вторник, 21 июня 2022 г.

Французский уполномоченный орган по вопросам защиты персональных данных CNIL опубликовал руководство по обязанностям, устанавливаемым законом GDPR: Тенденции в области защиты персональных данных

Данная заметка эксперта в области э-раскрытия Дуга Остина (Doug Austin – на фото) была опубликована 6 июня  2022 года на его блоге «Э-раскрытие сегодня» (eDiscovery Today).

Сегодня день защиты персональных данных! На прошлой неделе французский уполномоченный орган по защите персональных данных - Национальная комиссия по информатике и свободам граждан (Commission nationale de l'informatique et des libertés, CNIL), опубликовал руководство по обязанностям, связанным соблюдением европейского закона о защите персональных данных GDPR.

Документ объёмом 13 страниц называется «Ответственность действующих лиц в контексте государственных заказов» (La responsabilité des acteurs dans le cadre de la commande publique) был опубликован 2 июня 2022 года, см. https://www.cnil.fr/fr/commande-publique-quel-acteur-est-responsable-au-regard-du-rgpd , прямая ссылка на PDF-файл: https://www.cnil.fr/sites/default/files/atoms/files/guide_-_la_responsabilite_des_acteurs_dans_le_cadre_de_la_commande_publique.pdf

В данное руководство регулятор включил рекомендации по определению «ответственного за обработку ПДн, оператора ПДн» (responsable du traitement - controller), «субподрядчика» (sous-traitant) и «лица, разделяющего ответственность за обработку ПДн, со-оператора ПДн» (responsable conjoint - joint controller) в соответствии с «Общими правилами защиты персональных данных» (General Data Protection Regulation, GDPR, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 ). Как отмечается в пресс-релизе:

«Для выполнения этих государственных контрактов или концессионных договоров экономические операторы должны собирать и использовать персональные данные, которые могут иметь отношение к сотрудникам и пользователям государственных услуг: подобная обработка персональных данных должна осуществляться в соответствии с требованиями закона GDPR.

Роль, которую выполняет каждое из действующих лиц, влияет на характер и степень их ответственности по отношению к данным. Ввиду этого классификация действующих лиц в качестве «оператора», «субподрядчика» или «со-оператора» должна осуществляться как можно скорее и проводиться с учётом фактических обстоятельств и с учётом конкретного контекста договорной деятельности. В частности, это позволит установить степень ответственности каждого действующего лица и, следовательно, определить положения, касающиеся защиты персональных данных, которые должны быть включены в договор (например, принятие во внимание всех обязательных положений, предусмотренных статьей 28 закона GDPR в случае, когда государственный орган должен быть квалифицирована как «оператор», а хозяйствующий субъект - как «обработчик»).»

Комиссия CNIL высказала следующие соображения об ответственности за обеспечение исполнения законодательно-нормативных требований:

Ключевой этап для эффективного исполнения всех требований, предусмотренных законом GDPR

Классификация действующих лиц в ходе составления договора является очень важным первым шагом: она позволяет определить, кто должен будет обеспечить соблюдение основных принципов GDPR, в частности, таких, как:

  • наличие ясной и законной цели обработки для каждого способа использования данных;

  • сбор релевантных и неизбыточных данных;

  • безопасность данных;

  • ограниченный срок хранения данных;

  • надлежащее принятие во внимание прав физических лиц.

Чтобы помочь специалистам в установлении их обязанностей, Комиссия CNIL также предоставила ссылку на 13-страничное руководство, подробно описывающее правовые критерии, которые необходимо учитывать; различные компетенции, которые могут потребоваться в зависимости от предмета контрактов и характера предусматриваемой ими обработки персональных данных; а также выводы, которые следует из них сделать при составлении договорных документов.

Увы, всё это - на французском языке, версии на английском языке я не нашёл. C’est la vie!

А что думаете Вы? Как Вы полагаете, поможет ли опубликованное руководство CNIL организациям лучше определить свои обязанности в соответствии с законом GDPR? Пожалуйста, поделитесь любыми мыслями, которые могут у Вам возникнуть, а также сообщите, если Вы хотите больше узнать о данной конкретной теме.

Дуг Остин (Doug Austin)

Источник: блог eDiscovery Today
https://ediscoverytoday.com/2022/06/06/cnil-published-guidance-on-gdpr-responsibilities-data-privacy-trends/

Комментариев нет:

Отправить комментарий