«САХИНФО»
было образовано как малое предприятие 25 октября 1990 г. и ведет деятельность на территории Сахалинской области.
_1_ _2_ _3_ _4_ _5_ _6_ _7_

Новые правила закона о защите персональных данных в Интернете в Европе


25 мая 2018 года вступают в силу правила нового Закона о защите персональных данных в Интернете для пользователей, которые находятся на территории Европейской экономической зоны. Новые правила обозначаются аббревиатурой GDPR (The General Data Protection Regulation, Общие правила защиты данных) и распространяются на всех игроков Интернета, которые участвуют в сборе, хранении или обработке персональных данных. Хотя закон принят для защиты европейских данных, глобальный характер Интернета означает, что GDPR устанавливает стандарт конфиденциальности данных во всем мире. Практически все крупные интернет-компании, включая Google, Facebook и Twitter, подпадают соблюдению требований GDPR.

GDPR – это давно назревший набор передовых методов обеспечения конфиденциальности в бизнесе, и особенно в Интернете. Он учит нас относиться к данным наших пользователей с такой же тщательностью и уважением, с какой мы относимся к своим собственным.

GDPR призван обеспечивать большую защиту персональных данных человека, включая, но не ограничиваясь, его религиозными или политическими убеждениями. Штрафы за несоблюдение правил довольно большие: до 20 млн. евро, или 4% от общего оборота (в расчет берется большая сумма) за нарушение. Кроме того, GDPR дает пользователям право на компенсацию любого материального и/или нематериального нарушения GDPR.

Данная статья не является юридическим советом и не должна толковаться как таковая. Целью данной статьи есть максимальное освещение и анализ новых правил GDPR, поскольку сегодня практически каждый сайт в Интернете тем или иным образом работает с персональными данными пользователей. Если вы будете знать, что ваш сайт соответствует требованиям GDPR, вы продемонстрируете, что серьезно относитесь к конфиденциальности своих пользователей. А для более полной картины вам нужно проконсультироваться с квалифицированным юристом в данной юрисдикции.


GDPR применяется к данным, которые собираются, обрабатываются и/или хранятся в Европе независимо от того, где собраны данные. Если у вас есть интернет-магазин с информационной рассылкой, и хотя бы один подписчик из ЕС подписался на нее, тогда вас касаются правила GDPR.

Одним из значительных условий GDPR является то, что теперь запрещена передача данных за пределы ЕС в любую страну, которую ЕС не считает соответствующую законам о защите персональных данных. Если вы передаете личные данные за пределы ЕС для обработки или хранения, то вы должны получить явное согласие на это от пользователя, которому принадлежат данные.

Учитывая многоуровневый характер юрисдикций Интернета и такие технологии, как CDN, разумно предположить, что в определенный момент данные, которые вы собираете и храните, будут передаваться за пределы ЕС и одобренных стран. Поэтому, независимо от того, какие другие разрешения вы запрашиваете у своих пользователей, желательно всегда получать разрешение на хранение данных за пределами ЕС.


Существует два основных типа данных, которые по GDPR должны быть защищены: личные и деликатные.
  • Личные данные – это любые данные, которые идентифицируют человека. Ваше имя, адрес электронной почты, местоположение, биометрические данные, логин (другие онлайн-идентификаторы) – все это является личными данными.
  • Деликатные данные – это то, что, по мнению ЕС, более личное, чем имя. Этническое происхождение, религиозные убеждения, сексуальные предпочтения, политические взгляды, криминальная история – все это можно отнести к деликатным данным. Новые правила призваны уделять больше внимания защите и деликатных данных.
Хотя может возникнуть коллизия в случаях, когда личные данные становятся деликатными. Например, адрес электронной почты – это личные данные, но если адрес электронной почты типа «fanat-trampa-2018@…», из которого можно сделать вывод о политических предпочтениях пользователя, тогда эти данные уже относятся к деликатным. Подобные случаи, скорее всего, будут рассматриваться регулирующими органами в каждом конкретном случае.

