Сегодня день защиты персональных данных! На прошлой неделе французский уполномоченный орган по защите персональных данных - Национальная комиссия по информатике и свободам граждан (Commission nationale de l'informatique et des libertés, CNIL), опубликовал руководство по обязанностям, связанным соблюдением европейского закона о защите персональных данных GDPR.
В данное руководство регулятор включил рекомендации по определению «ответственного за обработку ПДн, оператора ПДн» (responsable du traitement - controller), «субподрядчика» (sous-traitant) и «лица, разделяющего ответственность за обработку ПДн, со-оператора ПДн» (responsable conjoint - joint controller) в соответствии с «Общими правилами защиты персональных данных» (General Data Protection Regulation, GDPR, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 ). Как отмечается в пресс-релизе:
«Для выполнения этих государственных контрактов или концессионных договоров экономические операторы должны собирать и использовать персональные данные, которые могут иметь отношение к сотрудникам и пользователям государственных услуг: подобная обработка персональных данных должна осуществляться в соответствии с требованиями закона GDPR.
Роль, которую выполняет каждое из действующих лиц, влияет на характер и степень их ответственности по отношению к данным. Ввиду этого классификация действующих лиц в качестве «оператора», «субподрядчика» или «со-оператора» должна осуществляться как можно скорее и проводиться с учётом фактических обстоятельств и с учётом конкретного контекста договорной деятельности. В частности, это позволит установить степень ответственности каждого действующего лица и, следовательно, определить положения, касающиеся защиты персональных данных, которые должны быть включены в договор (например, принятие во внимание всех обязательных положений, предусмотренных статьей 28 закона GDPR в случае, когда государственный орган должен быть квалифицирована как «оператор», а хозяйствующий субъект - как «обработчик»).»
Комиссия CNIL высказала следующие соображения об ответственности за обеспечение исполнения законодательно-нормативных требований:
Ключевой этап для эффективного исполнения всех требований, предусмотренных законом GDPR
Классификация действующих лиц в ходе составления договора является очень важным первым шагом: она позволяет определить, кто должен будет обеспечить соблюдение основных принципов GDPR, в частности, таких, как:
- наличие ясной и законной цели обработки для каждого способа использования данных;
- сбор релевантных и неизбыточных данных;
- безопасность данных;
- ограниченный срок хранения данных;
- надлежащее принятие во внимание прав физических лиц.
Чтобы помочь специалистам в установлении их обязанностей, Комиссия CNIL также предоставила ссылку на 13-страничное руководство, подробно описывающее правовые критерии, которые необходимо учитывать; различные компетенции, которые могут потребоваться в зависимости от предмета контрактов и характера предусматриваемой ими обработки персональных данных; а также выводы, которые следует из них сделать при составлении договорных документов.
Увы, всё это - на французском языке, версии на английском языке я не нашёл. C’est la vie!
А что думаете Вы? Как Вы полагаете, поможет ли опубликованное руководство CNIL организациям лучше определить свои обязанности в соответствии с законом GDPR? Пожалуйста, поделитесь любыми мыслями, которые могут у Вам возникнуть, а также сообщите, если Вы хотите больше узнать о данной конкретной теме.
Дуг Остин (Doug Austin)
Источник: блог eDiscovery Today
https://ediscoverytoday.com/2022/06/06/cnil-published-guidance-on-gdpr-responsibilities-data-privacy-trends/
Комментариев нет:
Отправить комментарий