Захист персональних даних торкнеться всіх компаній з травня 2018
- Пан Пусеп, кого торкнуться очікувані з 25 травня зміни в законодавстві про захист персональних даних?...
- Розкажіть, будь ласка, які першочергові дії повинно зробити керівництво компаній для організації належного...
- Ви згадали співробітника підприємства із захисту даних. Поясніть читачам, коли наявність в штаті підприємства...
- Крім призначення співробітника із захисту даних, чи потрібно проводити додатковий інструктаж персоналу...
- В DS - GVO один з розділів присвячений Процесору, до то це?
- Спасибі, що прояснили вимоги до відповідальних осіб. Хотілося б з'ясувати, які нові вимоги пред'являються...
- Яким чином слід організувати процеси обробки інформації?
- Ви згадували Процесора. Багато компаній передають дані на аутсорсинг, наприклад, для ведення бухгалтерського...
- Багато підприємств ведуть активні бізнес-процеси в інтернеті. На що слід звернути увагу при веденні...
- Раз вже Ви засипали читачів технічними термінами, то наступне питання, яке технічне забезпечення вимагає...
- А якщо техніка підвела? Що робити в разі втрати даних?
- Яка відповідальність за порушення, за що і на яку суму можуть покарати підприємство?
- А хто контролює дотримання законодавства про охорону даних? Кого можна чекати в гості?
- Великі штрафи передбачені за порушення правил передачі інформації в треті країни. Про що повинні знати...
- З якими найпоширенішими помилками підприємців Ви стикаєтеся?
- Який типовий перелік витрат? Для яких підприємств ці витрати дуже високі?
- Від імені наших читачів хотілося б подякувати Вам, пане Пусеп, за інтерв'ю.
- Розмову вів Юрій Джуваго
«Партнер» №4 (247) 2018 р.
Інтерв'ю з адвокатом Р. Пусеп (Roman Pusep)
Редакція журналу «Партнер» взяла інтерв'ю у пана Пусеп про заплановані зміни в європейському законодавстві про захист персональних даних, що вводяться з 25 травня 2018 року.
Адвокат Р. Пусеп, партнер адвокатського бюро WERNER RI р Кельн, є фахівцем в області права інформаційних технологій, має більше 10 років практичного досвіду організації захисту даних для німецьких підприємств і представляє інтереси клієнтів при суперечках в різних державних органах і судах.
У тексті використані абревіатури законодавчих актів:
DS - GVO ( EU-Datenschutz-Grundverordnung ) - Положення про захист даних ЄС
BDSG ( Bundesdatenschutzgesetz ) - Федеральний закон про захист даних.
У дужках наведені уточнення та роз'яснення редакції.
Пан Пусеп, кого торкнуться очікувані з 25 травня зміни в законодавстві про захист персональних даних? Читачів цікавить, в першу чергу, торкнуться нововведення представників малого та середнього бізнесу?
Буде порушено практично весь бізнес, розмір компанії не важливий. Єдине, що має значення - це обробка персональних даних на підприємствах.
Які саме дані є персональними (особистими), було докладно викладено в березневому номері журналу (03/2018), з переліком прав можна ознайомитися в ст. 4 № 1 і 13-15 DS-GVO.
На сьогоднішній день практично неможливо управляти бізнесом без обробки особистої інформації клієнтів. Я подивився, наприклад, каталог фірм на вашому сайті (портал http://www.partner-inform.de) . Підприємства практично всіх галузей - туристичні агентства, авіакомпанії, роздрібні торговці, салони краси, готелі, страхові компанії, бухгалтери і т.д. - мають справу з персональними даними, такими як: ім'я, прізвище, адреса, дата народження, банківські реквізити. Деякі компанії, наприклад, лікарі та фармацевти, крім «стандартного» набору обробляють дані підвищеного рівня ризику (ст. 4 № 13-15 DS-GVO, ст. 9 DS-GVO), такі як дані медичного страхування, діагнози та інше.
Повсюдно компанії працюють і з даними їх співробітників, які необхідно обробляти через численні юридичних і контрактних вимог. Будь-яка сучасна компанія обробляє дані. Тому захист даних відіграє певну роль в будь-якому бізнесі.
Знайти компанію, в якій повністю виключена обробка особистої інформації, неможливо. Теоретично це могла б бути фірма, яка:
приймає тільки готівкові платежі;
не веде відеоспостереження;
не зберігає списки клієнтів (наприклад, для попередніх замовлень);
ніяким чином не підтримує з клієнтами зв'язок (наприклад, листом, факсом або електронною поштою);
і, врешті-решт, у якій в штаті немає жодного найманого працівника.
