Споделувањето податоци е крвотокот на модерната трговија. Без разлика дали се вработувате на нов давател на услуги во облак, соработувате со маркетинг агенција или интегрирате систем за човечки ресурси од трета страна, личните податоци постојано течат меѓу организациите. Но, еве ја непријатната вистина: повеќето бизниси го потценуваат правното минско поле што го претставува споделувањето податоци според Општата регулатива за заштита на податоците (GDPR).

Влоговите се реални. Казните можат да достигнат 20 милиони евра или 4% од глобалниот годишен промет - што и да е поголемо. Освен финансиските казни, ризикувате оштетување на угледот, регулаторна контрола и барања за граѓанска одговорност од засегнатите лица. Холандскиот орган за заштита на податоци (Autoriteit Persoonsgegevens или AP) јасно стави до знаење: незнаењето не е одбрана.

Оваа статија ве води низ седум критични ризици од GDPR што се јавуваат при споделување на лични податоци. Секој ризик е заснован на специфични одредби од GDPR, илустрирани со последици од реалниот свет и поврзани со практични упатства што ќе ви помогнат да останете во согласност со прописите. Без разлика дали сте сопственик на бизнис, службеник за усогласеност или правен професионалец што работи во Холандија, разбирањето на овие стапици е од суштинско значење.

1. Споделување на податоци без валидна правна основа (член 6 од GDPR)

Ризикот: Не можете да споделувате лични податоци само затоа што тоа е погодно или корисно. Секој случај на споделување податоци бара валидна правна основа согласно член 6 од GDPR.

Зошто компаниите грешат: Многу организации претпоставуваат дека самото постоење на комерцијална причина за споделување податоци е доволно. Не е. GDPR обезбедува шест законски основи за обработка: согласност, договорна неопходност, законска обврска, витални интереси, јавна задача и легитимни интереси. Секој од нив има специфични барања и ограничувања.

На пример, „легитимните интереси“ често се повикуваат за да се оправда споделувањето податоци со партнери или даватели на услуги. Но, оваа основа бара внимателен тест за балансирање: вашите интереси не смеат да ги надвладеат правата и слободите на лицата чии податоци ги обработувате. И мора да ја документирате оваа проценка.

Правна основа: Член 6 од GDPR го утврдува исцрпниот список на законски основи. Член 5(1)(a) од GDPR налага секоја обработка да биде законска, фер и транспарентна.

Последици од реалниот свет: АП изрече казни за организации кои споделиле податоци за клиентите со трети страни за маркетиншки цели без соодветна законска основа. Дури и ако податоците биле анонимизирани или агрегирани, доколку е можна повторна идентификација, тие остануваат лични податоци и бараат законска основа.

Практично готово: Пред да споделите какви било лични податоци, идентификувајте и документирајте која правна основа се применува. Доколку се потпирате на легитимни интереси, спроведете и евидентирајте проценка на легитимни интереси (ПЛО). Доколку користите согласност, осигурајте се дека е дадена слободно, специфична, информирана и недвосмислена.

2. Конфузија околу улогите: Контролор наспроти обработувач (член 4(7)–(8) од GDPR)

Ризикот: GDPR прави разлика помеѓу контролори (кои ги одредуваат целите и средствата за обработка) и обработувачи (кои обработуваат податоци во име на контролор). Погрешното идентификување на вашата улога - или улогата на вашиот партнер - создава сериозни празнини во усогласеноста.

Зошто компаниите грешат: Во пракса, улогите можат да бидат двосмислени. Ако споделувате податоци со SaaS провајдер, дали тие се контролор или обработувач? Што ако ги користат вашите податоци за да ги подобрат своите алгоритми? Многу бизниси по правило го нарекуваат секој добавувач „обработувач“ без правилно да ја анализираат врската.

Погрешната класификација е важна бидејќи контролорите и обработувачите имаат различни обврски. Контролорите мора да обезбедат обработувачи кои обезбедуваат доволни гаранции за усогласеност (член 28 од GDPR). Заедничките контролори мора да се согласат за нивните соодветни одговорности (член 26 од GDPR). Ако погрешите, може да бидете одговорни за прекршувања за кои дури и не сте знаеле дека се случуваат.

