Уже совсем немного времени осталось до 25 мая, когда вступит в силу важный документ ЕС – «Всеобщая регула о защите данных». Изменения затронут каждого предпринимателя, который для своей профессиональной деятельности обобщает, собирает и хранит различные данные: от информации о работниках до баз клиентских данных, видеоматериалов и т. п.

На семинаре Латвийской ассоциации недвижимости LANĪDA "Новый всеобщий регламент о защите данных. Защита личных данных и ее актуальные вопросы" Сигне Плуминя, руководитель центра защиты данных и ИТ-безопасности Рижской думы, рассказала, что Регула – совершенно новый документ, который был принят 4 мая 2016 года и начнет напрямую применяться во всем Евросоюзе с 25 мая 2018 года. В Латвии со вступлением в силу Регулы утратит силу прежний закон о защите данных физических лиц и правовые акты, изданные на его основании. Регула – это юридически более сильный документ, чем местные законы. Ее требования будут относиться и к странам, не входящим в ЕС, то есть к тем предприятиям, которые оказывают услуги на территории ЕС (требования о передаче данных за пределами ЕС также оговорены в регламенте).

Готовиться надо уже сейчас!

"Регламент вступает в силу с 25 мая, но есть несколько требований, которые должны быть введены раньше, и, если это не будет сделано, возможно, данные, которые будут храниться без соответствующего оформления (без проверки правомерности процессов), без идентификации конкретной цели, для которой они собираются и хранятся, придется удалять, потому что обработка данных может быть признана незаконной. Рекомендую предпринимателям провести своего рода аудит – общую оценку того, как на ваших предприятиях собираются, хранятся и обрабатываются данные. Нужно задать себе главный вопрос – зачем, с какой целью они собираются и каковы риски в хранении данных? Также до мая нужно пересмотреть и понять, ведутся ли в соответствии с требованиями регламента процедуры по обработке данных, формы, бланки и обучение работников. Проверьте договоры и внесите в них поправки или же заключите новые договоры (это надо сделать до 25.05.2018), юристы рекомендуют подготовить приложения к договорам, в которых оговорены новые требования", - предупредила С.Плуминя. Она добавила, что в договорах должны быть оговорены, как минимум, цель сбора данных, виды данных и категории субъектов данных, права и обязанности обеих сторон, а в сотрудничестве с партнерами – передача данных, хранение и степень ответственности каждого за потенциальные нарушения, то есть установлены сферы ответственности и требования безопасности (например, сертификаты), чтобы данные не попали в третьи руки и их обработка была безопасной. Это означает, что пересмотреть нужно все договоры, и, если они связаны со сбором, хранением и передачей личных данных, а необходимых пунктов в них нет, то до 25 мая необходимо внести изменения и дополнения.

"Если это не сделано, ответственным за нарушения будет конкретное предприятие, которому потенциально грозят очень суровые штрафы: предусмотрен административный штраф в размере до 10 млн. евро, или 2% от общего оборота, либо штраф в размере до 20 млн. евро или до 4% от оборота (для групп предприятий учитывается общий оборот). Эти штрафы могут быть применены к управляющему данными (юридическому или физическому лицу) и обработчикам, и, кроме того, возможно, придется платить компенсации физическим лицам", - отметила Плуминя.

К чему относится регламент?

Специалист разъяснила, что регламент относится к обработке личных данных (она может производиться устно, письменно, электронным способом, в форме звукозаписи, изображения), которая производится частично или полностью автоматизированными средствами, а также к мануальной обработке, если личные данные включаются в картотеку или являются ее частью. Согласно регламенту, личными данными считается любая информация, которая относится к идентифицированному или подлежащему идентификации физическому лицу (оно называется субъектом данных): по имени, фамилии, идентификационному номеру лица, данным о его местонахождении, онлайн-идентификатору, одному или нескольким факторам физической, физиологической, генетической, психической, культурной или социальной идентичности конкретного физического лица. Личными данными считается информация, связанная с частной, профессиональной или общественной жизнью физического лица. Обработкой личных данных являются любые связанные с совокупностью личных данных действия, выполняемые автоматизированными средствами или без них, например, сбор данных/информации, регистрация, организация, структурирование, хранение, приспособление или преобразование, возврат, рассмотрение, использование, разглашение путем отправки, распространения или иных способов, согласование или комбинирование, удаление или уничтожение.

Плуминя привела несколько примеров обработки личных данных: это может быть отбор любых личных данных в системах, составление личного дела работника, видеонаблюдение, копирование паспорта и других документов, просмотр электронной почты работников, получение информации о физическом лице из Регистра предприятий и других регистров, предоставление информации о работниках Службе государственных доходов, уничтожение, транспортировка, хранение документов и др.

Сферы, которые будут затронуты больше всего

С.Плуминя назвала пять сфер на предприятиях, которых в основном коснется регламент, а также обратила внимание на вопросы, которые предстоит решать.

Управление персоналом.  Предприятие должно обобщить все данные о работниках: не только личные дела и бухгалтерию, но и информацию в интранете, данные GPS по автомобилям, информацию в приложениях, электронной почте и др. Это же относится и к различным программам ИТ-мониторинга, контролю за помещениями (видеонаблюдение).
Информацию социальных сетей (Facebook и др.) в дальнейшем нельзя включать в процедуры подбора персонала, потому что она относится к частной жизни лиц, за исключением профессионально ориентированных соцсетей (Linkedin), а аккаунты работников в соцсетях работодатель может мониторить в специальных случаях (например, вопрос репутации предприятия), и это должно быть оговорено в правилах для работников или договорах. "Главный вопрос - имеет ли организация правовые основания для сбора и хранения таких данных", - сказала Плуминя, добавив, что до сих пор большинство жалоб поступало в надзорные организации от работников, нынешних и бывших, поэтому очень важно привести в порядок вопросы обработки данных.

