здесь рекомендуется (хотя не требуется в жесткой форме) оформлять согласие в виде документа (формы), подписанного владельцем данных. Согласие может выражаться и иными способами: направлением фото документа, электронного письма и т.д. Допускается фиксировать согласие путем записи устных переговоров, если во время разговора сообщается вся необходимая информация.
Пример из Руководства: Для специальных ситуаций рекомендуется применение двух- или многоуровневых подтверждений согласия. Например, в отдельном электронном письме указывается, для каких специальных целей запрашивается согласие, какие данные будут обрабатываться. Пользователя просят направить ответное письмо со словами «Я согласен». Это позволяет убедиться, что пользователь не случайно проставил отметку в чек-боксе или направил ответное письмо, не дочитав запрос до конца.
Отзыв согласия
Как лучше реализовать механизм отзыва согласия
Помните, что отзыв согласия должен быть реализован таким же легким способом, каким давалось согласие. Хотя Регламент не требует, чтобы механизм отзыва согласия на 100 % совпадал с механизмом его подтверждения.
Пример из Руководства: При покупке билетов на музыкальный фестиваль согласие на обработку данных в целях маркетинга подтверждалось путем клика «Да» или «Нет». Но для отзыва согласия требуется позвонить в офис продавца билетов с 8 утра до 5 вечера. Это недопустимая ситуация в рамках GDPR, нарушающая условие о легкости отзыва согласия.
Не забывайте, что информация о праве человека отозвать свое согласие должна быть предоставлена ему до получения согласия, в самом запросе о согласии. Одновременно, необходимо сообщить, как реализовать это право. Это означает, что самый простой и эффективный способ сообщить об этом – просто предложить механизм отзыва в самом тексте запроса, в личном кабинете, в мобильном приложении или в ином сервисе. Механизм отзыва согласия должен быть интуитивно понятным человеку.
«Механизм отзыва согласия должен быть интуитивно понятным человеку» — тот случай, когда опытный UX-designer просто необходим.
Пример: Использование в электронных письмах ссылки «Отписаться от рассылки» («Unsubscribe») для отказа от получения уведомлений – простой и удобный способ. Он позволяет быстро найти любое письмо и отозвать согласие. Можно добавить отдельную кнопку или ссылку в личном кабинете пользователя. С понятным текстом, вроде «Отказаться от обработки персональных данных». Далее вы можете или просто удалить все данные пользователя, или же предложить ему опции, какие данные удалить, а какие оставить.
Очевидно, что какие-то оставшиеся данные в отсутствие удаленных данных могут стать бесполезными. Об этом нужно заранее предупредить пользователя, что будут удалены все связанные данные, а не только выбранные.
Пример: Можно отдельно удалить данные платежной карты клиента интернет-магазина без ущерба для контактных данных. Но если удалить все контактные данные, включая ФИО пользователя, то данные платежной карты без них не нужны. Так как не понятно, кому и куда доставлять товар.
Что делать после отзыва согласия
После отзыва согласия ваша компания должна незамедлительно остановить обработку таких данных, если нет иных оснований для ее продолжения. Все действия по обработке персональных данных, которые были совершены до момента отзыва согласия, считаются законными. Но только в том случае, если согласие было изначально оформлено правильно.
Пример: Данные, ранее полученные на основании согласия, впоследствии стали необходимы для выполнения условий заключенного договора или их необходимо хранить в соответствии с требованиями законодательства: налогового, финансового или трудового и любого другого (Статья 6(1)(b) Регламента).
Именно в такой ситуации становится очевидной польза от максимального дробления целей обработки данных и самих данных, которые вы можете собирать и обрабатывать. Разобравшись, какие данные и для каких целей вы обрабатываете, вы легко поймете, на каких основаниях должна вестись обработка: на основании согласия или же есть другие основания, не зависящие от него.
ВАЖНО! Нельзя произвольно менять основания обработки данных.
Это один из тонких моментов GDPR, на который указывается в Руководстве. Основание для обработки данных должно быть выбрано вашей компанией (и сообщено владельцу данных) до начала обработки. Нельзя произвольно менять основания обработки персональных данных.
