[IT-стандарты] GDRP: Что считать персональными данными граждан ЕС и можно ли с ними работать в РФ
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Приветствую всех интересующихся данной темой! Давно хотел поделиться опытом работы с данными граждан Евросоюза. Сразу скажу, что статья носит прикладной характер и будет опираться исключительно на законодательную базу Еврокомиссии (никаких блогов и советов от «знатоков»).
Существует множество статей на тему основных принципов GDPR:
(очень кратко их пропишу)
1. Законность и прозрачность сбора данных у субъекта
2. Понимание субъектом цели сбора его данных
3. Сбор только необходимых данных у субъекта для продолжения взаимоотношений (отсутсвие избыточной собираемой информации)
4. Актуальность собираемых данных и их поддержка в актуальном состоянии (неактуальные данные должны быть уничтожены)
5. Ограничение срока хранения ПД только на срок взаимоотношений с субьектом.
6. Обеспечение мер безопасности хранения ПД.
Данные принципы зафиксированы в Главе 2 Статье 5 GDPR
eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02016R0679-20160504
Они распространяются на любую организацию, которая волей-неволей может собирать ПД граждан ЕС. Если вы ведете операционную деятельность на территории ЕС — вы обязаны соблюдать этот закон неукоснительно. Если же вы базируетесь за пределами ЕС, однако работаете с гражданами Евросоюза — эти принципы на вас тоже распространяются с некоторыми оговорками.
Вот эти оговорки:
Ведя деятельность за пределами ЕС и собирая данные его граждан — вы должны обеспечивать те же условия сбора/обработки/хранения этих данных, регламентированные специальным документом под названием «Соглашение о конфиденциальности данных» (Data Protection Agreement или DPA). Подобный документ возлагает всю ответственность за работу с данными на вас, как если бы вы вели деятельность на территории ЕС.
Теперь следует разъяснить следующее:
Далеко не все страны за пределами ЕС могут быть гарантами соблюдения GDPR, а значит иметь DPA. Иными словами, не всем странам ЕС может доверить хранение ПД своих граждан даже при соблюдении всех принципов и норм. Эти страны должны обладать достаточной материальной и научной базой для обеспечения всех необходимых мер безопасности хранения ПД.
Перечислим эти страны:
Андорра
Аргентина
Исландия
Норвегия
Лихтенштейн
Япония
Новая Зеландия
Швейцария
США (ограничение по соглашению «Data Privacy Shield»)
Фарерские острова
Гернси
Остров Мэн
Уругвай
Израиль
Канада
Как мы видим, Российской Федерации в списке нет, как нет, к примеру, и Австралии и Великобритании.
Приведенные страны перечислены в приложении к 45 статье основного закона от 27 апреля 2016 года
ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#documents
Вывод:
Хранить данные граждан ЕС в неакредитованных странах может быть проблематично и пока не существует законодательной базы, как можно осуществлять сбор/хранение/обработку вне ЕС и аккредитованных ЕС стран.
А что делать, если у меня уже есть база с контактами граждан ЕС?
SPL
Вам нужно найти партнера-организацию, которая будет обеспечивать вам безопасное хранение ПД граждан ЕС на территории ЕС или за ее пределами, но с соблюдением GDRP
Теперь следует перейти к основной теме статьи — определению ПД, согласно GDPR.
В главе 1 статье 4 основного закона прописано определние ПД:
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
Т.е.
ПД — это любая информация прямо или косвенно указывающая на субъект. При этом, субъекта можно распознать по некоторому указателю такому, как имя, идентификационный номер (документа), данные местоположения, абстрактный онлайн идентификатор или 1 или множество факторов, указывающих на физические, физиологические, генетические, умственные, экономические, культурные или социальные особенности человека
Подобное определение по-началу вводит в некоторый диссонанс, однако постепенно приходит понимание, что фактически все данные, которые считаются обезличенными (ip адрес, google client id, куки браузера, логи сессий веб-сервера и многие другие) подпадают под действие GDPR.
В доказательство этому, по традиции, привожу выдержку из разъяснений к закону еврокомиссии
ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en#references
Важным аспектом работы с ПД должно стать обезличевание или псевдоанонимизация.
Ведь в таком случае, данные уже можно использовать даже для публикации. Нельзя при этом забывать, что, если вы являетесь оператором ПД, никто не снимает с вас отетсвенности за корректное получение этих данных до момента псевдоанонимизации.
