Sensitive personal data что относится
Personal Data
Almost all of our interactions with organizations involve an exchange of personal data. Examples include name, phone number, and address.
One of these pieces of data may not be enough to identify an individual. However, when collected together, they can identify a particular person and therefore constitute personal data. This is why it is often referred to as personally identifiable information or PII.
Data ceases to be personal when it is made anonymous, and an individual is no longer identifiable. But for data to be truly anonymized, the anonymization must be irreversible.
Data that has been encrypted de-identified or pseudonymized but can be used to re-identify a person is still personal data.
The GDPR exists to protect our personal data on all levels. It is protected on all platforms, regardless of the technology used, and it applies to both manual and automated processing. Personal data laws also apply regardless of how the data is stored, be it an IT system, paper, or video surveillance.
The GDPR And Personal Data
The GDPR was launched in 2016, intending to provide one set of privacy laws for the European Union.
The GDPR provides guidelines for organizations and businesses regarding how they handle information that relates to the individuals with whom they interact. It has made it easier for the citizens of the European Union to understand their rights when it comes to their personal information, and it should be used.
This is important because technology is changing faster than ever, and personal data is evolving with it. The smartphone has become central to the modern world, and almost half of the world’s population has social media accounts.
This has drastically changed the nature of the personal information that we share. It now includes biometric data, like fingerprint identification and retina scans, and location data from IP addresses and Google Maps. For this reason, our personal information is more vulnerable than ever.
The Definition of Personal Data
Personal data is central to the ethos of the General Data Protection Regulation (GDPR). However, some people are still unsure of what ‘personal data’ specifically refers to.
The basic definition of personal data is any information relating to an identified or identifiable natural person (data subject).
In other words, any information that obviously relates to a particular person and can be used to identify them.
The GDPR states that data is classified as “personal data” an individual can be identified directly or indirectly, using online identifiers such as their name, an identification number, IP addresses, or their location data.
And if these online identifiers give information specific to the physical, physiological, genetic, mental, economic, cultural, or social identity of that natural person.
In some circumstances, even information related to a person’s job, hair color, or political opinions could be classed as personal data. Usually, this comes down to the context in which the data was collected and whether a data subject could be directly or indirectly identifiable.
Examples of Personal Information
The definition of personal data is any information relating to an “identified or identifiable natural person.” When most people think of personal data, they think of phone numbers and addresses; however, personal data covers a range of identifiers.
Personal data relating to GDPR does not cover:
GDPR Identifiers
A person can be identified if they are distinguishable from another individual. The GDPR asks companies to consider:
How Organisations Should Handle Personal Data
All organizations should err on the side of caution when it comes to processing personal data.
The GDPR suggests that they should ensure that the processing of any personal information is limited to what is necessary.
Organizations should only keep this data for as long as it meets its purpose. They should also try to pseudonymize and/or encrypt this information – especially if it is classed as sensitive data.
Pseudonymization
Pseudonymization is when data is masked by replacing any identified or identifiable information with artificial identifiers.
Although it can be a great way to protect the security and privacy of personal data – pseudonymization is limited. Even though pseudonymous data will not identify a person directly, they can be indirectly identified relatively easily.
Some examples of this type of personal data include
Encryption
Encryption works in a similar way to pseudonymization. It obscures personal information by replacing unique identifiers with other data.
But unlike pseudonymization, which allows any person who has legal access to the data to view part of the data set, encryption only allows approved users to view the complete data set.
The GDPR states that encryption and pseudonymization can be used together or separately, and many organizations choose to use both methods to protect their data subjects.
The Importance Of Context
It is normal for organizations to collect a number of different types of personal data. It is important for them to consider that even if one piece of information doesn’t identify an individual, it could become relevant when combined with other information.
For example, the data controller at an organization might ask their customers what their occupation is, and with this information alone, it would not be possible to identify them. Therefore, this information alone does not fall under the scope of personal data according to the GDPR because a job title is not usually specific to one individual person.
