Закон обработка личных данных: Как закон обеспечивает сохранность персональных данных россиян

Разное 

Содержание

как с ними работать — СКБ Контур

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты. 

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.  

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников? 

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность.

Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу.

На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.  

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную. 

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требуется оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Политика в отношении обработки персональных данных ГК»Тон-Авто» — О компании

Общие положения

Важнейшим условием реализации целей деятельности АО «Тон-Авто» (далее Оператор) является обеспечение необходимого и достаточного уровня информационной безопасности информации, к которой, в том числе, относятся персональные данные.

Настоящий документ (далее Политика) определяет политику оператора в отношении обработки персональных данных, определяет цели, порядок их обработки, а также содержит сведения о реализуемых требованиях к защите персональных данных.

Политика разработана и утверждена во исполнение ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее Закон). Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в ст. 3 Закона.

Состав персональных данных

В зависимости от субъекта персональных данных, Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:

  • Физические лица, находящиеся в трудовых, договорных отношениях с Оператором;
  • Физические лица, заключившие с оператором договоры купли-продажи новых и бывших в эксплуатации автомобилей, запасных частей, расходных материалов или иных товаров и услуг, реализуемых Оператором;
  • Физические лица, заключившие договоры страхования автотранспортных средств, кредитные на покупку автотранспортных средств.
Политика разработана и утверждена во исполнение ст. 18.1 Федерального закона от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных» (далее Закон). Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в ст. 3 Закона.

Цели обработки

Цели обработки являются законными, заранее определены и ограничиваются достижением этих целей. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки и устанавливаются Оператором в зависимости от категорий субъектов персональных данных.

Оператор осуществляет обработку персональных данных в следующих целях:

  • исполнение законодательства в соответствии с Трудовым кодексом Российской Федерации;
  • исполнение договорных обязательств, заключенных с Оператором;
  • информирование о рекламных или маркетинговых акциях, проводимых Оператором;
  • проведение маркетинговых исследований, опросов, анкетирование в отношении услуг, оказываемых Оператором.
Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки и устанавливаются Оператором в зависимости от категорий субъектов персональных данных.

Обработка персональных данных

Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

Все персональные данные обрабатываются с согласия субъекта.

Оператор осуществляет обработку персональных данных, руководствуясь следующими принципами:

  • обработка персональных данных должна осуществляться на законной и справедливой основе;
  • обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
  • обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
  • оператор обязан не раскрывать третьим лицами не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.

Оператор осуществляет обработку персональных данных с использованием средств автоматизации, в том числе с использованием информационных технологий и технических средств, включая средства вычислительной техники, информационно-технические комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах, а также без использования средств автоматизации.

Передача персональных данных

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Законом, на основании заключаемого с этим лицом договора (далее — Поручение). Лицо, осуществляющее обработку персональных данных по поручению, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом. В поручении определяются перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность при их обработке, а также указываются требования к защите обрабатываемых персональных данных.

Защита персональных данных

Оператор предпринимает необходимые технические и организационные меры информационной безопасности для защиты данных от несанкционированного доступа, изменения, раскрытия или уничтожения, путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к системам, в которых хранятся персональные данные.

Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

Заключительные положения

Настоящая Политика является внутренним документом оператора и во исполнение ст. 18.1 Закона должна быть опубликована или иным образом обеспечен неограниченный доступ к документу.

Оператор имеет право изменять, дополнять настоящую Политику, в случае внесения изменений в действующие законодательные акты, появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Оператора.

Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации, и внутренними документами Общества.

Настоящая Политика является внутренним документом оператора и во исполнение ст. 18.1 Закона должна быть опубликована или иным образом обеспечен неограниченный доступ к документу.

Все, что вам нужно знать о сотруднике по защите данных (DPO) GPDR

При определенных условиях GDPR требует, чтобы организации назначали сотрудника по защите данных. В этой статье мы рассмотрим профиль и обязанности этого типа сотрудника GDPR.

Целью Общего регламента по защите данных (GDPR) является защита персональных данных в Интернете. С этой целью GDPR требует, чтобы большинство организаций, которые обрабатывают личную информацию людей, назначали сотрудника, ответственного за надзор за соблюдением организацией GDPR. Сотрудник по защите данных, или DPO, является координатором GDPR в организации и должен обладать экспертными знаниями в области законодательства и практики защиты данных. (Если вам нужно ознакомиться с самим GDPR и некоторыми ключевыми терминами, ознакомьтесь с нашей статьей «Что такое GDPR?»)

