Закон о защите персональных данных начал действовать с 21.08.2019. Их команда проявила высокую отзывчивость и ориентированность на клиента. Однако мы не сомневаемся, что этот гид по основным обязательствам, которые он ввел, будет вам полезен.
В нашем предыдущем блоге «Основные концепции Закона о защите персональных данных в Сербии» мы объяснили, когда применяется Закон, что такое персональные данные и какие принципы и юридические основания для обработки персональных данных. В этом блоге мы рассмотрим технические меры защиты персональных данных, лица по защите данных и права субъекта данных.
ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Безопасность персональных данных является одним из ключевых основных принципов Закона. В связи с этим Закон обязывает контролера принимать соответствующие технические, организационные и персональные меры для обеспечения того, чтобы обработка персональных данных осуществлялась в соответствии с Законом, при этом контролер должен обращать внимание на характер, объем, обстоятельства, цели обработки, оценку риска для прав и свобод физических лиц.
При необходимости контролер должен быть способен продемонстрировать соблюдение этого юридического требования.
Хотя может показаться, что вышеупомянутое положение недостаточно точно, Закон фактически следует подходу Общего регламента по защите данных (GDPR), который учитывает все более быстрый технологический прогресс, а также различные сферы, в которых происходит обработка персональных данных. Вот почему Закон неохотно подробно определяет, какие «технические, организационные и персональные меры» должен реализовать контролер.
После внедрения мер защиты они не должны рассматриваться как постоянные и неизменные. Напротив, контролер должен оценивать и обновлять их при необходимости.
Защита персональных данных означает, что контролер и обработчик проводят соответствующие технические, организационные и персональные меры, чтобы обеспечить адекватный уровень безопасности персональных данных относительно конкретного риска, угрожающего их безопасности. При этом следует учитывать уровень технологических достижений и затрат на их внедрение, характер, объем, обстоятельства и цель обработки, а также вероятность возникновения риска и степень угрозы для прав и свобод физических лиц.
Значимость внедрения вышеупомянутых мер лучше всего отражается тем, что из-за отсутствия технической безопасности наложено множество штрафов за нарушения GDPR. Например, на компанию British Airways в Великобритании наложен штраф в размере 204 000 000,00 евро за нарушение персональных данных из-за хакерской атаки, о которой мы говорили в наших новостях «British Airways и Marriott International нарушили GDPR – Какие последствия им грозят?».
ЧТО МОЖНО СДЕЛАТЬ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ?
ОЦЕНКА РИСКОВ
Для выбора соответствующих мер для вашей компании сначала необходимо определить, какие риски угрожают безопасности персональных данных, которые вы обрабатываете, а также вероятность реализации этих рисков и возможности их реального воплощения в жизнь.
Пример:
Если вы обрабатываете персональные данные в электронной форме, риски, которые угрожают их безопасности, могут включать в себя несанкционированный доступ к базам данных, изменение или удаление персональных данных, физическое повреждение серверов и другого оборудования, которое хранит данные или используется для других операций обработки, из-за пожара, наводнения и т. д.
МЕРЫ ЗАЩИТЫ ОТ РИСКОВ
А. ПСЕВДОНИМИЗАЦИЯ
Псевдонимизация — это обработка персональных данных, которая отключает связь персональных данных с конкретным субъектом данных без использования дополнительной информации. Другими словами, псевдонимизация «скрывает» субъекта данных, но по-прежнему возможно установить личность этого человека с использованием дополнительной информации. Очень важно хранить такую дополнительную информацию отдельно, а также принимать технические, организационные и персональные меры для предотвращения атрибуции персональных данных к идентифицированному или идентифицируемому субъекту данных.
Б. АНОНИМИЗАЦИЯ
Анонимизация — это обработка данных, которая вызывает постоянную невозможность установить личность субъекта данных. С момента анонимизации персональных данных вы больше не подпадаете под действие Закона о защите персональных данных, то есть вы больше не обязаны обрабатывать эти данные в соответствии с Законом.
В. ШИФРОВАНИЕ
Шифрование данных — это метод защиты, который шифрует информацию и позволяет доступ только тому, кто имеет ключ шифрования. Зашифрованные данные отображаются в неразборчивой форме для тех, кто желает получить к ним доступ без ключа шифрования.
Г. НАДЗОРНЫЕ ОРГАНЫ
Файловые системы должны быть защищены от доступа лиц, не имеющих права на доступ к ним внутри компании. Процесс соблюдения требований Закона о защите персональных данных подразумевает, что права, обязанности и ответственность сотрудников в отношении хранения и использования файловых систем должны быть четко определены. Некоторые данные могут быть доступны всем сотрудникам компании (например, рабочие электронные адреса), в то время как другие данные могут быть доступны только сотрудникам с особыми разрешениями (например, определенным лицам в отделе кадров).
УВЕДОМЛЕНИЕ КОМИССАРА О НАРУШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В случае возникновения нарушения персональных данных, вне зависимости от принятых мер защиты, которые могут создать риск для прав и свобод физических лиц, контролер должен уведомить Комиссара о нарушении как можно скорее, но в пределах 72 часов с момента обнаружения нарушения.
С другой стороны, обработчик должен уведомить контролера о каждом нарушении данных, независимо от степени риска для прав и свобод физических лиц, без необоснованных задержек.
Контролер должен вести учет всех нарушений данных, который содержит детали нарушения, последствия нарушения и принятые меры для их устранения.
УВЕДОМЛЕНИЕ СУБЪЕКТА ДАННЫХ О НАРУШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Если нарушение данных может создать высокий риск для прав и свобод физических лиц, контролер должен уведомить субъекта данных без необоснованных задержек, если только контролер не принял соответствующие меры в качестве реакции на нарушение.
Таким образом, мы видим, что только высокий риск для прав и свобод физических лиц порождает обязательство уведомления субъектов данных, в то время как Комиссар должен быть уведомлен в случае менее значительного риска.
ОФИЦЕР ПО ЗАЩИТЕ ДАННЫХ (DPO)
Когда следует назначить DPO?
В общем случае контролер и обработчик могут назначить DPO, но не обязаны этого делать. Однако, когда речь идет о юридических лицах, Закон о защите персональных данных предписывает, когда назначение DPO является обязательным:
- Основные обязанности контролера или обработчика состоят в обработке деятельности, которая, по своей природе, объему или целям, требует регулярного и систематического контроля за большим количеством субъектов данных;
- Основная деятельность контролера или обработчика состоит в обработке особых категорий персональных данных (касающихся расовой или этнической принадлежности, политических взглядов, религиозных убеждений и т. д.) в крупном масштабе.
Если контролер или обработчик, являющиеся юридическими лицами, не назначат DPO в вышеупомянутых случаях, их оштрафуют за административное правонарушение в размере от 50 000 до 2 000 000 динаров.
Контролер или обработчик обязаны опубликовать контактную информацию DPO и передать ее Комиссару.
Как нанять DPO в нашей компании (у контролера или обработчика)?
- На основе трудового договора.
- На основе другого контракта.
Положение о DPO
DPO доступен субъектам данных, которые могут обращаться к нему по всем вопросам, связанным с обработкой их данных, а также в отношении осуществления их прав.
DPO непосредственно отвечает перед управляющим контролера или обработчика за выполнение законных обязательств DPO.
Закон позволяет DPO, помимо деятельности, связанной с защитой персональных данных у контролера или обработчика, выполнять иные действия и обязанности. Контролер или обработчик обязаны обеспечить, чтобы выполнение других действий и обязанностей не привело DPO к конфликту интересов.
Какие обязанности у DPO?
- Информировать и давать мнение контролеру или обработчику, а также сотрудникам, осуществляющим обработку данных, о их законных обязательствах в области защиты персональных данных;
- Контролировать соблюдение положений Закона о защите персональных данных и других законов, а также внутренних положений контролера или обработчика, касающихся защиты персональных данных, включая вопросы разделения ответственности, повышения осведомленности и обучения сотрудников, участвующих в обработке данных, а также контроля;
- Давать мнение по запросу оценки влияния обработки на защиту персональных данных и отслеживать действия, предпринятые в связи с этой оценкой;
- Быть контактным лицом для сотрудничества с Комиссаром и консультироваться с Комиссаром по вопросам, связанным с обработкой персональных данных.
