3 июля 2009 года федеральный парламент Германии полностью принял поправки к Федеральному закону о защите данных. Эти поправки также принял Федеральный совет 10 июля 2009 года. Пересмотренный закон вступит в силу 1 сентября 2009 года. Новые поправки касаются данных, использующихся в маркетинге, уведомлениях о нарушении безопасности, при оформлении договоров, а также данных сотрудников. Они также включают новые полномочия для органов, работающих в сфере защиты данных, и предусматривают увеличение штрафов за нарушения закона.
Данные, используемые в маркетинговых целях
В соответствии с пересмотренным законом, обработка и использование персональных данных маркетинговыми службами в целях продвижения различных товаров и услуг, как то адреса и контактные данные, будет разрешена только в том случае, если человек дал на это личное согласие. Существуют, однако, некоторые исключения из этого правила:
(I) обработка и использование уже имеющихся на момент принятия поправок в базе данных будет по-прежнему регулироваться старым законом до 31 августа 2012 года. В течение переходного периода, так называемый «список данных, не облагающийся запретом» (разрешение на передачу и использование некоторой информации, объединенной в списки) будет по-прежнему применяться к данным, имеющимся в базе.
(II) согласие не требуется для обработки и использования определенных данных, при условии, что обработка и использование необходимы для осуществления: (а) продвижения деятельности оператора персональных данных, если данные были взяты им напрямую у субъекта персональных данных или из публичных источников; (б) рекламы, касающейся предоставляемых услуг, с предоставлением адреса компании, или (с) рекламы благотворительных пожертвований.
(III) Информация, содержащаяся в списках, может быть передана третьей стороне без согласия субъекта персональных данных при условии, что: (а) срок хранения информации превышает два года, и (б) в рекламе будет указан оператор персональных данных.
(IV) данные могут быть переданы третьим лицам, только в том случае, если в рекламе указываются данные, идентифицирующие оператора персональных данных.
В дополнение к соблюдению новых правил, при планировании маркетинговых кампаний, промо-акций третьих сторон и обмене базами данных, необходимо предпринять меры для оценки законности вышеуказанных действий после окончания действия отсрочки (31 августа 2012 года).
Шифрование в качестве меры защиты
Несмотря на то, что данный закон уже учитывает шифрование в качестве технической меры защиты, новые поправки являются дополнением к Статьте 9 Федерального закона и касаются только инструментов шифрования и мероприятий, необходимых для обеспечения контроля доступа и защиты данных при их передаче через электронные каналы. Такие инструменты шифрования и мероприятия, по мнению законодателей, должны соответствовать “Stand der Technik” – новейшим стандартам технологий.
Требования об уведомлениях о нарушении информационной безопасности
Оператор персональных данных является субъектом требований об обязательном уведомлении пострадавших при утечке их персональных данных. Требования об уведомлении будут распространяться на следующие категории данных:
(I) конфиденциальные данные (как они определены в Федеральном законе о защите данных);
(II) персональные данные с учетом профессиональных или служебных обязанностей (например, данные, хранящиеся в юридических и медицинских организациях);
(III) данные, касающиеся уголовных или административных правонарушений;
(IV) данные по банковским или кредитным картам;
(V) данные клиентов или данные трафика, согласно определению в телекоммуникационном законодательстве (например, данные, хранящиеся у операторов связи, такие, как персональные данные абонента и данные трафика);
(VI) данные клиентов или эксплуатационные характеристики, согласно определению в Законе о теле- и радиовещании (например, данные, используемые для предоставления электронных информационных и коммуникационных услуг, включая регистрационные и иные используемые данные, по которым можно идентифицировать отдельных пользователей).
Уведомление требуется в случае незаконной передачи данных или несанкционированного доступа третьей стороны, если утечка данных может иметь серьезные последствия для защиты прав и интересов заинтересованных лиц. В комментариях к законопроекту отмечается, что при оценке возможных последствий и серьезности нарушения безопасности должен быть учтен тип данных.
Если требуется уведомление, оператор персональных данных должен немедленно уведомить соответствующий орган по защите данных, а также пострадавших лиц.
Вышеуказанные стороны должны быть уведомлены об утечке ПОСЛЕ: (а) проведения мероприятий и принятии соответствующих мер по защите скомпрометированных данных и (б) окончания уголовного расследования. Кроме того, закон устанавливает определенные минимальные требования к содержанию уведомления.
В тех случаях, когда уведомление каждого пострадавшего будет невозможно, в особенности, если пострадало большое количество людей, уведомление должно быть предусмотрено для публикации в СМИ. В подобном случае текст уведомления, или его часть, должен быть размещен на страницах газеты или предан огласке с помощью других средств массовой информации, которые смогут обеспечить доступ к этой информации всем заинтересованным лицам.
Организациям будет необходимо разработать процедуры реагирования на происшествия и назначить группу, ответственную за проведение соответствующих мероприятий, для оперативного устранения последствий нарушения безопасности, в соответствии с действующим законодательством.
Требования к контрактам сервис-провайдеров
В соответствии с новым законом, договора между операторами персональных данных и сервис-провайдерами, также обрабатывающими персональные данные, должны включать подробные требования к защите данных. Закон приводит перечень требований, которые должны быть прописаны в договорах, включая, но не ограничиваясь: сферу и цель обработки и хранения данных, обеспечение безопасности, обязанности оператора персональных данных, права доступа субподрядчиков, аудит, возврат хранимых данных и их уничтожение. Эти требования будут действительны как для немецких юридических лиц, так и для договоров с иностранными контрагентами. Компаниям необходимо пересмотреть все договора, включая локальные, и убедиться в том, что они удовлетворяют требованиям закона.