Ниже мы объясняем, как GDPR определяет должность сотрудника по защите данных, в том числе задачи и обязанности, связанные с этой должностью, необходимые навыки и типы организаций, которые необходимы для ее наличия. Наем DPO может быть необходим вашей организации, чтобы избежать серьезных штрафов, до 4 процентов от глобального дохода или 20 миллионов евро.

Чем занимается специалист по защите данных GDPR?

В соответствии со статьей 38, которая устанавливает позицию DPO, «Контролер и обработчик должны обеспечить, чтобы сотрудник по защите данных надлежащим образом и своевременно участвовал во всех вопросах, связанных с защитой персональных данных. ” Далее в статье 38 говорится, что другим сотрудникам организации не разрешается давать какие-либо инструкции DPO относительно выполнения их задач. Таким образом, DPO не только имеет широкие обязанности, но и защищена от потенциального вмешательства со стороны организации. Наконец, DPO связан конфиденциальностью при выполнении своих задач и будет отчитываться только непосредственно перед высшим уровнем управления в организации.

Между статьями 38 и 39 GDPR возлагает на DPO шесть основных задач:

  • Для получения комментариев и вопросов от субъектов данных, связанных с обработкой их персональных данных и GDPR.
  • Для информирования организации и ее сотрудников об их обязательствах в соответствии с GDPR и любыми другими применимыми положениями о защите данных государств-членов ЕС.
  • Для контроля за соблюдением организацией GDPR и любых других применимых положений о защите данных государств-членов ЕС, обучения персонала по соблюдению требований и проведения аудитов.
  • Для проведения оценки воздействия на защиту данных (Статья 35).
  • Сотрудничать с надзорным органом по защите данных.
  • Действовать в качестве координатора для надзорного органа по защите данных по вопросам, связанным с обработкой персональных данных и другим вопросам, когда это необходимо.

На практике объем работы сотрудника по защите данных GDPR означает, что это не должность младшего юриста. DPO должен обладать техническими знаниями для проведения оценок GDPR и юридическим пониманием законов о конфиденциальности во всех юрисдикциях, в которых работает их организация. Они должны быть как дома, консультируя руководителей по поводу того, какую стратегию защиты данных принять, а также объясняя капризы GDPR персоналу начального уровня и клиентам. А учитывая независимость DPO и быстрый темп развития технологий, любой потенциальный DPO должен быть самостоятельным, готовым быть в курсе новостей технологий и GDPR и работать с минимальным руководством и надзором.

Вам нужен специалист по защите данных?

Все организации, независимо от типа или размера, которые обрабатывают личную информацию жителей ЕС, должны иметь в организации кого-то, кому поручено следить за соблюдением GDPR (часть «организационных мер», упомянутых в статье 25). Тем не менее, GDPR требует найма фактического сотрудника по защите данных только в том случае, если вы соответствуете одному из трех критериев:

  • Государственный орган — обработка персональных данных осуществляется государственным органом или государственными органами, с исключениями, предоставленными суды и другие независимые судебные органы.
  • Крупномасштабный регулярный мониторинг — Обработка персональных данных является основной деятельностью организации, которая регулярно и систематически наблюдает за своими «субъектами данных» (которые в соответствии с GDPR означают граждан или резидентов ЕС) на большом шкала.
  • Крупномасштабные специальные категории данных — Обработка конкретных «специальных» категорий данных (согласно определению GDPR) является частью основной деятельности организации и выполняется в больших масштабах.

Здесь много расплывчатых терминов. В окончательном варианте GDPR не указано, что означает обработка данных как «основная деятельность» или «крупномасштабная». Руководящие принципы Европейской комиссии для сотрудников по защите данных содержат некоторые подсказки, но до сих пор нет жестких и быстрых правил. Согласно руководящим принципам, «основная деятельность» может рассматриваться как:

ключевые операции для достижения целей контроллера или процессора. К ним также относятся все виды деятельности, в которых обработка данных является неотъемлемой частью деятельности контролера или обработчика. Например, обработка медицинских данных, таких как медицинские карты пациентов, должна рассматриваться как одно из основных направлений деятельности любой больницы, и поэтому больницы должны назначать DPO.

В руководстве также перечислены факторы, которые организация должна учитывать при принятии решения о том, следует ли выполнять обработку данных в «крупном масштабе». К ним относятся:

  • количество заинтересованных субъектов данных, либо в виде конкретного числа, либо в виде доли соответствующего населения;
  • объем данных и/или диапазон различных обрабатываемых элементов данных;
  • продолжительность или постоянство деятельности по обработке данных;
  • и географический охват деятельности по обработке.