До питання про те, які підприємці особливо порушені. Це, перш за все, ті компанії, які до сих пір не були стурбовані захистом даних (по требованям BDSG). Вони повинні докласти максимум зусиль і діяти дуже швидко, адже розмір можливих штрафів та інших наслідків безпосередньо залежить від ступеня порушення законодавства про захист персональних даних.
Розкажіть, будь ласка, які першочергові дії повинно зробити керівництво компаній для організації належного рівня безпеки щодо захисту та використання зібраної особистої інформації про клієнтів і співробітників?
- Убезпечити видимий "зовні" відкритий фланг підприємства. Обов'язково перевірити і ввести поправки в IMPRESSUM і DATENSCHUTZHINWEISE на вебсайті, який бачать всі: конкуренти і перевіряючі органи. Далі можна займатися «внутрішніми» темами підприємства:
- Перевірити, чи повинен бути призначений співробітник із захисту даних (ст. 37-39 DS-GVO).
- Підготувати процедурний каталог (ст. 30 DS-GVO). Рекомендую попередньо проаналізувати всі процеси обробки і, якщо необхідно, впорядкувати їх.
- При необхідності провести оцінку впливу захисту даних (ст. 35 DS-GVO).
- Документувати всі дії, пов'язані з організацією захисту персональних даних, щоб на вимогу перевіряючих органів довести такі дії.
Ви згадали співробітника підприємства із захисту даних. Поясніть читачам, коли наявність в штаті підприємства співробітника щодо захисту інформації обов'язково?
Чи потрібна співробітник із захисту даних чи ні, слід розглядати в кожному окремому випадку. Основні вимоги, що регулюють дане питання, викладені в ст. 37-39 DS-GVO і в майбутньому §38 BDSG-neu. Крім «м'яких» (непрямих) чинників, які багатьом не відразу зрозумілі, є також чіткі і ясні вимоги: згідно §38 BDSG-neu, компанії повинні призначити співробітника із захисту даних, якщо не менше 10 осіб беруть участь в автоматизованій обробці персональних даних. Це багато в чому кореспондує з актуальною правовою позицією в §4f BDSG (діючий Федеральний закон про захист даних).
Крім того, юридична спільнота вважає, що в будь-якому випадку призначати співробітника щодо захисту даних зобов'язані: юристи, лікарі, лабораторні оператори і фармацевти, оскільки вони обробляють особисті дані, які мають підвищене значення для їх захисту. Також є багато інших факторів і передумов, які в рамках нашої бесіди неможливо окреслити.
Звертаю увагу читачів, що співробітник із захисту даних повинен володіти знаннями і кваліфікацією відповідно до статті 37 (5) DS-GVO. Тому призначити будь-якого співробітника не вийде, принаймні, без попереднього навчання.
Крім призначення співробітника із захисту даних, чи потрібно проводити додатковий інструктаж персоналу компанії?
Співробітники підприємств повинні приділяти особливу увагу принципам захисту даних згідно зі ст. 5 DS-GVO. Роботодавець повинен, відповідно до чинного закону, зобов'язати співробітників «дотримуватися секретності даних» відповідно до § 5 BDSG. Зазвичай це робиться в письмовій чи іншій іншій формі, яку можна пред'явити як доказ. В DS-GVO не існує порівнянного регулювання. У майбутньому, можливо, стане актуальним положення ст. 29 DS-GVO, відповідно до якого «особи, які підпадають під контроль і мають доступ до персональних даних», можуть обробляти персональні дані «виключно за вказівкою відповідальної особи». Форму цієї інструкції законодавець не регулює, але бажано її оформити також у письмовому вигляді. Ця стаття систематично включається в розділ DS-GVO по обробці персональних даних для відповідальної особи за його замовленням, так що ця стаття не прямо діє на відносини між роботодавцем і працівником. Юридична дискусія з цього питання ще не завершена.
В DS - GVO один з розділів присвячений Процесору, до то це?
«Processor» - це англійський термін для особи, який займається обробкою персональних даних на замовлення компанії (відповідальної особи), наприклад, податковий консультант при підготовці обліку заробітної плати.
Спасибі, що прояснили вимоги до відповідальних осіб. Хотілося б з'ясувати, які нові вимоги пред'являються до внутрішньої документації підприємства. На які документи слід звернути особливу увагу?
Перш за все, важливі такі документи або документація:
- Каталог обробки: це опис всіх процесів, в ході яких обробляються персональні дані.
- Концепція видалення: підприємець повинен подумати про те, які персональні дані з його процесів (вони описані в каталозі обробки) видаляються і відповідно до якими критеріями. Наприклад, часовий критерій - через 10 років.