Правна основа: Член 4(7) и (8) од GDPR ги дефинираат „контролорот“ и „обработувачот“. Член 24 од GDPR ги наведува обврските за одговорност на контролорот.

Последици од реалниот свет: Европскиот суд на правдата пресуди во Модна лична карта (C-40/17) дека дури и делумното одредување на целите може да ве направи заеднички контролор. Ова значи дека можете да бидете солидарно одговорни за прекршувања на GDPR, дури и ако друга страна ги предизвикала.

Практично готово: Мапирајте ги тековите на податоци и утврдете кој одлучува зошто како податоците се обработуваат. Документирајте го ова во писмена форма и осигурајте се дека секоја страна ја разбира својата улога и обврски.

3. Недостасува или несоодветен договор за обработка на податоци (член 28 од GDPR)

Ризикот: Доколку ангажирате обработувач за обработка на лични податоци во ваше име, законски сте обврзани да имате писмен договор за обработка на податоци (DPA). Без исклучоци.

Зошто компаниите грешат: Примамливо е да се прескокне документацијата, особено со доверливи или долгогодишни партнери. Но, без усогласен DPA, го прекршувате Член 28 од GDPR од првиот ден - дури и ако не се случи вистинска штета.

Соодветен DPA мора да вклучува специфични задолжителни клаузули: предметот и времетраењето на обработката, природата и целта на обработката, видот на лични податоци, категориите на субјекти на податоци и обврските и правата на контролорот. Исто така, мора да се однесува на подобработката, безбедноста на податоците и известувањето за прекршување.

Правна основа: Член 28(3) од GDPR ја наведува задолжителната содржина на DPA. Член 28(4) од GDPR бара експлицитно овластување за под-обработувачи.

Последици од реалниот свет: АП има санкционирано организации за ангажирање обработувачи без соодветни DPA. Дури и ако самиот обработувач е во согласност со прописите, контролорот сè уште може да биде казнет за непостигнување на соодветен договор.

Практично готово: Користете стандардизиран образец за DPA што ги опфаќа сите барања од Член 28(3). Прегледајте ги постојните договори за да се осигурате дека се во согласност со GDPR. Не вработувајте нов обработувач без потпишан DPA.

4. Незаконски трансфер во трети земји надвор од ЕЕА (членови 44-49 GDPR и Schrems II)

Ризикот: Преносот на лични податоци надвор од Европската економска зона (ЕЕА) е строго ограничен. Можете да го направите тоа само ако земјата-дестинација обезбедува соодветно ниво на заштита - или ако имплементирате соодветни заштитни мерки.

Зошто компаниите грешат: Многу бизниси користат услуги во облак, процесори за плаќања или алатки за аналитика хостирани во САД или Азија без да сфатат дека активираат меѓународни правила за трансфер. Дури и ако вашиот договор е со ентитет од ЕУ, ако податоците се складираат или се пристапува до нив надвор од ЕЕА, важат правилата за трансфер.

на Шремс Втори пресудата (случај C-311/18) го поништи Штитот за приватност меѓу ЕУ и САД и потврди дека само стандардните договорни клаузули (SCC) не се доволни. Исто така, мора да спроведете проценка на влијанието на трансферот (TIA) за да оцените дали законите на земјата-дестинација ја поткопуваат заштитата гарантирана со SCC.

Правна основа: Членовите 44–49 од GDPR ги регулираат меѓународните трансфери. Поглавје V од GDPR бара одлуки за соодветност (член 45) или соодветни заштитни мерки (член 46), како што се SCC.

Последици од реалниот свет: АП може да ви наложи да го суспендирате или забраните преносот на податоци во трети земји доколку не се воспоставени соодветни заштитни мерки. Компаниите се соочија со мерки за спроведување и штета на угледот за пренос на податоци во САД без спроведување на TIA по-Шремс Втори.

Практично готово: Идентификувајте ги сите трансфери од трети земји во вашите текови на податоци. Проверете дали постои одлука за соодветност. Доколку не, имплементирајте SCC и спроведете TIA. Документирајте дополнителни мерки доколку е потребно (на пр., енкрипција, псевдонимизација).

5. Неспроведување на проценка на влијанието врз заштитата на податоците (член 35 од GDPR)

Ризикот: Проценката на влијанието врз заштитата на податоците (DPIA) е задолжителна кога споделувањето податоци веројатно ќе резултира со висок ризик за правата и слободите на поединците. Ова вклучува обработка на посебни категории на податоци во голем обем, систематско следење или употреба на нови технологии.

Зошто компаниите грешат: Многу организации ги третираат DPIA како опционални или релевантни само за „големи“ проекти. Всушност, споделувањето здравствени податоци со аналитичка платформа од трети страни, распоредувањето алатки за профилирање управувани од вештачка интелигенција или комбинирањето на бази на податоци од повеќе извори може да го активираат барањето за DPIA.

ПВЗПП не е само вежба за штиклирање на полиња. Тоа е структуриран процес за идентификување на ризици, проценка на нивната сериозност и одредување мерки за нивно ублажување. Доколку преостанатите ризици останат високи, мора да се консултирате со AP пред да продолжите.

Правна основа: Член 35 од GDPR пропишува Проценка на влијанието врз заштитата на податоците (DPPA) за обработка со висок ризик. AP објави упатства за тоа кога е потребна Проценка на влијанието врз заштитата на податоците (DPPA).

Последици од реалниот свет: Неспроведувањето на Проценка на влијанието врз заштитата на податоците (DPIA) кога е потребно само по себе претставува прекршување на GDPR. AP ги казни организациите за продолжување со споделување на податоци со висок ризик без да се заврши Проценка на влијанието врз заштитата на податоците (DPIA), дури и кога не се случило вистинско прекршување на податоците.

Практично готово: Проверете ги сите активности за споделување податоци за активирања на DPIA. Во случај на сомнеж, спроведете еден. Вклучете го вашиот службеник за заштита на податоци (DPO) и темелно документирајте го процесот на проценка.

6. Несоодветни информации за субјектите на податоци (членови 13 и 14 од GDPR)

Ризикот: Транспарентноста е камен-темелник на GDPR. Секогаш кога собирате или споделувате лични податоци, мора да ги информирате субјектите на податоците за тоа кој ќе ги добие нивните податоци, за која цел и врз која законска основа.

Зошто компаниите грешат: Известувањата за приватност честопати се нејасни или застарени. Фрази како „можеби ги споделуваме вашите податоци со доверливи партнери“ не се доволни. Мора да ги наведете категориите на приматели (на пр., „даватели на услуги за хостирање во облак“, „маркетиншки агенции“) и, каде што е релевантно, да ги именувате.

Кога податоците се добиваат индиректно - на пример, од брокер на податоци или друг контролор - член 14 од GDPR наметнува дополнителни обврски за информации, вклучувајќи го и изворот на податоците.

Правна основа: Членовите 13 и 14 од GDPR ги наведуваат информациите што мора да им се достават на субјектите на податоци. Член 5(1)(a) од GDPR бара транспарентност во сите активности на обработка.

Последици од реалниот свет: АП им изрече санкции на компаниите затоа што не ги информирале поединците дека нивните податоци се споделуваат со трети страни. Дури и ако самото споделување било законско, несоодветната транспарентност е самостојно прекршување.

Практично готово: Прегледајте ги и ажурирајте ги вашите известувања за приватност за јасно да ги опишат практиките за споделување податоци. Осигурајте се дека известувањата се лесно достапни и напишани на јасен јазик. Кога споделувате податоци со нови партнери, ажурирајте ги вашите известувања пред да започне споделувањето.

7. Псевдонимизација како лажно чувство на сигурност

Ризикот: Псевдонимизацијата - замена на директните идентификатори со кодови или токени - се охрабрува според GDPR како безбедносна мерка. Но, тоа не ги прави податоците анонимни. Доколку податоците сè уште можат да се поврзат со поединец, тие остануваат лични податоци и подлежат на целосниот опсег на GDPR.

Зошто компаниите грешат: Компаниите честопати претпоставуваат дека псевдонимизираните податоци се „безбедни“ за споделување без ограничувања. Во пракса, псевдонимизацијата само го намалува ризикот; не го елиминира. Ако споделувате псевдонимизирани податоци со партнер кој има пристап до клучот или други збирки на податоци што овозможуваат повторна идентификација, сè уште обработувате лични податоци.

Правна основа: Член 4(5) од GDPR ја дефинира псевдонимизацијата. Рецитал 26 од GDPR појаснува дека псевдонимизираните податоци остануваат лични податоци освен ако не се навистина анонимизирани (т.е. повторната идентификација повеќе не е можна со какви било разумни средства).

Последици од реалниот свет: АП појасни во упатството дека псевдонимизацијата не е картичка „без излез од затвор“. Доколку е изводлива повторна идентификација, важат сите обврски според GDPR, вклучително и постоење на правна основа, спроведување на DPIA и обезбедување соодветна безбедност.

Практично готово: Третирајте ги псевдонимизираните податоци како лични податоци, освен ако не сте поминале низ ригорозен процес на анонимизација потврден од експерти. Документирајте ги техничките и организациските мерки што се преземаат за да се спречи повторна идентификација.

Најчесто поставувани прашања

Кога е дозволено споделување на податоци според GDPR?

Споделувањето податоци е законско само ако имате валидна правна основа согласно член 6 од GDPR. Шесте правни основи се: согласност, договорна неопходност, законска обврска, витални интереси, јавна задача и легитимни интереси. Исто така, мора да ги почитувате принципите на законитост, праведност, транспарентност, ограничување на целта, минимизирање на податоците, точност, ограничување на складирањето, интегритет и доверливост (член 5 од GDPR). Во пракса, ова значи јасно документирање зошто споделувате податоци, осигурување дека целта е во согласност со причината зошто првично сте ги собрале и информирање на субјектите на податоци за споделувањето.

Која е разликата помеѓу контролер и процесор?

A контролер ги одредува целите и начините за обработка на лични податоци. А процесор обработува податоци во име на контролорот според специфични упатства. Оваа разлика е важна бидејќи контролорите се првенствено одговорни за усогласеност со GDPR, додека обработувачите имаат поограничени обврски (главно обезбедување безбедност и доверливост). Ако споделувате податоци со добавувач кој ги обработува според ваши упатства - на пример, добавувач на плати или услуга за складирање во облак - тие обично се обработувачи. Ако тие исто така одлучат како да ги користат податоците за свои цели, тие може да бидат (заеднички) контролор. Погрешното идентификување на улогите може да доведе до празнини во одговорноста и заедничката одговорност за прекршувања.

Кога е задолжителен договор за обработка на податоци (DPA)?

ДПА е задолжителна секогаш кога ангажирате обработувач за обработка на лични податоци во ваше име (член 28 од GDPR). Ова важи без оглед на големината на вашата организација или обемот на вклучени податоци. ДПА мора да биде во писмена форма и да вклучува специфични задолжителни клаузули, како што се предметот и времетраењето на обработката, природата и целта, видовите податоци и категориите на субјектите на податоци и обврските на двете страни во врска со безбедноста, известувањето за прекршување и подобработката. Без усогласен ДПА, вие сте во прекршок од моментот кога обработувачот ќе започне со обработката, дури и ако не се случи штета.

Може ли да споделувам податоци за клиентите со страна надвор од ЕУ?

Да, но само ако се исполнети строги услови. Според членовите 44–49 од GDPR, можете да пренесувате податоци во трета земја ако: (а) Европската комисија издала одлука за соодветност за таа земја или (б) сте воспоставиле соодветни заштитни мерки, како што се стандардни договорни клаузули (SCC). Следејќи ги Шремс Втори Според пресудата, мора да спроведете и проценка на влијанието на трансферот (TIA) за да процените дали законите на земјата-одредиште (на пр., владиниот надзор) ја поткопуваат заштитата гарантирана со SCC. Доколку ризиците останат, мора да спроведете дополнителни мерки, како што се енкрипција или минимизирање на податоците. Трансферите без соодветни заштитни мерки може да резултираат со мерки за спроведување од страна на AP, вклучително и суспендирање на преносот.

Кога е потребна DPIA за споделување на податоци?