В руководстве также приводится несколько примеров крупномасштабной обработки, включая обработку данных пациентов больницей, обработку данных клиентов банком в ходе обычной деятельности или обработку персональных данных для поведенческой рекламы поисковая система.

Таким образом, организация может проводить крупномасштабную обработку данных, даже если сама организация имеет относительно небольшой размер. Для небольших организаций может оказаться нецелесообразным нанять DPO на полный рабочий день. В этом случае DPO может быть нанят или разделен между несколькими небольшими организациями при условии, что DPO легко доступен для каждой организации и может эффективно выполнять свои обязанности для каждой организации. И наоборот, если организация слишком велика для того, чтобы один DPO, работающий в одиночку, мог выполнять все обязанности, может быть необходимо предоставить DPO вспомогательный персонал. GDPR допускает обе ситуации.

Какова квалификация специалиста по защите данных GDPR?

Важность и широта обязанностей DPO делают поиск квалифицированного кандидата важным шагом в соблюдении GDPR. Хотя в GDPR не указаны конкретные квалификации, в нем указано, что уровень знаний и опыта, требуемых от DPO организации, должен определяться в зависимости от сложности выполняемых операций по обработке данных. При оценке кандидата или составлении списка вакансий следует помнить о некоторых из наиболее важных квалификаций:

  • Значительный (более 5 лет) опыт работы с законами ЕС и глобальными законами о конфиденциальности, включая разработку политик конфиденциальности, положений о технологиях и работу по обеспечению соответствия
  • Значительный опыт работы с ИТ-программированием или инфраструктурой, включая сертификацию по стандартам информационной безопасности
  • Значительный опыт проведения аудитов информационных систем, аттестационных аудитов и оценок рисков
  • Продемонстрированные лидерские качества для достижения поставленных целей, координации с разнообразным набором заинтересованных сторон и управления несколькими проектами одновременно
  • Продемонстрированная способность постоянно координировать свои действия с несколькими сторонами и руководителями при сохранении независимости
  • Продемонстрированные коммуникативные навыки для обращения к разным аудиториям, от совета директоров до субъектов данных, от менеджеров до ИТ-специалистов и юристов
  • Продемонстрированная самостоятельная работа со способностью получить необходимые знания в динамичной среде и оставаться в курсе передовых разработок
  • Продемонстрированный опыт взаимодействия с новыми законами и технологиями
  • Опыт юридического и технического обучения и повышения осведомленности
  • Опыт успешного взаимодействия с различными бизнес-культурами и отраслями

Как нанять сотрудника по защите данных

Поскольку вашему специалисту по защите данных потребуется хорошее знание того, как ваша организация обрабатывает и защищает свои данные и свои юридические обязательства, логичной отправной точкой для найма будет ваш собственный ИТ-отдел или юридический отдел. В частности, обязанности директора по данным аналогичны обязанностям DPO. После определения конкурентоспособного внутреннего кандидата он должен пройти обучение или сертификацию по GDPR. В то время как GDPR создаст органы по сертификации в ближайшем будущем, такие организации, как Международная ассоциация профессионалов в области конфиденциальности (IAPP) и Ассоциация сотрудников по защите данных, уже предлагают курсы по безопасности и конфиденциальности данных.

Чтобы нанять DPO не из вашей организации, потребуется настойчивость. По оценкам IAPP, в 2018 году будет потребность в 28 000 сотрудников по защите данных. Такой уровень потребности должен намного превышать наличие высококвалифицированных кандидатов, что сделает ваш поиск DPO особенно сложным. Более крупным организациям следует рассмотреть возможность найма на любой из крупных европейских технологических ярмарок, таких как фестиваль CEBIT в Берлине или выставка InfoSecurity Show в Лондоне. Небольшим организациям следует учитывать свои фактические потребности и рассмотреть вопрос об оплате услуги управляемого найма.

Как GDPR влияет на электронную почту?

GDPR требует от организаций защиты персональных данных во всех их формах. Он также изменяет правила согласия и укрепляет права людей на неприкосновенность частной жизни. В этой статье мы объясним, как обеспечить соответствие электронной почты GDPR.

Пользователи электронной почты отправляют в среднем более 122 рабочих писем в день, и ожидается, что это число будет расти. Хотя мы можем не думать, что электронная почта подпадает под действие Общего регламента ЕС по защите данных (GDPR), ваш почтовый ящик на самом деле содержит множество личных данных. От имен и адресов электронной почты до вложений и разговоров о людях — все может подпадать под строгие новые требования GDPR к защите данных.