Дополнительная защита данных сотрудников
Новый закон также обеспечивает более надежную защиту данных сотрудников при их сборе, обработке и использовании. Он вводит определение понятия «сотрудник» и содержит конкретные правила обработки данных сотрудника при оформлении трудовых отношений. Как правило, данные сотрудника могут быть собраны, обработаны и использованы при необходимости в целях принятия решений при оформлении, сохранении или прекращении трудовых отношений.
В целях выявления уголовных правонарушений, данные сотрудников могут изыматься и обрабатываться только в случае выполнения следующих условий: (а) доказательства должны быть документированы и подтверждать подозрение, что данное лицо совершило уголовное преступление; (б) сбор, обработка и использование данных должны быть действительно необходимы для выявления преступника; (в) вид и объем сбора, обработки и использования данных должны быть пропорциональными, учитывая закон о защите прав человека и обстоятельств расследования.
Поскольку новые правила ограничивают возможности компаний при расследовании правонарушения, к расследованию могут быть привлечены сотрудники, которые смогут способствовать проведению внутреннего расследования.
Расширение прав офицеров информационной безопасности компаний
Сотрудник, отвечающий за защиту конфиденциальных данных внутри компании (офицер ИБ), может извлечь выгоду из строгости нового закона. Трудовые отношения не могут быть расторгнуты руководством без уважительной причины, и прекращение не допускается по крайней мере в течение 12-месяцев после окончания срока действия должностных полномочий офицера ИБ, если правление имеет основания для прекращения трудового договора. Также офицерам ИБ будет предоставлена возможность повысить свою квалификацию и участвовать в тренингах за счет компании. Руководство должно принять к сведению данные требования и незамедлительно пересмотреть договоры и должностные инструкции персонала, связанного с защитой информации в компании.
Новые полномочия органов по защите информации
Поправки в Федеральный закон также расширили полномочия органов по защите информации. Так, данные органы будут уполномочены устанавливать порядок и организовывать выполнение мероприятий по устранению сбоев при сборе, обработке и использовании персональных данных или возникающих в связи с техническими неполадками и организационными ошибками. Там, где были обнаружены серьезные сбои или нарушения, органы по защите информации смогут запретить сбор, обработку и использование данных или выполнение отдельных процедур обработки данных, при соответствующих условиях.
Увеличение штрафов и ужесточение санкций
В соответствии с новыми поправками к закону также были увеличены максимальные штрафы за нарушение информационной безопасности с €25.000 до €50.000 за незначительные нарушения, и с €250.000 до €300.000 за более серьезные нарушения закона. В дополнение могут быть наложены и более высокие штрафы, в случае получения компанией коммерческой выгоды в результате нарушения закона о защите информации. Компанию могут обязать вернуть часть выручки за вычетом суммы предусмотренного законом штрафа за данный вид нарушения.
Заключение
Новые поправки в Федеральный закон о защите данных будут оказывать влияние и на деятельность немецких компаний за рубежом. Начиная с адаптации маркетинговой стратегии и заканчивая пересмотром взаимоотношений сервис-провайдеров. В соответствии с новыми требованиями об обязательном уведомлении о нарушении безопасности, сейчас компаниям необходимо пересмотреть свои методы защиты данных и рассмотреть возможность реализации более комплексного подхода к защите информации.
Новые правила, скорее всего, прибавят работы органам, осуществляющим надзор за соблюдением требований законодательства о защите данных. Защита данных как сотрудников, так и клиентов компаний, и управление информационными рисками должны стать ключевыми элементами организации бизнеса компаний.
КОММЕНТАРИЙ ЭКСПЕРТА
Николай Федотов, ведущий аналитик компании InfoWatch: При знакомстве с новыми положениями немецкого закона постоянно вспоминается российский «О персональных данных» (№152-ФЗ). Такое впечатление, что немцы позаимствовали у русских очень многое. Правда, российский закон гораздо более строгий. К тому же, самые затратные требования в России «спрятаны» внутрь подзаконных актов. Как будет с подзаконными актами в Германии, сейчас трудно сказать.
Но в одном вопросе, вопросе об уведомлении субъектов персональных данных, немцы отвергли «русский путь» и решительно двинулись американским. И это несмотря на то, что практика уведомлений в США и последовавшей тем же путём Великобритании выявила ряд проблем. В частности, уведомления потерпевших в большинстве случаев приводят к обнародованию инцидента с персональными данными, описание которого попадает в прессу. А это увеличивает риски и облегчает действия злоумышленников. Тем не менее, от обязательных уведомлений об утечках плюсы тоже есть.
Следует учесть, что по ситуации с персональными данными Германия гораздо ближе к России, чем к США с Англией. Дело в том, что в Германии и России не существует «быстро монетизируемых» персональных данных, таких как номер соцстрахования (SSN) в США и номер медстрахования (NHS) в Великобритании. Завладев этим номером, злоумышленник может легко обратить его в деньги, нанеся ущерб владельцу, либо продать на чёрном рынке. Это называется «кражей личности» (identity theft). Персональные данные россиян и немцев на чёрном рынке не котируются, простых схем мошенничества с ними не существует, а сложные схемы обычно не окупаются.
Мне кажется, что одним из последствий принятого закона будет рост спроса на DLP-системы (системы защиты от утечек конфиденциальной информации) и другие аналогичные DLP-системам устройства.
Источник