Jump to content

С 25 мая - штрафы до 20 млн евро за пренебрежение к персональным данным пользователей

Featured Replies

Присаживаемся поудобней господа... 

Цитата

 

GDPR или Общий регламент защиты персональных данных Европейского союза вводит новые требования к обработке персональных данных. Компании, которые не будут им соответствовать подвергнутся огромным штрафам — до 20 млн евро. Регламент вступает в силу 25 мая 2018 года. 

GDPR распространяет свое действие не только на компании, но и на индивидуальных предпринимателей и других физлиц. Их это коснется в меньшей степени, но знать о требованиях все равно важно. Особенно если вы обрабатываете данные потребителей из ЕС: что-то продаете им и запрашиваете контактную информацию, анализируете их пользовательское поведение или разрабатываете ПО, которое работает с персональными данными. 

 

Т.е. если я правильно понимаю, то уже сейчас нужно проверять/переделывать свою политику конфиденциальности на сайте ибо: 

Цитата

 

Какие новые права (наиболее значимые) появляются у пользователей в отношении своих персональных данных?

  1. Право на забвение — право человека потребовать полное удаление своих персональных данных.
  2. Право на перенос данных — право потребовать получения своих персональных данных в удобном формате, в том числе для их передачи другой компании; а также право потребовать трансфера персональных данных напрямую другой компании, если это технически осуществимо.
  3. Право на возражение против обработки персональных данных. После получения такого возражения компания больше не вправе обрабатывать персональные данные пользователя.  Причем ответственность компании — при первом же контакте с пользователем четко и внятно донести ему, что он имеет право на такое возражение.

 

 

Всего этого в политике у большинства нет. Сейчас нужно как я понял ставить две кнопки: принимаю и не принимаю. По умолчанию в IPS лишь галочка. 1 и 2 пункт должен так же быть четко отражен. 

Там еще много мути всякой написано, я просто ссылочку оставлю на официальный ресурс (надеюсь папка шашкой не махнет мне за нее) https://ec.europa.eu/info/law/law-topic/data-protection_en 

Я прекрасно понимаю что ресурсы с онлайном в 5 человек никому не нужны, особенное если эти 5 человек пацаны с твоего двора, они под ЕС не попадают. Однако у кого то в день и по сотне регистраций проходит и трафик валит со всего мира. Поэтому просто оставлю эту тему тут, дабы предостеречь в частности тех, кто использует те же платежные системы у себя на ресурсе или же работает с персональными данными. И в заключении:

Дата рождения, к слову - это персональные данные. В электронное почте если указаны Ф.И.О. и дата рождения, то в таком случае электронный адрес также попадает под категорию персональных данных.

 

Думаю, будет в тему напомнить и об изменениях российского законодательства, регулирующего хранение и обработку персональных данных. Следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.

В федеральном законе "О персональных данных" от 27.07.2006 N 152-ФЗ сказано следующее: 

Цитата

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»

Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.

Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.

Российская Федерация разделяет с европейскими странами базовое определение персональных данных. Персональными данными признаются фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности. Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье. Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.

Также в статье 10 закона Российской Федерации «О персональных данных» .

 

Цитата

«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».

Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.

Передача за рубеж: что ограничено, то не запрещено

Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей. Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте. Дополнительно в юридическом поле появляется термин трансграничной передачи данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Однако это определение может поменяться. На данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия. 

Сохранность данных

Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу. И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Что подразумевается под локализацией

Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?

Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.

При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.

В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.

Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.

Комментарий экспертов тут таков:

Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.

Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.

Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.

О суровой ответственности за нарушение Закона о персональных данных можно почитать тут: http://www.garant.ru/actual/persona/otvetstvennost/

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.


Guest
Ответить в этой теме...

Последние посетители 0

  • No registered users viewing this page.