Приветствую всех интересующихся данной темой! Давно хотел поделиться опытом работы с данными граждан Евросоюза. Сразу скажу, что статья носит прикладной характер и будет опираться исключительно на законодательную базу Еврокомиссии (никаких блогов и советов от «знатоков»).

Существует множество статей на тему основных принципов GDPR (очень кратко их пропишу):

1. Законность и прозрачность сбора данных у субъекта
2. Понимание субъектом цели сбора его данных
3. Сбор только необходимых данных у субъекта для продолжения взаимоотношений (отсутствие избыточной собираемой информации)
4. Актуальность собираемых данных и их поддержка в актуальном состоянии (неактуальные данные должны быть уничтожены)
5. Ограничение срока хранения ПД только на срок взаимоотношений с субъектом.
6. Обеспечение мер безопасности хранения ПД

Данные принципы зафиксированы в Главе 2 Статье 5 GDPR

Они распространяются на любую организацию, которая волей-неволей может собирать ПД граждан ЕС. Если вы ведете операционную деятельность на территории ЕС — вы обязаны соблюдать этот закон неукоснительно. Если же вы базируетесь за пределами ЕС, однако работаете с гражданами Евросоюза — эти принципы на вас тоже распространяются с некоторыми оговорками.

Вот эти оговорки

Ведя деятельность за пределами ЕС и собирая данные его граждан — вы должны обеспечивать те же условия сбора/обработки/хранения этих данных, регламентированные специальным документом под названием «Соглашение о конфиденциальности данных» (Data Protection Agreement или DPA). Подобный документ возлагает всю ответственность за работу с данными на вас, как если бы вы вели деятельность на территории ЕС.

Теперь следует разъяснить следующее:

Далеко не все страны за пределами ЕС могут быть гарантами соблюдения GDPR, а значит иметь DPA. Иными словами, не всем странам ЕС может доверить хранение ПД своих граждан даже при соблюдении всех принципов и норм. Эти страны должны обладать достаточной материальной и научной базой для обеспечения всех необходимых мер безопасности хранения ПД.

Перечислим эти страны:

Андорра
Аргентина
Исландия
Норвегия
Лихтенштейн
Япония
Новая Зеландия
Швейцария
США (ограничение по соглашению «Data Privacy Shield»)
Фарерские острова
Гернси
Остров Мэн
Уругвай
Израиль
Канада

Как мы видим, Российской Федерации в списке нет, как нет, к примеру, и Австралии и Великобритании.

Приведенные страны перечислены в приложении к 45 статье основного закона от 27 апреля 2016 года

Вывод

Хранить данные граждан ЕС в неакредитованных странах может быть проблематично и пока не существует законодательной базы, как можно осуществлять сбор/хранение/обработку вне ЕС и аккредитованных ЕС стран.


Теперь следует перейти к основной теме статьи — определению ПД, согласно GDPR.

В главе 1 статье 4 основного закона прописано определние ПД:

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Т.е.

ПД — это любая информация прямо или косвенно указывающая на субъект. При этом, субъекта можно распознать по некоторому указателю такому, как имя, идентификационный номер (документа), данные местоположения, абстрактный онлайн идентификатор или 1 или множество факторов, указывающих на физические, физиологические, генетические, умственные, экономические, культурные или социальные особенности человека

Подобное определение по-началу вводит в некоторый диссонанс, однако постепенно приходит понимание, что фактически все данные, которые считаются обезличенными (ip адрес, google client id, куки браузера, логи сессий веб-сервера и многие другие) подпадают под действие GDPR.

В доказательство этому, по традиции, привожу выдержку из разъяснений к закону еврокомиссии.

Важным аспектом работы с ПД должно стать обезличивание или псевдоанонимизация.
Ведь в таком случае, данные уже можно использовать даже для публикации. Нельзя при этом забывать, что, если вы являетесь оператором ПД, никто не снимает с вас отетсвенности за корректное получение этих данных до момента псевдоанонимизации.

Вот набор предлагаемых практик псевдоанонимизации от Европейского агенства по кибербезопасности(https://www.enisa.europa.eu/@@search?Subject%3Alist=Pseudonymisation)
(все перечислять не имеет смысла — обощу только основные 4 подхода.

1. Псевдоанонимизация для внутренних нужд компании(одна комнапия и сборщик и оператор ПД)



Вводится внутренний идентификатор для обозначения субъекта ПД, далее используется только для всех внутренних процессов.

2. Псевдоанонимизация с привлечением сборщика-партнера.



Сборщик собирает данные и передает их оператору. Оператор псевдоанонимизирует данные.
Пример: Google forms

3. Оператор сам собирает данные, псевдоанонимизирует их, а далее отдает получившиеся шифры обработчику.



Пример: Microsoft Azure Machine Learning

4. Обработчик сам собирает ПД и передает только шифр Оператору.



Пример: Сотрудничество Управления (ООН) по координации гуманитарных вопросов и европейского отделения Всемирной Организации Здравоохранения

4-й пункт -это пример того, как можно абсолютно легально вести деятельность на территории ЕС, не будучи компанией — резидентом, при этом не нарушая GDPR.

В заключении, можно добавить, что самым удобным способом для не резидента вести деятельность и быть в согласии с GDPR, является поиск партнера на территории ЕС.