Любая организация (компании, благотворительные организации и даже микропредприятия), которая обрабатывает личную информацию граждан или резидентов ЕС, подпадает под действие GDPR. Сюда входят организации, не входящие в ЕС, но предлагающие товары или услуги населению там. Требования в основном сводятся к двум вещам: защитить данные людей и упростить людям контроль над своими данными. (Наша статья «Что такое GDPR?» содержит обзор.) Те, кто не соблюдает правила, могут быть оштрафованы на 20 миллионов евро или 4 процента от мирового дохода, в зависимости от того, что больше, плюс компенсация за ущерб.

Хотя основное внимание в отношении требований к электронной почте GDPR было сосредоточено на почтовом маркетинге и спаме, существуют и другие аспекты, такие как шифрование электронной почты и безопасность электронной почты, которые не менее важны для соблюдения GDPR. Ниже мы объясним, что на самом деле говорит GDPR и что это означает для электронной почты.

Имейте в виду, что ничто из того, что вы здесь прочтете, не может заменить юридическую консультацию. Мы рекомендуем проконсультироваться с юристом, чтобы понять, как GDPR применим к вашей конкретной ситуации.

Что говорит GDPR:

Если вы собираете, храните или используете данные людей в ЕС, то GDPR применяется к вам. А это означает, что у вас может быть обязательство кардинально изменить способ работы вашей организации.

GDPR требует «защиты данных по умолчанию и по умолчанию», что означает, что организации должны всегда учитывать последствия для защиты данных любых новых или существующих продуктов или услуг. В статье 5 GDPR перечислены принципы защиты данных, которых вы должны придерживаться, включая принятие соответствующих технических мер для защиты данных. Шифрование и псевдонимизация приводятся в законе в качестве примеров технических мер, которые вы можете использовать для минимизации потенциального ущерба в случае утечки данных.

Что это означает для электронной почты:

Когда дело доходит до электронной почты, шифрование является наиболее подходящим вариантом. Всего пять лет назад это было бы неправдой. Но технология шифрования электронной почты быстро развивалась, и сейчас несколько компаний предлагают службу электронной почты со сквозным шифрованием. Безопасная облачная электронная почта стала удобным и практичным вариантом. (Раскрытие информации: GDPR.eu управляется Proton Mail, крупнейшей в мире службой электронной почты с шифрованием, и частично финансируется Рамочной программой Европейского Союза Horizon 2020.)

Хотя шифрование не требуется, каждая организация должна разработать обоснование для разработки наиболее подходящих методов обеспечения безопасности данных.

Что говорит GDPR:

Удаление данных является важной частью GDPR. Это один из шести принципов защиты данных: в статье 5(e) говорится, что персональные данные могут храниться «не дольше, чем это необходимо для целей, для которых персональные данные обрабатываются». Удаление данных также является одним из личных прав, защищенных статьей 17 GDPR, знаменитым «правом на забвение». «Субъект данных имеет право получить от контролера удаление персональных данных, касающихся его или ее, без неоправданной задержки». Есть некоторые исключения из этого последнего требования, такие как общественный интерес. Но вообще говоря, вы обязаны удалить личные данные, которые вам больше не нужны.

Что это значит для электронной почты:

Многие из нас никогда не удаляют электронные письма. Есть много веских причин: нам может понадобиться сослаться на них когда-нибудь в качестве отчета о нашей деятельности или даже для возможного судебного разбирательства. Но чем больше данных вы храните, тем выше ваша ответственность в случае утечки данных. Более того, удаление ненужных персональных данных теперь требуется по европейскому законодательству. Из-за GDPR вам следует периодически пересматривать политику хранения электронной почты вашей организации с целью уменьшения объема данных, которые ваши сотрудники хранят в своих почтовых ящиках. Регламент требует, чтобы вы могли продемонстрировать, что у вас есть политика, которая уравновешивает ваши законные деловые интересы с вашими обязательствами по защите данных в соответствии с GDPR.

С технической точки зрения стирание данных электронной почты может быть довольно простым и часто может быть автоматизировано. Proton Mail и некоторые другие почтовые сервисы имеют опцию электронной почты с истекающим сроком действия, которая позволяет вам устанавливать сообщения для удаления по истечении определенного периода времени. Какую бы стратегию хранения электронной почты ни выбрала ваша организация, потребуется некоторое время, чтобы привыкнуть к ней, но она значительно снизит вашу подверженность GDPR.