Вот набор предлагаемых практик псевдоанонимизации от Европейского агенства по кибербезопасности(https://www.enisa.europa.eu/@@search?Subject%3Alist=Pseudonymisation)
(все перечислять не имеет смысла — обощу только основные 4 подхода)
1. Псевдоанонимизация для внутренних нужд компании(одна комнапия и сборщик и оператор ПД)
Вводится внутренний идентификатор для обозначения субъекта ПД, далее используется только для всех внутренних процессов.
2. Псевдоанонимизация с привлечением сборщика-партнера.
Сборщик собирает данные и передает их оператору. Оператор псевдоанонимизирует данные.
Пример: Google forms
3. Оператор сам собирает данные, псевдоанонимизирует их, а далее отдает получившиеся шифры обработчику.
Пример: Microsoft Azure Machine Learning
4. Обработчик сам собирает ПД и передает только шифр Оператору.
Пример: Сотрудничество Управления (ООН) по координации гуманитарных вопросов и европейского отделения Всемирной Организации Здравоохранения
4й пункт -это пример того, как можно абсолютно легально вести деятельность на территории ЕС, не будучи компанией — резидентом, при этом не нарушая GDPR.
В заключении, можно добавить, что самым удобным способом для не резидента вести деятельность и быть в согласии с GDPR, является поиск партнера на территории ЕС.
===========
Источник:
habr.com
===========
Похожие новости:
- [IT-стандарты, Бизнес-модели, Искусственный интеллект, IT-компании] Astra Linux — на хромой лошади экономику не объедешь
- [IT-инфраструктура, IT-стандарты, Инженерные системы] Дата-центры высшего уровня: отвечаем на часто задаваемые вопросы про Tier IV
- [Монетизация мобильных приложений, Контекстная реклама] Как IDFA и контроль клиентских данных приведут к доверительному маркетингу (перевод)
- [IT-инфраструктура, IT-стандарты, Управление сообществом] Где купить паспорт с дисконтом до 50%? Сравнение коронаскидок
- [IT-инфраструктура, IT-стандарты, Администрирование баз данных, Резервное копирование, Хранение данных] Судьба EU-U.S. Privacy Shield и что нужно предпринять компаниями, которые осуществляют трансграничную передачу данных?
- [Программирование, Сетевые технологии, IT-стандарты] Закон дырявых абстракций (перевод)
- [IT-инфраструктура, IT-стандарты, Инженерные системы, Хранение данных, Хранилища данных] «Ростелеком-ЦОД» начал строительство московского дата-центра уровня Tier IV на 2 000 стоек
- [IT-инфраструктура, IT-стандарты, Анализ и проектирование систем, Системное администрирование, Финансы в IT] Классификация критичности информационных систем
- [IT-стандарты, Информационная безопасность, Криптография, Хранение данных] Утечка данных в Украине. Параллели с законодательством ЕС
- [Big Data, IT-стандарты, Законодательство в IT, Искусственный интеллект, Терминология IT] Цифровая трансформация: полная свобода самовыражения
Теги для поиска: #_itstandarty (IT-стандарты), #_gdpr, #_dannye_grazhdan_es (данные граждан ЕС), #_zakon_es_o_hranenii_dannyh (закон ЕС о хранении данных), #_pd_grazhdan_evrosojuza (ПД граждан евросоюза), #_itstandarty (
IT-стандарты
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 29-Апр 10:47
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
 Приветствую всех интересующихся данной темой! Давно хотел поделиться опытом работы с данными граждан Евросоюза. Сразу скажу, что статья носит прикладной характер и будет опираться исключительно на законодательную базу Еврокомиссии (никаких блогов и советов от «знатоков»). Существует множество статей на тему основных принципов GDPR: (очень кратко их пропишу) 1. Законность и прозрачность сбора данных у субъекта 2. Понимание субъектом цели сбора его данных 3. Сбор только необходимых данных у субъекта для продолжения взаимоотношений (отсутсвие избыточной собираемой информации) 4. Актуальность собираемых данных и их поддержка в актуальном состоянии (неактуальные данные должны быть уничтожены) 5. Ограничение срока хранения ПД только на срок взаимоотношений с субьектом. 