However, if the data controller also asks them what company they work for, these pieces of information combined could narrow down the number of natural, living persons at a company with a particular occupation and possibly identify a person. In other words, if you refer to an individual who has a specific job title at a certain company, there may be one person who fits that description.
Of course, this is not always the case, for example, if you know that a person is a barista at Starbucks, it’s unlikely that you would be able to identify them, and therefore, these two pieces of information together wouldn’t be considered personal data according to the GDPR.
Sensitive Data
Although the terms “personal data” and “sensitive data” are often used to describe the same thing, the GDPR makes a clear distinction between these two terms.
According to the regulation, sensitive data is a set of special categories that should be handled with extra security. These special categories are:
Processing Sensitive Personal Data
There are some extra rules when it comes to processing sensitive personal data. You are required to document a lawful reason for processing this information under Article 6 of the GDPR.
According to Article 6, organizations must have:
The GDPR And Consent
There is a common assumption that according to the GDPR, all organizations must obtain consent in order to process personal data, but this is not the case.
Consent is just one of the options that companies have, as this article has shown, and in fact, it is not always the best option. Individuals can withdraw content at any time, and as a result, complications can arise.
When organizations don’t take the time to study the GDPR compliance requirements, they can be tripped up, and this has the potential to cause lasting damage, from regulatory fines and enforcement action to loss of customers and negative press.
Personal Data Breaches
The GDPR sets out very strict guidelines with regard to personal data and how it is used.
If any information relating to another person is accidentally or unlawfully lost, altered, disclosed, destroyed, or accessed, this is classed as a Data Breach.
Personal data is a key aspect of online identity, but unfortunately, it can be exploited. Some individuals might alter personal data to hijack mailboxes, create fake documents, and use people’s contact information to harass them.
They might even commit Financial Identity Theft, which usually involves credit card and bank account details being stolen to be used or sold. In other cases, personal data that has been breached is used to create false online identities, such as fake social media profiles.
This is commonly referred to as Identity fraud or Identity Cloning.
Once an individual has access to certain personal data such as your name, date of birth, ID documents or Social Insurance Number, and passwords, they can use them to log in to different websites in order to access even more information that they can use to their advantage.
Personal data breaches are not always a result of cybercriminals hacking into a company system.
In fact, many of these incidents occur when an employee accidentally makes personal information public.
This could be through an email that was sent to the wrong person, a technical error on the company’s webpage, or losing a laptop or another personal device that contains personal data.
GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка
В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.
Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.
Кто в зоне действия GDPR?
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.
Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:
Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.
Должна ли такая организация соблюдать GDPR?
Да.
Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что:
— услуги/товары адаптированы на местные языки жителей ЕС;
— услуги/товары оплачиваются в местных валютах ЕС;
— услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.
Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.
Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).
Мониторинг может включать:
— отслеживание резидента ЕС в интернете;
— использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).
Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.
Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.
Что подразумевается под персональными данным в GDPR?
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.
Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).
6 принципов обработки данных по GDPR
Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:
1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Ключевые требования
Уведомление о случаях нарушения GDPR
Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.
Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.
Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).
Права субъекта данных (физического лица)
GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.
В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.
Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.
Право на переносимость данных
Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.
Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).
Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.
Согласие на обработку
GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.
Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.
Особая защита детей
Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).
Назначение ответственного за защиту персональных данных
Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.
В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.
Что делать?
Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).
Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.
Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).
Вывод
GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.
Sensitive Data and the GDPR: What You Need to Know
The processing of personal data has always been among the burning issues that privacy lawmakers have to deal with. Considerable legislation has been drafted for this issue, and countries spend a lot of money and manpower to ensure that personal data is indeed protected. The General Data Protection Directive is no different, containing a number of provisions for handling of personal data.
The GDPR makes a distinction between regular personal data and sensitive personal data. There are considerable differences between the processing of these two types of personal data. It also redefines the very meaning of ‘personal data’ compared with the present legislation, so that is worth exploring as well. Besides, it can be difficult to determine what falls under ‘personal data’ nowadays.