ПРАВА СУБЪЕКТА ДАННЫХ — ОБЯЗАННОСТИ КОНТРОЛЬОРА
ПРАВО НА ИНФОРМИРОВАНИЕ
Если данные собираются от лица, к которому эти данные относятся, контролер обязан предоставить этому лицу информацию, которую предписывает Закон на момент сбора данных, такую как идентификация и контактная информация контролера, контактная информация DPO, цель предполагаемой обработки и правовое основание для обработки, получатели, срок хранения персональных данных, права субъекта данных в отношении их данных, а также другая информация.
ПРАВО НА ДОСТУП
Субъект данных имеет право запросить у контролера информацию о том, обрабатывает ли контролер его персональные данные, запросить доступ к этим данным, а также информацию о целях обработки, о типах данных, которые обрабатываются, о сроке хранения персональных данных, о правах субъекта данных в отношении обработки их данных и другую информацию.
Контролер обязан после запроса субъекта данных предоставить копию персональных данных, которые он обрабатывает и которые относятся к данному субъекту данных.
ПРАВО НА ИСПРАВЛЕНИЕ
Если персональные данные неверны, субъект данных имеет право запросить у контролера их исправление без ненадобной задержки.
Если персональные данные неполные, учитывая цель обработки, субъект данных имеет право дополнить свои персональные данные.
ПРАВО НА УДАЛЕНИЕ
Субъект данных имеет право подать запрос контролеру на удаление своих персональных данных контролером.
Контролер обязан удалить персональные данные, если:
- персональные данные больше не нужны для достижения цели, для которой они были собраны или иным образом обработаны;
- субъект данных отозвал свое согласие, на основе которого проводилась обработка, и нет другого юридического основания для обработки;
- субъект данных подал возражение по поводу обработки своих персональных данных;
- персональные данные были незаконно обработаны;
- персональные данные должны быть удалены для выполнения юридических обязательств контролера.
Если контролер публично опубликовал персональные данные, их обязанность по удалению данных включает принятие всех разумных мер по уведомлению других контролеров, которые обрабатывают эти данные, о том, что субъект данных подал запрос на удаление всех копий этих данных и ссылок, то есть электронных ссылок на эти данные.
ПРАВО НА ОГРАНИЧЕНИЕ ОБРАБОТКИ
Субъект данных имеет право требовать ограничения обработки своих персональных данных контролером в следующих случаях:
- Когда субъект данных оспаривает точность персональных данных, в период, который позволяет контролеру проверить точность этих данных;
- Когда обработка незаконна, а субъект данных выступает против удаления данных и вместо этого запрашивает ограничение использования данных;
- Когда контролер больше не нуждается в персональных данных для достижения цели обработки, но субъект данных запрашивает их для подачи, осуществления или защиты правового требования;
- Когда субъект данных подал возражение по поводу обработки данных, и в это время проводится оценка того, превышают ли юридические основания для обработки контролером интересы субъекта данных.
ПРАВО НА ПЕРЕНОСИМОСТЬ ДАННЫХ
Субъект данных имеет право передать свои персональные данные, которые ранее были переданы контролеру, другому контролеру без вмешательства со стороны контролера, которому первоначально были переданы эти данные, если:
- обработка основана на согласии субъекта данных или основана на контракте;
- обработка выполняется автоматически.
Право на переносимость данных также включает прямой перенос от предыдущего к новому контролеру.
ПРАВО НА ВОЗРАЖЕНИЕ
Субъект данных вправе в любое время подать возражение против обработки своих персональных данных контролеру, которая осуществляется в соответствии с общественным интересом или выполнением правовых полномочий контролера, или законными интересами контролера или третьей стороны, как юридическими основаниями для обработки.
Контролер обязан прекратить обработку данных лица, которое подало возражение, за исключением случаев, когда он может доказать, что существуют законные основания для обработки, которые превышают интересы, права или свободы субъектов данных или которые связаны с подачей, осуществлением или защитой правового требования.
Наконец, в третьем и заключительном тексте нашей серии текстов о Законе о защите персональных данных рассматриваются штрафные меры Закона.