6. Обеспечение мер безопасности хранения ПД. Данные принципы зафиксированы в Главе 2 Статье 5 GDPR eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02016R0679-20160504 Они распространяются на любую организацию, которая волей-неволей может собирать ПД граждан ЕС. Если вы ведете операционную деятельность на территории ЕС — вы обязаны соблюдать этот закон неукоснительно. Если же вы базируетесь за пределами ЕС, однако работаете с гражданами Евросоюза — эти принципы на вас тоже распространяются с некоторыми оговорками. Вот эти оговорки: Ведя деятельность за пределами ЕС и собирая данные его граждан — вы должны обеспечивать те же условия сбора/обработки/хранения этих данных, регламентированные специальным документом под названием «Соглашение о конфиденциальности данных» (Data Protection Agreement или DPA). Подобный документ возлагает всю ответственность за работу с данными на вас, как если бы вы вели деятельность на территории ЕС. Теперь следует разъяснить следующее: Далеко не все страны за пределами ЕС могут быть гарантами соблюдения GDPR, а значит иметь DPA. Иными словами, не всем странам ЕС может доверить хранение ПД своих граждан даже при соблюдении всех принципов и норм. Эти страны должны обладать достаточной материальной и научной базой для обеспечения всех необходимых мер безопасности хранения ПД. Перечислим эти страны: Андорра Аргентина Исландия Норвегия Лихтенштейн Япония Новая Зеландия Швейцария США (ограничение по соглашению «Data Privacy Shield») Фарерские острова Гернси Остров Мэн Уругвай Израиль Канада Как мы видим, Российской Федерации в списке нет, как нет, к примеру, и Австралии и Великобритании. Приведенные страны перечислены в приложении к 45 статье основного закона от 27 апреля 2016 года ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en#documents Вывод: Хранить данные граждан ЕС в неакредитованных странах может быть проблематично и пока не существует законодательной базы, как можно осуществлять сбор/хранение/обработку вне ЕС и аккредитованных ЕС стран. А что делать, если у меня уже есть база с контактами граждан ЕС?SPLВам нужно найти партнера-организацию, которая будет обеспечивать вам безопасное хранение ПД граждан ЕС на территории ЕС или за ее пределами, но с соблюдением GDRP
Теперь следует перейти к основной теме статьи — определению ПД, согласно GDPR. В главе 1 статье 4 основного закона прописано определние ПД: ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
Т.е. ПД — это любая информация прямо или косвенно указывающая на субъект. При этом, субъекта можно распознать по некоторому указателю такому, как имя, идентификационный номер (документа), данные местоположения, абстрактный онлайн идентификатор или 1 или множество факторов, указывающих на физические, физиологические, генетические, умственные, экономические, культурные или социальные особенности человека
Подобное определение по-началу вводит в некоторый диссонанс, однако постепенно приходит понимание, что фактически все данные, которые считаются обезличенными (ip адрес, google client id, куки браузера, логи сессий веб-сервера и многие другие) подпадают под действие GDPR. В доказательство этому, по традиции, привожу выдержку из разъяснений к закону еврокомиссии ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en#references Важным аспектом работы с ПД должно стать обезличевание или псевдоанонимизация. Ведь в таком случае, данные уже можно использовать даже для публикации. Нельзя при этом забывать, что, если вы являетесь оператором ПД, никто не снимает с вас отетсвенности за корректное получение этих данных до момента псевдоанонимизации. Вот набор предлагаемых практик псевдоанонимизации от Европейского агенства по кибербезопасности(https://www.enisa.europa.eu/@@search?Subject%3Alist=Pseudonymisation) (все перечислять не имеет смысла — обощу только основные 4 подхода) 1. Псевдоанонимизация для внутренних нужд компании(одна комнапия и сборщик и оператор ПД)  Вводится внутренний идентификатор для обозначения субъекта ПД, далее используется только для всех внутренних процессов. 2. Псевдоанонимизация с привлечением сборщика-партнера.  Сборщик собирает данные и передает их оператору. Оператор псевдоанонимизирует данные. Пример: Google forms 3. Оператор сам собирает данные, псевдоанонимизирует их, а далее отдает получившиеся шифры обработчику.  Пример: Microsoft Azure Machine Learning 4. Обработчик сам собирает ПД и передает только шифр Оператору.  Пример: Сотрудничество Управления (ООН) по координации гуманитарных вопросов и европейского отделения Всемирной Организации Здравоохранения 4й пункт -это пример того, как можно абсолютно легально вести деятельность на территории ЕС, не будучи компанией — резидентом, при этом не нарушая GDPR. В заключении, можно добавить, что самым удобным способом для не резидента вести деятельность и быть в согласии с GDPR, является поиск партнера на территории ЕС. =========== Источник: habr.com =========== Похожие новости:
IT-стандарты ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 29-Апр 10:47
Часовой пояс: UTC + 5