GDPR

Пояснения по соответствию требованиям ЕС в отношении данных

1. Обзор законодательства ЕС о защите персональных данных

В 2016 году Европейский союз принял Общий регламент по защите данных (GDPR), который вступил в силу в 2018 году. GDPR направлен на защиту прав на неприкосновенность частной жизни и защиту данных всех лиц, находящихся на территории Европейского союза. GDPR применяется ко всем предприятиям и организациям, обрабатывающим персональные данные, независимо от их географического местоположения, если их деятельность по обработке данных связана с персональными данными граждан ЕС.

（一）Соответствующие определения

1. Контролер данных — это физическое или юридическое лицо, государственный орган, административное учреждение или другая организация, не являющаяся юридическим лицом, которое самостоятельно или совместно определяет цели и способы обработки персональных данных, отвечает за определение целей и способов обработки персональных данных, однако конкретные стандарты должны быть установлены законодательством ЕС или его государств-членов.

2. Обработчик данных — это физическое или юридическое лицо, государственный орган, административное учреждение или другая организация, не являющаяся юридическим лицом, которое обрабатывает персональные данные для контролера данных. Однако иногда бывает трудно определить, является ли организация контролером данных или обработчиком.

3. Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»). GDPR расширил объем персональных данных. В соответствии с определением GDPR, персональные данные также включают цифровые отпечатки (например, IP-адреса и файлы cookie). Кроме того, генетические или биометрические данные также включены в категорию «чувствительных данных».

4. GDPR четко указывает, что персональные конфиденциальные данные должны быть надежно защищены, эти данные включают: расовое и этническое происхождение человека, политические взгляды, религиозные и философские убеждения, членство в профсоюзах, генетические данные, биометрические данные, данные о состоянии здоровья, информацию о сексуальной жизни или сексуальной ориентации, а также информацию о судимости. Медицинские учреждения обычно должны соответствовать более высоким стандартам защиты данных.

5. Основное содержание

（一）Предприятиям необходимо выполнить следующие шаги для обеспечения соответствия GDPR:

（1）Аудит данных: проведите аудит существующих действий по обработке данных, чтобы убедиться, что вы знаете источник, цель использования и срок хранения персональных данных.

（2）Обновление политики конфиденциальности: обновите политику конфиденциальности, чтобы убедиться, что ее содержание соответствует требованиям GDPR и четко информирует пользователей о том, как обрабатываются их данные.

（3）Создание механизма соответствия: создайте систему управления защитой данных, чтобы обеспечить соответствие всех действий по обработке данных принципам GDPR.

（4）Обучение сотрудников: обучите сотрудников знаниям, связанным с GDPR и защитой данных, чтобы повысить их осведомленность о соответствии требованиям.

Мониторинг и проверка: регулярно отслеживайте действия по обработке данных, чтобы обеспечить постоянное соответствие требованиям GDPR.

2. Когда обработка персональных данных является законной

В соответствии со статьей 6 GDPR, обработка персональных данных должна соответствовать следующим шести правовым основаниям:

(1) Субъект данных дал согласие на обработку его или ее персональных данных для одной или нескольких конкретных целей;

(2) Обработка необходима для выполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора;

(3) Обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер;

(4) Обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;

(5) Обработка необходима для выполнения задачи, выполняемой в общественных интересах, или при осуществлении официальных полномочий, возложенных на контролера;

(6) Обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перевешиваются интересами или основными правами и свободами субъекта данных, требующими защиты персональных данных, особенно если субъектом данных является ребенок. (Примечание: это не применяется к обработке, осуществляемой государственными органами при выполнении своих задач)

Предварительное получение согласия является важнейшим условием для предприятий для законной обработки персональных данных граждан ЕС. Например, при соблюдении GDPR Facebook должен стремиться получить согласие, а не соблюдать принцип минимизации данных.

Получение согласия должно быть доказуемым, четко отделенным от других вопросов и отзывным. Стоит отметить, что для обработки конфиденциальных данных необходимо получить явное согласие. Расплывчатые или «пакетные согласия» считаются недействительными. Предприятия должны представлять субъекту данных понятные и простые формулировки, чтобы он мог выбрать, согласен ли он на обработку своих персональных данных. В связи с этим, по крайней мере теоретически, запросы на неясные, полные терминов и долгосрочные согласия больше не будут существовать.

Кроме того, молчание, предварительно установленные флажки или отсутствие активности не являются действительным согласием. Когда пользователю необходимо установить флажок или согласиться по телефону, это считается явным выбором.

Несовершеннолетние в возрасте до 16 лет не имеют законного права на согласие, но государства-члены ЕС могут снизить этот возрастной предел до 13 лет.