Маркетинг и работа с клиентами.  Важно учитывать, было ли разъяснено, зачем нужны данные и как они будут обработаны, в момент получения согласия на использование личных данных клиентов. Плуминя обратила внимание на то, что согласие можно отозвать, за исключением случаев, когда обработка данных связана с выполнением договорных обязательств клиента.

Сфера ИТ.  Предприятие должно знать, какие системы содержат личные данные. Можно ли будет найти данные, если придет запрос от субъекта данных, и удалить данные, если возникнет такая необходимость? Происходит ли хранение и обработка данных безопасно как на самом предприятии, так и в облачных хранилищах? Можете ли вы идентифицировать инциденты с безопасностью и оценить их влияние на личные данные? Плуминя сообщила, что вводится новое требование – сообщить надзорному учреждению об инциденте с безопасностью (нарушении в защите личных данных) в течение 72 часов после обнаружения инцидента, если он создает риск для работников, клиентов и т.д. Поэтому должно быть ясно, сможет ли предприятие это обеспечить. На вопрос, считается ли инцидентом, если, к примеру, работник по невнимательности удалил данные, а позже ИТ-специалист вернул их, и нужно ли об этом сообщать, Плуминя ответила отрицательно. Сообщать нужно в том случае, если существует риск для субъекта данных (в том числе потенциальный), например, если данные стали доступны третьему лицу. Кроме того, если в течение 72 часов после обнаружения инцидента предприниматель (управляющий данными) не успеет сообщить, то санкции будут применены к нему, а не к тому, кто поддерживает ИТ-системы.

Закупки.  Если предприятие привлекло поставщика внешних услуг – обработчика данных (ИТ-компании, хранители внешних данных, бухгалтерские предприятия и предприятия по подбору персонала, курьеры, охрана и др.) - и этот поставщик услуг обрабатывает данные от вашего имени, нужно убедиться, что поставщик услуг предоставляет необходимые гарантии того, что технические и организационные меры будут выполняться в соответствии с регламентом, что он располагает необходимыми знаниями, репутацией и ресурсами. Специалист подчеркнула, что привлечение обработчика данных не освобождает от ответственности управляющего данными (предприятие, которое использует внешние услуги). Поэтому нужно привлекать такого обработчика данных, который предоставит достаточные гарантии соблюдения требований регламента и обеспечения защиты прав субъекта данных. Регламент выдвигает новые требования, которые должны войти и в договор с обработчиками данных – поставщиками внешней услуги: должны быть определены длительность обработки данных, характер обработки, ее цель и объем, виды данных, права и обязанности сторон. Договор должен включать и обязанности обработчика: безопасность данных, разрешение управляющему проводить аудит и получать информацию, а также условие, что дополнительные субподрядчики могут быть привлечены только с разрешения управляющего данными.
Плуминя сказала, что в дальнейшем лицо сможет обращаться в организацию, запрашивая информацию о том, какие данные имеются в ее распоряжении о конкретном лице, и организация в течение месяца должна дать ответ (за исключением случаев, когда требуется большой объем работы, тогда срок может составлять два месяца). Это означает, что предприниматель должен знать, какие данные о лице хранятся, и разработать процедуру – кто и как будет отвечать на запросы, особенно если обработкой и хранением данных занимаются внешние поставщики услуг, чтобы была возможность дать ответ в течение месяца. Если основная деятельность предприятия или обработчика данных состоит из таких действий по обработке данных, для которых необходимо регулярное и систематическое наблюдение за субъектами данных в широком масштабе, или же деятельность обработчика данных включает в себя широкомасштабную обработку особых категорий данных либо данных о судимости и нарушениях, то предприятие должно обязательно назначить специалиста по защите данных. Исключением в составлении регистра являются предприятия, на которых занято менее 250 человек и обработка данных ведется нерегулярно. Основные обязанности специалиста по данным состоят в том, чтобы информировать и консультировать предприятие, следить, являться контактным лицом для надзорного учреждения и субъектов данных (клиентов, работников и др.).

Участники семинара обратили внимание, что новые требования против легализации незаконно нажитых средств требуют сбора и хранения очень обширной информации о клиентах, и поинтересовались, как это согласуется с требованиями Регулы. Плуминя ответила, что это правомерное основание для сбора информации, поэтому оно законно.
Специалист обратила внимание, что, согласно регламенту, предприниматель доказывает правомерность сделок, а не надзорное учреждение должно доказывать, что были нарушения (в Латвии надзором занимается Государственная инспекция данных). Лучше всего, если в распоряжении предприятия есть письменные подтверждения (как при аудите), потому что письменные процедуры облегчают доказательство, сказала она. Те документы, срок хранения которых закончился, или данные, в которых больше нет необходимости, нужно уничтожать безвозвратно, так как ответственность за то, чтобы данные не попали в распоряжение третьих лиц, возлагается на предпринимателей.

С.Плуминя отметила, что поскольку регламент очень объемный и малому предпринимателю может быть проблематично понять все требования, общественные организации могут разработать кодекс действий, или руководство по защите данных, которое подпишут все члены ассоциации, обязуясь действовать согласно этому руководству. Наличие такого руководства и работа в соответствии с ним будут учитываться и при применении штрафных санкций.