- Інформація про захист даних: DS-GVO є великі інформаційні зобов'язання, особливо в ст. 13 і 14 DS-GVO. Порушені боку, клієнти і співробітники, повинні бути проінформовані про те, що відбувається з їх особистими даними.
- Згода: якщо обробка даних відбувається на основі згоди, то воно повинно бути задокументовано. Проте, згода діє тільки щодо тієї обробки персональних даних, яку відповідальну особу описало дла отримання згоди, тобто погодитися можна тільки на ті заходи обробки, які були оголошені, так що це теж підлягає документуванню.
Яким чином слід організувати процеси обробки інформації?
Підприємство організовує процеси обробки даних так, щоб вони відповідали принципам захисту даних (ст. 5 DS-GVO), тобто законність, прозорість, цільове призначення, мінімізація даних, правильність, обмеження зберігання, цілісність і конфіденційність, підзвітність.
Ви згадували Процесора. Багато компаній передають дані на аутсорсинг, наприклад, для ведення бухгалтерського обліку. Як убезпечити себе при передачі даних стороннім виконавцям?
При аутсорсингу (обробка замовлення відповідно до ст. 28 DS-GVO) важливо вибрати надійного обробника даних і обов'язково документувати як критерії цього вибору, так і самі договірні взаємини (контракт). Крім того, контракт на оформлення замовлення (послуги) повинен відповідати вимогам законодавства.
Наприклад, у разі врахування заробітної плати це означає, що вам необхідно спочатку отримати від податкового консультанта відомості про техніко-організаційні заходи. Їх слід розглядати і аналізувати відповідно до вимог DS-GVO.
Наступний крок - це перевірка реалізації дієвості таких заходів. Тому на практиці податковий консультант повинен буде пройти аудит, в якому безпеку процесу обробки буде підтверджена. Тоді договір може бути укладений. Наше бюро (WERNER RI) рекомендує клієнтам проводити регулярні перевірки Процесора протягом всього періоду договірних відносин; але робити це не завжди варто і не завжди дозволено самому підприємству - для цього є фахівці. Крім зазначених дій, роботодавець зобов'язаний також повідомити співробітникам, що облік заробітної плати буде виконаний призначеним бухгалтером.
Багато підприємств ведуть активні бізнес-процеси в інтернеті. На що слід звернути увагу при веденні бізнесу онлайн?
У разі бізнес-діяльності в інтернеті дуже важливо, щоб на веб-сайті присутня політика конфіденційності. Це перше, на що дивиться контролюючий орган, а також і конкуренти, які бажають вам «насолити». Користувач повинен бути проінформований про те, які персональні дані збираються, коли, як, з якою метою і як довго обробляються.
Є багато особливостей, які слід враховувати при активних онлайн діях. Наприклад, аналіз за допомогою Cookies-файлів; використання інструментів аналізу, таких як GoogleAnalytics або Matomo (раніше Piwik); інтеграція соціальних мереж, Facebook, XiNG, Twitter або інших кнопок; інтеграція карт Google або шрифтів Google.
Якщо підприємство використовує Newsletter (новинну розсилку), то також потрібно дотримання певної процедури, так званої Double-Opt-In. Інша юридично-технічна тема зачіпає використання пікселів, так званих Zählpixel.
Раз вже Ви засипали читачів технічними термінами, то наступне питання, яке технічне забезпечення вимагає законодавство?
Технічно, DS-GVO передбачає впровадження і використання різних програм і техніки. Підприємець повинен проаналізувати ризики обробки даних і розглянути, які заходи застосовувати відповідно до ст. 32 DS-GVO. Наприклад, це може бути псевдомінімізація, шифрування, швидке відновлення (наприклад, резервні і паралельні системи). Все індивідуально і залежить від бізнес-процесів фірми.
А якщо техніка підвела? Що робити в разі втрати даних?
Згідно ст. 33 DS-GVO, відповідальна особа зобов'язана повідомити органу із захисту даних про втрати даних протягом 72 годин (3 дні) після того, як інцидент стане відомий в компанії. Мінімальний вміст повідомлення також регламентується зазначеною нормою. Крім того, за певних умов відповідна особа або всі порушені особи також повинні бути повідомлені, відповідно до ст. 34 DS-GVO. Нарешті, згідно зі ст. 32 DS-GVO, необхідно ініціювати процедуру виправлення події і створення більш безпечних процесів, щоб інцидент більше не міг повторитися.
Яка відповідальність за порушення, за що і на яку суму можуть покарати підприємство?