Что говорит GDPR:

Среди других принципов защиты данных в статье 5 есть «законность, справедливость и прозрачность». Это означает, что вы можете использовать данные людей только в том случае, если это разрешено одним из шести юридических оснований, оно должно быть справедливым по отношению к субъекту данных и должно основываться на прозрачном и недвусмысленном общении с субъектом данных. («Субъект данных», кстати, — это идентифицируемое лицо, о котором данные.)

Существует шесть «законных оснований» для «обработки» (сбора, хранения, использования и т. д.) данных людей. Они перечислены в статье 6. Первое — это согласие, которое должно быть получено недвусмысленно и после полного объяснения того, что вы планируете делать с данными. В частности:

    • Согласие должно быть «свободным, конкретным, информированным и недвусмысленным».
    • Запросы на согласие должны быть «четко отличимы от других вопросов» и представлены «четким и простым языком».
    • Субъекты данных могут отозвать ранее данное согласие в любое время, и вы должны соблюдать их решение. Вы не можете просто изменить правовую основу обработки на одно из других оснований.
    • Дети до 13 лет могут давать согласие только с разрешения родителей.
  • Вам необходимо сохранить документальное подтверждение согласия.

Шестое правовое основание — наличие «законного интереса» к обработке данных лица. Хотя этот термин является расплывчатым и может применяться к широкому кругу ситуаций, вам может быть трудно полагаться на него, потому что «основные права и свободы субъекта данных» часто могут превалировать над вашими законными интересами. Более того, еще неизвестно, как регуляторы и суды будут интерпретировать это основание. Вы, вероятно, не хотите быть тестовым случаем.

Остальные четыре законных основания менее распространены, но рекомендуется просмотреть статью 6, чтобы убедиться, что они к вам не относятся. Суть в том, что вы должны быть очень осторожны при использовании чьих-либо данных, если вы не уверены, что человек хочет, чтобы они использовались таким образом.

Однако Директива об электронной конфиденциальности, в частности статья 13, предоставляет организациям еще один способ использования данных человека в маркетинговых целях, вытекающий из договорной основы GDPR. В контексте продажи товара или услуги организация «может использовать эти электронные контактные данные для прямого маркетинга своих собственных аналогичных продуктов или услуг при условии, что клиентам будет предоставлена ​​четкая и четкая возможность возражать, бесплатно и в простым способом», в соответствии со статьей 13, часть 2. По сути, это означает, что организация может на законных основаниях отправлять вам маркетинговые электронные письма об услуге, которую они вам предоставляют, при условии, что они информируют вас о том, что вы можете отказаться в любое время, и существует возможность отписаться в каждом сообщении.

Что это означает для электронной почты:

После принятия GDPR некоторые люди говорили, что это будет «конец электронного маркетинга» или «конец спама». Но это будет ни то, ни другое. Спам всегда был вне закона или не соответствовал условиям использования большинства провайдеров электронной почты. Те, кто рассылает нежелательные или вредоносные массовые электронные письма, вероятно, продолжат их рассылать. Исчезла ли ваша папка со спамом после 25 мая 2018 года, когда вступил в силу GDPR?

Что касается электронного маркетинга, GDPR никоим образом не запрещает электронный маркетинг. GDPR не направлен против бизнеса, а направлен в защиту потребителей. Хорошее маркетинговое электронное письмо в идеале должно представлять ценность для получателя и быть тем, что он хочет получить в любом случае. Что делает GDPR, так это разъясняет условия согласия, требуя от организаций запрашивать утвердительное согласие, чтобы иметь возможность отправлять сообщения. И вы также должны сделать так, чтобы людям было легко передумать и отказаться. Только если маркетинговое электронное письмо не содержит возможности отписаться, отправлено тому, кто никогда не подписывался на него, или не рекламирует услугу, связанную с услугой, которую использует получатель, это является нарушением GDPR.

Что говорит GDPR:

Есть еще один аспект GDPR, касающийся электронной почты, и это безопасность электронной почты. В статье 5(f) говорится, что вы должны защищать личные данные «от случайной потери, уничтожения или повреждения, используя соответствующие технические или организационные меры».

Что это означает для электронной почты:

Шифрование электронной почты является технической мерой. Организационные меры связаны с внутренней политикой, управлением и обучением. 91% кибератак начинаются с фишинговых писем, в которых хакеры пытаются получить доступ к учетной записи или устройству с помощью обмана или вредоносных программ. Ссылки и вложения из неизвестных учетных записей никогда не следует нажимать или загружать.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *