Русский
Русский
English
Статистика
Реклама

Закон ес о хранении данных

GDRP Что считать персональными данными граждан ЕС и можно ли с ними работать в РФ

11.08.2020 02:04:55 | Автор: admin
image

Приветствую всех интересующихся данной темой! Давно хотел поделиться опытом работы с данными граждан Евросоюза. Сразу скажу, что статья носит прикладной характер и будет опираться исключительно на законодательную базу Еврокомиссии (никаких блогов и советов от знатоков).



Существует множество статей на тему основных принципов GDPR:
(очень кратко их пропишу)
1. Законность и прозрачность сбора данных у субъекта
2. Понимание субъектом цели сбора его данных
3. Сбор только необходимых данных у субъекта для продолжения взаимоотношений (отсутсвие избыточной собираемой информации)
4. Актуальность собираемых данных и их поддержка в актуальном состоянии (неактуальные данные должны быть уничтожены)
5. Ограничение срока хранения ПД только на срок взаимоотношений с субьектом.
6. Обеспечение мер безопасности хранения ПД.

Данные принципы зафиксированы в Главе 2 Статье 5 GDPR
eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02016R0679-20160504

Они распространяются на любую организацию, которая волей-неволей может собирать ПД граждан ЕС. Если вы ведете операционную деятельность на территории ЕС вы обязаны соблюдать этот закон неукоснительно. Если же вы базируетесь за пределами ЕС, однако работаете с гражданами Евросоюза эти принципы на вас тоже распространяются с некоторыми оговорками.

Вот эти оговорки:

Ведя деятельность за пределами ЕС и собирая данные его граждан вы должны обеспечивать те же условия сбора/обработки/хранения этих данных, регламентированные специальным документом под названием Соглашение о конфиденциальности данных (Data Protection Agreement или DPA). Подобный документ возлагает всю ответственность за работу с данными на вас, как если бы вы вели деятельность на территории ЕС.

Теперь следует разъяснить следующее:

Далеко не все страны за пределами ЕС могут быть гарантами соблюдения GDPR, а значит иметь DPA. Иными словами, не всем странам ЕС может доверить хранение ПД своих граждан даже при соблюдении всех принципов и норм. Эти страны должны обладать достаточной материальной и научной базой для обеспечения всех необходимых мер безопасности хранения ПД.

Перечислим эти страны:

Андорра
Аргентина
Исландия
Норвегия
Лихтенштейн
Япония
Новая Зеландия
Швейцария
США (ограничение по соглашению Data Privacy Shield)
Фарерские острова
Гернси
Остров Мэн
Уругвай
Израиль
Канада


Как мы видим, Российской Федерации в списке нет, как нет, к примеру, и Австралии и Великобритании.

Приведенные страны перечислены в приложении к 45 статье основного закона от 27 апреля 2016 года
ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#documents

Вывод:


Хранить данные граждан ЕС в неакредитованных странах может быть проблематично и пока не существует законодательной базы, как можно осуществлять сбор/хранение/обработку вне ЕС и аккредитованных ЕС стран.


А что делать, если у меня уже есть база с контактами граждан ЕС?
Вам нужно найти партнера-организацию, которая будет обеспечивать вам безопасное хранение ПД граждан ЕС на территории ЕС или за ее пределами, но с соблюдением GDRP



Теперь следует перейти к основной теме статьи определению ПД, согласно GDPR.

В главе 1 статье 4 основного закона прописано определние ПД:

personal data means any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;


Т.е.

ПД это любая информация прямо или косвенно указывающая на субъект. При этом, субъекта можно распознать по некоторому указателю такому, как имя, идентификационный номер (документа), данные местоположения, абстрактный онлайн идентификатор или 1 или множество факторов, указывающих на физические, физиологические, генетические, умственные, экономические, культурные или социальные особенности человека


Подобное определение по-началу вводит в некоторый диссонанс, однако постепенно приходит понимание, что фактически все данные, которые считаются обезличенными (ip адрес, google client id, куки браузера, логи сессий веб-сервера и многие другие) подпадают под действие GDPR.
В доказательство этому, по традиции, привожу выдержку из разъяснений к закону еврокомиссии
ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en#references

Важным аспектом работы с ПД должно стать обезличевание или псевдоанонимизация.
Ведь в таком случае, данные уже можно использовать даже для публикации. Нельзя при этом забывать, что, если вы являетесь оператором ПД, никто не снимает с вас отетсвенности за корректное получение этих данных до момента псевдоанонимизации.

Вот набор предлагаемых практик псевдоанонимизации от Европейского агенства по кибербезопасности(http://personeltest.ru/aways/www.enisa.europa.eu/@@search?Subject%3Alist=Pseudonymisation)
(все перечислять не имеет смысла обощу только основные 4 подхода)

1. Псевдоанонимизация для внутренних нужд компании(одна комнапия и сборщик и оператор ПД)

image

Вводится внутренний идентификатор для обозначения субъекта ПД, далее используется только для всех внутренних процессов.

2. Псевдоанонимизация с привлечением сборщика-партнера.

image

Сборщик собирает данные и передает их оператору. Оператор псевдоанонимизирует данные.
Пример: Google forms

3. Оператор сам собирает данные, псевдоанонимизирует их, а далее отдает получившиеся шифры обработчику.

image

Пример: Microsoft Azure Machine Learning

4. Обработчик сам собирает ПД и передает только шифр Оператору.

image

Пример: Сотрудничество Управления (ООН) по координации гуманитарных вопросов и европейского отделения Всемирной Организации Здравоохранения

4й пункт -это пример того, как можно абсолютно легально вести деятельность на территории ЕС, не будучи компанией резидентом, при этом не нарушая GDPR.

В заключении, можно добавить, что самым удобным способом для не резидента вести деятельность и быть в согласии с GDPR, является поиск партнера на территории ЕС.

Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru