Принципы GDPR – сердце системы защиты персональных данных

Привет всем!

Ранее я уже писал о GDPR, о том, что такое персональные данные и как cookie «попали» под GDPR. Сегодня немного о принципах.

Европейский Общий регламент защиты данных (GDPR), на мой взгляд, содержит гораздо меньше строгих и чётких предписаний, регулирующих положений и норм в отличии от аналогичных российских нормативно-правовых актов.

Сердцем системы защиты персональных данных в ЕС являются, в основном, не нормативно-закреплённые действия, которые обязан совершить обработчик данных, а принципы, которые становятся векторами развития и внедрения системы защиты данных.

GDPR выделяет семь основных принципов (Art.5 GDPR «Principles relating to processing of personal data)

1. Законность, добросовестность и прозрачность (Lawfulness, fairnessandtransparency).
2. Целевое ограничение (Purposelimitation).
3. Минимизация данных (Dataminimization).
4. Точность и актуальность (Accuracy).
5. Ограничение по хранению (Storage limitation).
6. Целостностьиконфиденциальность (Integrity and confidentiality (security)).
7. Ответственность (Accountability). 

О принципах GDPR подробнее

Законность, добросовестность и прозрачность (Lawfulness, fairness and transparency) (Article 5(1) (a) GDPR)

В соответствии с данным принципом, обработчик (контроллер или оператор) должен осуществлять сбор, обработку, передачу и хранение персональных данных на законных основаниях.

Обработчик должен иметь необходимые разрешения от субъектов данных, а передача данных третьим лицам должна соответствовать требованиям GDPR. Например, хранение данных европейских граждан на территории России запрещена без соблюдения определённых мер защиты.

Обработчик также обязан добросовестно и честно осуществлять обработку данных только в тех целях, разрешения на которые ему предоставил субъект данных.

Процесс сбора, обработки, передачи, хранения, уничтожения и иные действия с персональными данными должны быть чёткими и понятными как субъектам данных, так и иным заинтересованным лицам.

Кроме того, субъекты данных должны быть осведомлены о своих правах в отношении переданных обработчику данных.

Принцип Целевого ограничения (Purpose limitation) (Article 5(1) (b) GDPR)

Руководствуясь данным принципом, обработчик данных не имеете права использовать данные в иных целях, нежели в отношении которых ему предоставлено право от субъекта данных. Данный принцип пересекается с принципом добросовестности, который также подразумевает, что обработчик будет обрабатывать данные в соответствии с их целью на основании согласия субъекта данных.

Цели использования данных должны быть закреплены документально в политиках компании. А использование данных в новых целях возможны, только если новая цель сопоставима с предыдущей.

Например, имея базу данных клиентов, которые подписались на обновление вашего интернет-журнала, вы не можете передать её своему партнёру для того, чтобы он смог предлагать (рекламировать) какой-либо иной товар или услугу вашим клиентам.

Принцип Минимизации данных (Data minimization) (Article 5(1) (c) GDPR)

Довольно простой в понимании принцип: у обработчика не должно быть данных больше, чем это необходимо для целей такой обработки.

Например, чтобы купить сумку в интернет-магазине нет необходимо вводить паспортные данные или указывать место рождения, а вот данные кредитной карты необходимы; или при регистрации на вебинар организатор не должен запрашивать ваш пол, только если это не вебинар, организованный специально только для мужчин или только женщин. 

Принцип Точности и Актуальности (Accuracy) (Article 5(1) (d) GDPR)

Согласно данному принципу обработчик данных должен предпринять все необходимые меры, чтобы хранящиеся данные соответствовали действительности (были актуальны) и не вводили в заблуждение.

В случае обнаружения неточностей, данные должны быть исправлены и приведены в порядок. Хорошим тоном будет вести статистику изменений данных, чтобы всегда можно было обнаружить момент, в который произошла ошибка.

Однако и ошибочные данные в ряде случаев необходимо оставить неизменёнными. К примеру, неточно поставленный медицинский диагноз, который не подтвердился. Несмотря на то, что диагноз не соответствует действительности и у субъекта данных нет ошибочно выявленного заболевания, данные о таком диагнозе должны храниться в истории пациента для будущих возможных исследований. Или ошибка в указании возраста ребёнка в данных отдела кадров предприятия, которая привела к неверному начислению какой-либо дополнительной выплаты. Данный факт (неточные персональные данные ребёнка) также должен оставаться на хранении и при необходимости может быть предоставлен, например, аудиторской компании, проверяющей точность начисления зарплат и дополнительных выплат.

Принцип Ограничения по хранению (Storage limitation) (Article 5(1) (e) GDPR)

Также несложный принцип: персональные данные должны обрабатываться и хранится на протяжении того времени, которое необходимо для достижения цели такой обработки. То есть обработчик данных не может хранить данные бессрочно, тем более после достижения цели такой обработки, за исключением ряда случаев, предусмотренных в GDPR.

Срок хранения данных должен быть установлен политикой компании и периодически пересматриваться.

Каких-либо конкретных сроков хранения тех или иных категорий данных GDPR не устанавливает. Для самостоятельного определения и установления срока хранения данных нужно задать себе вопрос: «Как долго мне нужно продолжать хранить данные после достижения цели их обработки и для чего это мне необходимо?». К примеру, данные граждан, которые купили туристические путёвки можно обрабатывать на протяжении, скажем, ещё трёх лет с целью предоставления новых предложений. Если в течение трёх лет ни одно из предложений не будет принято, то данные стоит удалить, понимая, что клиент скорее всего больше не заинтересован в наших услугах.

Принцип Целостности и Конфиденциальности (Integrity and confidentiality (security)) (Article 5(1) (f) GDPR)

Это один из самых главных принципов, который налагает на обработчиков данных обязанность по обеспечению надлежащего уровня защиты данных. Обработчику необходимо обеспечить защиту данных как на административном уровне, так и на техническом.

Применение средств и способов защиты, в том числе псевдонимизации и шифрования должны осуществляться соразмерно объёму обрабатываемых данных и предполагаемого ущерба от их утечки.

Работники компании обработчика данных должны быть проинструктированы относительно порядка обращения с персональными данными, а в компании должны быть внедрены необходимые политики и назначены ответственные за надлежашую обработку персональных данных сотрудники.

В целом, реализация принципа целостности и конфиденциальности – основная задача службы информационной безопасности компании.

Принцип Ответственности (Accountability) (Article 5(2) GDPR)

Принцип ответственности налагает обязанность на обработчика данных показать как надзорным органам, так и субъектам данных своё соответствие требованиям GDPR. Обработчику необходимо удостовериться, что, как минимум:

• в компании внедрены необходимые политики;
• заключены и изменены контракты с партнёрами, которые предоставляют вам персональные данные или которым вы передаёте на обротку персональные данные, в соответствии с условиями GDPR;
• ведётся документация по учёту действий (изменений) с персональными данными;
• записываются все нарушения, связные с обработкой персональными данными;
• назначен DPO (Data Protection Officer), когда это необходимо, а в ином случае сотрудник компании, ответственный за внедрение и соблюдение требований GDPR;
• сотрудники понимают ответственность и требования GDPR, знают свои обязанности и права, а также права субъектов персональных данных.

В заключение

Принципы GDPR, как иные принципы в других нормативно-правовых актах, содержат в себе дух самого акта, его основополагающие идеи. Принципы GDPR— это сердце Регламента.

Хотя иногда необходимо время, для того чтобы разобраться как данные принципы реализовывать на практике.