Според член 35 од GDPR, спроведувањето на DPIA е задолжително според член 35 од GDPR кога обработката веројатно ќе резултира со висок ризик за правата и слободите на поединците. Ова вклучува: обработка на посебни категории на податоци од голем обем (на пр., здравствени, биометриски, генетски податоци), систематско следење на јавно достапните области, автоматизирано донесување одлуки со правни или слично значајни ефекти и употреба на нови технологии. При споделување на податоци, DPIA често е потребна ако комбинирате збирки на податоци, споделувате чувствителни информации или ги користите податоците за профилирање или аналитика управувана од вештачка интелигенција. AP објави список на операции за обработка кои бараат DPIA. Доколку се сомневате, спроведете една - подобро е да бидете безбедни отколку да се извините.

Какви казни можат да се соочат компаниите за прекршување на GDPR?

GDPR предвидува два степена на казни. Понискиот степен - до 10 милиони евра или 2% од глобалниот годишен промет - се однесува на прекршоци како што се неспроведување соодветни безбедносни мерки или неспроведување на ПВЗПП кога е потребно. Повисокиот степен - до 20 милиони евра или 4% од глобалниот годишен промет - се однесува на посериозни прекршоци, вклучувајќи недостаток на законска основа за обработка, незаконски меѓународни трансфери или кршење на правата на субјектите на податоци. АП го одредува износот на казната врз основа на фактори, вклучувајќи ја природата и сериозноста на прекршокот, дали бил намерен или небрежен, бројот на засегнати лица и сите преземени мерки за ублажување. Неодамнешното спроведување покажува дека АП е подготвен да изрече значителни казни, особено за системски или намерни прекршоци.

Дали псевдонимизираните податоци секогаш се безбедни за споделување?

Не. Псевдонимизацијата го намалува ризикот, но не го елиминира. Според член 4(5) од GDPR, псевдонимизацијата значи замена на директните идентификатори (како имиња) со кодови или псевдоними. Меѓутоа, ако податоците сè уште можат да се поврзат со поединец - на пример, со користење на дополнителни информации што ги поседувате вие ​​или примателот - тие остануваат лични податоци и се целосно предмет на GDPR. Ова значи дека сè уште ви е потребна правна основа, мора да ги информирате субјектите на податоците и мора да обезбедите соодветна безбедност. Само вистинската анонимизација - каде што повторната идентификација повеќе не е можна со какви било разумни средства - ги отстранува податоците од опсегот на GDPR. Во пракса, постигнувањето вистинска анонимизација е тешко и бара стручна валидација.

Што треба да направам ако мојот бизнис има повреда на податоци поради незаконско споделување на податоци?

Доколку откриете повреда на лични податоци - вклучително и таква предизвикана од незаконско споделување на податоци - вие треба 72 часа да го известите АС согласно член 33 од GDPR (освен ако прекршувањето веројатно нема да резултира со ризик за правата и слободите на поединците). Исто така, мора да ги известите засегнатите лица без непотребно одложување ако прекршувањето веројатно ќе резултира со висок ризик за нив (член 34 од GDPR). Непосредните чекори вклучуваат: ограничување на прекршувањето, проценка на неговиот обем и влијание, документирање што се случило и што преземате во врска со тоа и известување на АС преку нивниот онлајн портал. Неизвестувањето може да резултира со посебна казна. АС ќе процени дали е потребно преземање мерки за спроведување врз основа на сериозноста на прекршувањето и вашиот одговор.

Заштитете го вашиот бизнис - добијте стручно правно советување

Споделувањето податоци е неизбежно, но прекршувањата на GDPR не мора да бидат. Седумте ризици наведени погоре не се теоретски - тие се извлечени од реални случаи на спроведување, судски пресуди и регулаторни упатства. Секој од нив може да резултира со казни, барања за одговорност и оштетување на угледот.

Добрата вест? Со соодветна законска рамка, јасна документација и проактивни мерки за усогласеност, можете да споделувате податоци со доверба и законски начин. Но, за да се направи тоа правилно, потребно е повеќе од општи совети - потребна е прилагодена правна поддршка што го разбира вашиот бизнис, вашите текови на податоци и специфичните ризици со кои се соочувате.

Не чекајте AP да затропа на телефон. Доколку не сте сигурни дали вашите практики за споделување податоци се во согласност со GDPR или доколку ви е потребна помош при изготвување на DPA, спроведување на DPIA или управување со меѓународни трансфери, контактирајте со специјализиран адвокат за приватност. Вашиот бизнис - и вашите клиенти - не заслужуваат ништо помалку.