Приветствую всех интересующихся данной темой! Давно хотел поделиться опытом работы с данными граждан Евросоюза. Сразу скажу, что статья носит прикладной характер и будет опираться исключительно на законодательную базу Еврокомиссии (никаких блогов и советов от «знатоков»).
Существует множество статей на тему основных принципов GDPR (очень кратко их пропишу):
- Законность и прозрачность сбора данных у субъекта
- Понимание субъектом цели сбора его данных
- Сбор только необходимых данных у субъекта для продолжения взаимоотношений (отсутствие избыточной собираемой информации)
- Актуальность собираемых данных и их поддержка в актуальном состоянии (неактуальные данные должны быть уничтожены)
- Ограничение срока хранения ПД только на срок взаимоотношений с субъектом.
- Обеспечение мер безопасности хранения ПД
Данные принципы зафиксированы в Главе 2 Статье 5 GDPR
Они распространяются на любую организацию, которая волей-неволей может собирать ПД граждан ЕС. Если вы ведете операционную деятельность на территории ЕС — вы обязаны соблюдать этот закон неукоснительно. Если же вы базируетесь за пределами ЕС, однако работаете с гражданами Евросоюза — эти принципы на вас тоже распространяются с некоторыми оговорками.
Вот эти оговорки
Ведя деятельность за пределами ЕС и собирая данные его граждан — вы должны обеспечивать те же условия сбора/обработки/хранения этих данных, регламентированные специальным документом под названием «Соглашение о конфиденциальности данных» (Data Protection Agreement или DPA). Подобный документ возлагает всю ответственность за работу с данными на вас, как если бы вы вели деятельность на территории ЕС.
Теперь следует разъяснить следующее:
Далеко не все страны за пределами ЕС могут быть гарантами соблюдения GDPR, а значит иметь DPA. Иными словами, не всем странам ЕС может доверить хранение ПД своих граждан даже при соблюдении всех принципов и норм. Эти страны должны обладать достаточной материальной и научной базой для обеспечения всех необходимых мер безопасности хранения ПД.
Перечислим эти страны:
Андорра
Аргентина
Исландия
Норвегия
Лихтенштейн
Япония
Новая Зеландия
Швейцария
США (ограничение по соглашению «Data Privacy Shield»)
Фарерские острова
Гернси
Остров Мэн
Уругвай
Израиль
Канада
Как мы видим, Российской Федерации в списке нет, как нет, к примеру, и Австралии и Великобритании.
Приведенные страны перечислены в приложении к 45 статье основного закона от 27 апреля 2016 года
Вывод
Хранить данные граждан ЕС в неакредитованных странах может быть проблематично и пока не существует законодательной базы, как можно осуществлять сбор/хранение/обработку вне ЕС и аккредитованных ЕС стран.
А что делать, если у меня уже есть база с контактами граждан ЕС?
Вам нужно найти партнера-организацию, которая будет обеспечивать вам безопасное хранение ПД граждан ЕС на территории ЕС или за ее пределами, но с соблюдением GDPR
Теперь следует перейти к основной теме статьи — определению ПД, согласно GDPR.
В главе 1 статье 4 основного закона прописано определние ПД:
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
Т.е.
ПД — это любая информация прямо или косвенно указывающая на субъект. При этом, субъекта можно распознать по некоторому указателю такому, как имя, идентификационный номер (документа), данные местоположения, абстрактный онлайн идентификатор или 1 или множество факторов, указывающих на физические, физиологические, генетические, умственные, экономические, культурные или социальные особенности человека
Подобное определение по-началу вводит в некоторый диссонанс, однако постепенно приходит понимание, что фактически все данные, которые считаются обезличенными (ip адрес, google client id, куки браузера, логи сессий веб-сервера и многие другие) подпадают под действие GDPR.
В доказательство этому, по традиции, привожу выдержку из разъяснений к закону еврокомиссии.
Важным аспектом работы с ПД должно стать обезличивание или псевдоанонимизация.
Ведь в таком случае, данные уже можно использовать даже для публикации. Нельзя при этом забывать, что, если вы являетесь оператором ПД, никто не снимает с вас отетсвенности за корректное получение этих данных до момента псевдоанонимизации.
Вот набор предлагаемых практик псевдоанонимизации от Европейского агентства по кибербезопасности(https://www.enisa.europa.eu/@@search?Subject%3Alist=Pseudonymisation)
(все перечислять не имеет смысла — обощу только основные 4 подхода.
1. Псевдоанонимизация для внутренних нужд компании(одна комнапия и сборщик и оператор ПД)
Вводится внутренний идентификатор для обозначения субъекта ПД, далее используется только для всех внутренних процессов.
2. Псевдоанонимизация с привлечением сборщика-партнера.
Сборщик собирает данные и передает их оператору. Оператор псевдоанонимизирует данные.
Пример: Google forms
3. Оператор сам собирает данные, псевдоанонимизирует их, а далее отдает получившиеся шифры обработчику.
Пример: Microsoft Azure Machine Learning
4. Обработчик сам собирает ПД и передает только шифр Оператору.
Пример: Сотрудничество Управления (ООН) по координации гуманитарных вопросов и европейского отделения Всемирной Организации Здравоохранения
4-й пункт -это пример того, как можно абсолютно легально вести деятельность на территории ЕС, не будучи компанией — резидентом, при этом не нарушая GDPR.