GDPR устанавливает условия для данных, которые могут быть собраны из разных источников. Если злоумышленник может использовать данные конкретного человека, которые вы храните, для сопоставления (например, по его IP-адресу) с деликатными данными, хранящимися на другом сайте, тогда вы внесли свой вклад в компрометацию деликатных данных этого пользователя, даже если вы сами не храните эти деликатные данные.

Лучшая тактика здесь заключается в том, чтобы никогда не запрашивать больше данных, чем вам нужно – чем меньше данных вы храните, тем меньше риска их потерять.


В любой ситуации, когда вы запрашиваете данные пользователя, сначала спросите себя: как это повлияет на права владельца этих данных?

GDPR определяет следующие официальные права, которыми обладают владельцы данных:
  • Право быть проинформированным
  • Право доступа
  • Право на исправления
  • Право на объект
  • Право на переносимость данных
  • Право на удаление данных
  • Право не подвергаться автоматическому принятию решений
  • Право ограничить обработку данных
Однако игроки, которые хранят данные, также имеют права. Например, представьте, что пользователь подписался на вашу рассылку. Позже он решает, что больше не хочет получать рассылку и отписывается. Вы просто обязаны навсегда стереть адрес электронной почты этого пользователя. Однако, когда пользователь подписывается на рассылку, вы должны знать его IP-адрес, чтобы сопоставить с его согласием получать рассылку (как и должны), значит вы имеете право сохранить эти данные, чтобы продемонстрировать соблюдение своим сайтом правил GDPR.


Важно понимать, что регулирующий орган ЕС не обязан доказывать ваше несоблюдение правил. Это является вашей юридической обязанностью доказывать, что вы соответствуете правилам, а неспособность сделать это само по себе является несоответствием требованиям.

Общие правила защиты данных определяются методом «Проектируемая конфиденциальность» (PBD – Privacy by Design). PBD подразумевает, что конфиденциальность не обеспечивается законным соблюдением, а скорее должна приниматься организацией как подход по умолчанию.

PBD считает, что конфиденциальность, скомпрометированная единожды, не может быть восстановлена, и поэтому следует заранее предусмотреть и предотвратить угрозы конфиденциальности. Проектируемая конфиденциальность определяется 7 принципами:
  • Будьте активными: PBD является профилактическим, а не исправляющим. Поэтому, предусмотрите заранее возможные риски
  • Конфиденциальность по умолчанию: пользователю не нужно предпринимать никаких действий для обеспечения конфиденциальности. Если пользователь ничего не делает, его данные обрабатываются как приватные
  • Внедрение конфиденциальности в проект: конфиденциальность не добавляется в проект задним числом, она является неотъемлемым компонентом любого продукта или системы
  • Конфиденциальность не ограничивает функциональность: PBD отвергает идею о том, что любое законное использование данных должно нарушать конфиденциальность
  • Полный цикл конфиденциальности: PBD покрывает весь жизненный цикл частей данных, с момента их сбора, во время хранения и до тех пор, пока они не будут уничтожены
  • Прозрачная конфиденциальность: стандарты конфиденциальности полностью прозрачны, поэтому любой, кто использует продукт или систему, четко понимает, как его данные защищены
  • Конфиденциальность ориентирована на пользователя: PBD относится к соблюдению конфиденциальности отдельного лица, владелец данных имеет первый приоритет

https://sebweo.com/ru/novye-pravila-zakona-o-zaschite-personalnyh-dannyh-v-internete-v-evrope/

_1_ _2_ _3_ _4_ _5_ _6_ _7_

 

Copyright © 2007 - 2015 АО «САХИНФО» Адрес: г.Южно-Сахалинск, ул. Чехова 7а, Телефон: (4242) 43-43-11, Email: office@sakhinfo.ru
Все права защищены. При использовании материалов с сайта ссылка на АО «САХИНФО» Обязательна!