Most company owners are already aware of the guidelines for data processing, but the GDPR does introduce certain changes that should be taken into account.
The GDPR: Old Wine in New Bottles?
Personal Data
The currently valid Data Protection Directive already distinguishes between personal and sensitive data. The European Commission considers ‘any information relating to an individual, whether it relates to his or her private, professional or public life’ as personal information.
These definitions are very wide and although the latter is very precise, there could be sticking points. For example, would you consider IPs and cookies as personal data? (The Commission does.) A good rule of thumb is: If you doubt whether the data is personal or not, treat is as if it were. These conundrums deserve a guide of their own; for now, we shall focus on sensitive personal data.
Sensitive Personal Data
Sensitive data, or, as the GDPR calls it, ‘special categories of personal data’ is a category of personal data that is especially protected and in general, cannot be processed.
Under the current Data Protection Directive, personal data is information pertaining to
The GDPR encompasses these guidelines as well, but updates them to include two novel categories of sensitive data:
The GDPR therefore redefines certain aspects of defining sensitive and personal data compared to the DPD. However, the difference is insignificant. The main changes lie in the requirements for processing.
Prying eyes should have no business accessing sensitive data.
Conditions for Processing Sensitive Data
In order to process any personal data at all, you must comply with the basic data processing principles, as outlined in Article 5. This article specifies the following requirements:
Not only that, but you must also demonstrate that there are sufficient reasons (conditions) for processing. In other words, you should obtain consent for the processing of personal data. Sometimes, you will have to do it in order to comply with a legal obligation, in cases of public interest, vital interests of the individual, or to perform a contract with the individual (such as for the provision of online services and the like). You can also have a legitimate interest for the processing of data, unless it is overridden by the individual’s interests.
But that works for personal data, not sensitive personal data. What can you do with those?
Technically, nothing.
As per Article 9(1) of the GDPR, processing of sensitive personal data is prohibited.
However, this prohibition is to be taken with a grain of salt. The list of exceptions is numerous and even larger than the DPD. This means the GDPR actually gives additional grounds to companies for the processing of sensitive personal data (listed in bold text below).
You can process sensitive personal data if:
Do note that the Member States may limit or expand the conditions regarding health, biometric and genetic data as they see fit.
What do I Do?
If you are in line with the general DPD principles regarding data processing, in this case you are on a good track. The changes are not numerous nor insurmountable, and the current guidelines are mostly replicated, even expanded, within the GDPR.
Note that even if you do make use of those exceptions for data processing, if challenged or investigated, the onus is on you to prove that such processing was indeed necessary and proper. You can do this by keeping records of your data processing activities.
You should perform privacy impact assessments before processing personal data, and doubly so for sensitive personal data. Make sure you are making use of all data protection methods and proper organisational measures.
Ensure that you obtain quality consent from your users, clients or customers. Implied consent does not work even for personal data, so it certainly will not for sensitive personal data. The GDPR has more stringent consent requirements, so make sure you update your consent mechanisms.
Explicitly inform your users of any risks and potential benefits of you processing their data. Do not hide the fact that certain categories are sensitive. Consent must be explicit and informed in order to be valid. Be particularly mindful of children, who should not be able to give consent on their own, requiring parental consent instead.
However, keep in mind that if you process health, genetic or biometric data, you could be affected by the changes enacted by the Member States. Carefully monitor any changes in legislation in the countries where you operate.
Conclusion
The guidelines for processing sensitive personal data in the GDPR do not deviate much from the DPD, and so adapting to the new legislation in this regard should not be difficult.
However, ensure that your current mechanisms are good enough. The fines are very high and ensuring the proper processing of personal data will certainly be among the top priorities of the regulators. Do not expect them to ‘go easy’ on companies once they find irregularities, especially in this regard, amidst controversies regarding personal data processing and breaches.
Furthermore, a good mechanism of processing of sensitive data will benefit your company as well, since you will be safer against the risks of data breaches, and also gain respect from your users for transparency and reasonable use of data.