(II) Трансграничная передача персональных данных

1. Передача внутри ЕС

В случае передачи персональных данных внутри ЕС GDPR не налагает никаких дополнительных требований к прямой применимости GDPR. Однако, когда контроллер нанимает обработчика, отношения между контроллером данных и обработчиком данных должны контролироваться соглашением и соответствовать минимальным стандартам, установленным GDPR в этих случаях. Соглашение между обработчиком и обработчиком (статья 28 GDPR) определяет предмет и продолжительность обработки, характер и цель обработки, типы персональных данных и категории субъектов данных, а также обязательства и права контроллера.

2. Передача данных за пределы ЕС: шаги по соблюдению GDPR

В отношении передачи данных за пределы ЕС GDPR предусматривает конкретные обстоятельства, при которых такая передача может осуществляться. В частности, организациям, занимающимся передачей персональных данных за пределы ЕС, необходимо будет проверить:

Имеется ли решение Европейской комиссии об адекватности, а если нет, то обеспечить дополнительные гарантии посредством договорных соглашений.

(1) Европейская комиссия может издавать решения об уровне защиты данных в странах, не входящих в ЕС (например, Щит конфиденциальности ЕС-США). Эти решения основаны на всесторонней оценке того, имеет ли третья страна адекватные гарантии защиты данных, эквивалентные гарантиям ЕС. Результатом решения об адекватности является устранение любых препятствий для передачи данных из ЕС (а также из Норвегии, Лихтенштейна и Исландии) в эту третью страну без каких-либо дополнительных требований к защите данных.

(2) Передача должна соответствовать надлежащим гарантиям

Если третья страна не подпадает под действие решения об адекватности, организациям ЕС следует рассмотреть один из следующих альтернативных подходов:

**1) ** Стандартные договорные условия . Европейская комиссия также может принять стандартные договорные условия, чтобы облегчить контролерам ЕС предоставление достаточной защиты данных при передаче персональных данных контролеру или обработчику, не входящему в ЕС. На сегодняшний день Европейская комиссия выпустила два набора стандартных договорных условий: передача данных от контролера ЕС контролеру, не входящему в ЕС или ЕЭЗ, и передача данных от контролера ЕС обработчику, не входящему в ЕС или ЕЭЗ. Органы защиты данных также могут принимать типовые положения. Однако эти положения должны быть одобрены Комиссией. И последнее, но не менее важное: трансграничные передачи также могут осуществляться на основании специальных договорных положений, согласованных между экспортером и импортером данных, которые должны быть одобрены компетентным DPA.

**2) ** Обязательные корпоративные правила (BCR) . Если персональные данные передаются от одного корпоративного подразделения другому (независимо от местоположения), передача данных будет осуществляться в соответствии с Обязательными корпоративными правилами (BRC). Обязательные корпоративные правила - это юридически обязательные правила, одобренные компетентным надзорным органом, которые регулируют передачу и обработку персональных данных внутри группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, и их сотрудниками (включая тех, кто находится за пределами ЕС). территории. В отличие от стандартных договорных условий, преимущество BCR заключается в том, что после получения одобрения от органа защиты данных все будущие внутригрупповые передачи могут осуществляться независимо от местоположения без каких-либо дополнительных требований.

Дополнительные гарантии В дополнение к вышеуказанным вариантам, GDPR вводит два альтернативных инструмента адекватности для передачи данных: утвержденные механизмы сертификации и утвержденные кодексы поведения. Оба механизма разрешают передачу данных при условии, что импортер данных берет на себя обязательные и подлежащие исполнению обязательства по применению надлежащих гарантий для защиты данных.

**(3) ** Исключения для передачи данных

Во многих ситуациях передача персональных данных может осуществляться без вышеуказанных механизмов передачи. Эти ситуации ограничены и включают в себя следующие:

1. Субъект данных дает явное согласие;

2. Передача необходима для заключения или исполнения договора;

3. Существуют важные причины, представляющие общественный интерес;

4. Это необходимо для установления, осуществления или защиты судебных исков;

5. Это необходимо для жизненно важных интересов субъекта данных или другого лица;

6. Это касается общедоступных данных реестра;

Кроме того, GDPR вводит новое ограничение, а именно умаление, на неповторяющиеся передачи, касающиеся ограниченного числа субъектов данных. При отсутствии другой законной основы передача разрешается, когда это необходимо для целей законных интересов обязательного экспортера данных, которые не перевешиваются законными интересами субъекта данных, и экспортер предоставляет достаточные гарантии в отношении передаваемых данных. В этом случае экспортер должен сообщить соответствующему органу по защите данных и субъекту данных об обстоятельствах передачи.