Пример из Руководства: Если окажется, что согласие было оформлено с нарушением правил GDPR, и данные собирались на основании недействительного согласия, нельзя ретроспективно заменить согласие на иное основание; например – наличие законного интереса в ведении бизнеса через рекламные рассылки (Статья 6(1)(f) Регламента).
Здесь остается открытым вопрос, что делать, если вдруг согласие было оформлено неправильно, но данные вы обязаны хранить и передавать каким-либо контролирующим органам на основании требований местного закона? На мой взгляд, это может быть неустранимым риском, т.к. вам придется выбирать, что нарушить: местный закон или правила GDPR.
Запрет произвольной замены оснований для обработки данных показывает, насколько важно тщательно продумать бизнес-процессы в вашей компании перед тем, как приступить к обработке персональных данных в соответствии с GDPR.
Следует помнить, что при отозванном согласии, если ваша компания продолжает обрабатывать данные на ином основании и изменились цели обработки, вы обязаны уведомить об этом владельца персональных данных (Статьи 13 и 14 Регламента).
Согласие получено: как работать дальше
Здесь все просто. Нужны постоянный мониторинг и актуализация. Согласие – не статичный документ, а часть динамической системы данных. Любое изменение, связанное с получением новых данных или использованием уже имеющихся, но для иных целей (например, планируется передача третьим лицам), требует обновления ранее полученного согласия. Если вам удалось выстроить логичную систему обработки персональных данных, включая понятные связи между категориями (видами) данных, целями и основаниями их обработки, конкретными действиями по обработке, сроками и иными элементами, вам не составит труда оперативно запросить новое согласие. В идеале данный процесс должен быть автоматизированным.
Краткие выводы:
Можно оптимально подойти к согласию ваших пользователей, партнеров, клиентов, на обработку их персональных данных, если следовать известным в среде программистов принципам DRY, KISS и, особенно YAGNI. Если интерпретировать эти принципы на язык GDPR, то:
Дробите систему (т.е. согласие как единый документ или как набор подтверждений) на максимально простые элементы. Например, используйте чек-боксы напротив каждого вида персональных данных с пояснением цели обработки и/или ссылкой на конкретное место в Политике обработки персональных данных, дающее дополнительные сведения вашему пользователю. Это будет для всех удобным и понятным решением. Пользователь всегда может выбрать, с чем согласится, а с чем – нет.
Если нужно будет использовать собранные данные для новой цели, вы просто добавите эту новую цель (и отдельный чек-бокс для нее). Если что-то требует пояснения, можно дать прямую ссылку на разъясняющий текст. Предоставьте человеку возможность через сортировку легко найти цели обработки его данных, сроки хранения, кому и какие данные могут передаваться и на каких условиях. Большие документы желательно строить с использованием перекрестных ссылок, чтобы избежать повторения текста.
Четко формулируйте цели обработки персональных данных, в отношении которых вы хотите получить согласие их владельца. Пишите простым и понятным языком. Избегайте ненужных обобщений данных, целей их обработки, сроков хранения и пр. в единый пул/документ или несколько массивных пулов/документов. Не забывайте, что доступность и понятность документов обычному человеку, регламентирующих обработку персональных данных, – одно из фундаментальных требований в Регламенте GDPR.
Не собирайте больше данных, чем вам необходимо. Реально необходимо. Много данных, это не только ваш актив, но и пассив. Данные, в отношении которых вы получили согласие, требуют регулярного внимания. Это еще одно общее фундаментальное требование GDPR: персональные данные должны быть адекватными, связанными с целями обработки и необходимыми для них (пункт 39 Вводной части Регламента).
Уже собранные данные нужно регулярно проверять на актуальность, на соответствие целям обработки (цели могут изменяться, дополняться), обеспечивать безопасность хранения и удалять, как только они объективно становятся ненужными. Согласитесь, случайная утечка только паспортных данных или же данных платежных карт (не говоря о данных специальных категорий) влечет разные по тяжести последствия для самих людей и для вашей компании, ответственной за обработку этих данных.