Згідно ст. 83 (4) DS-GVO, передбачений штраф в розмірі до 10 млн євро або до 2% річного обороту (в залежності від того, що більше), зокрема за порушення норм таких статей:
- ст. 8 DS-GVO (умови для згоди дитини щодо послуг інформаційного суспільства);
- ст. 11 DS-GVO (обробка, для якої ідентифікація суб'єкта даних не потрібно);
- ст. 30 DS-GVO (перелік видів діяльності з переробки - перелік процедур);
- ст. 33 DS-GVO (повідомлення про порушення захисту персональних даних наглядовому органу);
- ст. з 37 до 39 DS-GVO (відповідальний за захист даних).
Відповідно до ст. 83 (5) DS-GVO, передбачений штраф в розмірі до 20 млн євро або до 4% річного обороту (в залежності від того, що більше), зокрема за порушення:
- ст. 5, 6, 7 і 9 DS-GVO (згоду);
- ст. з 12 до 22 DS-GVO (права суб'єктів даних, включаючи повідомлення про конфіденційність);
- ст. з 44 до 49 DS-GVO (передача даних третім країнам).
А хто контролює дотримання законодавства про охорону даних? Кого можна чекати в гості?
Державний орган захисту даних. Він може застосовувати різні заходи відповідно до ст. 58 DS-GVO. Наприклад, запросити інформацію, провести аудит, відвідати бізнес-приміщення для розслідування обробки даних. Недотримання вказівок державного органу захисту даних, згідно зі ст. 83 (6) DS-GVO, також може привести до штрафу в розмірі до 20 мільйонів євро або до 4% річного обороту (в залежності від того, що більше).
Великі штрафи передбачені за порушення правил передачі інформації в треті країни. Про що повинні знати підприємці з третіх країн (НЕ ЄС), що займаються бізнесом в Німеччині, або німецькі бізнесмени, у яких, наприклад, сервер розташований в третіх країнах?
Обробка даних в третіх країнах - дуже складна тема, так що приведу лише кілька вимог законодавства.
Згідно ст. 45 DS-GVO, дані можуть бути передані країнам, для яких ЄС прийняв відповідне рішення, наприклад, для передачі в США - застосовується EU-US Privacy Shield.
Згідно ст. 46 DS-GVO, дані можуть бути передані, наприклад, при дотриманні стандартного положення про захист даних (раніше: стандартні договірні положення) або якщо у обох сторін проведена сертифікація відповідно до ст. 42 DS-GVO.
До сих пір ще немає акредитованих компаній, які можуть проводити сертифікаційні перевірки.
Згідно ст. 47 DS-GVO, компанії і з однієї групи (концерн) можуть передавати особисті дані один одному, якщо вони мають обов'язкові внутрішні правила захисту даних (раніше обов'язкові корпоративні правила). Однак вони повинні бути схвалені владою.
З якими найпоширенішими помилками підприємців Ви стикаєтеся?
Кожен випадок настільки різний, що я не можу привести або назвати список найбільш частих помилок при організації діяльності по захисту конфіденційності.
Який типовий перелік витрат? Для яких підприємств ці витрати дуже високі?
Вартість впровадження навряд чи може бути оцінена. Це залежить від багатьох дуже різних факторів. Наприклад, в залежності від того, чи працює сьогодні компанія відповідно до BDSG; скільки процесів існує відносно персональних даних; чи є співробітник щодо захисту даних; який основний вид діяльності і т.д.
Від імені наших читачів хотілося б подякувати Вам, пане Пусеп, за інтерв'ю.
Будь ласка. У разі виникнення додаткових питань щодо організації захисту персональних даних на німецьких підприємствах я із задоволенням відповім на них під час наступної зустрічі!
Розмову вів Юрій Джуваго
Шановні читачі!
Ваші питання по даній темі Ви можете задати нашим експертам в розділі "Питання-відповідь" інтернет-порталу. Відповіді будуть дані в цьому ж розділі, а добірка поширених запитань буде опублікована в журналі "Партнер".
Редакція журналу
Пан Пусеп, кого торкнуться очікувані з 25 травня зміни в законодавстві про захист персональних даних?
В DS - GVO один з розділів присвячений Процесору, до то це?
Яким чином слід організувати процеси обробки інформації?
А якщо техніка підвела?
Що робити в разі втрати даних?
Яка відповідальність за порушення, за що і на яку суму можуть покарати підприємство?
А хто контролює дотримання законодавства про охорону даних?
Кого можна чекати в гості?
З якими найпоширенішими помилками підприємців Ви стикаєтеся?
Який типовий перелік витрат?