Skip to Content

Выполнение предписаний GDPR

Как решения SAP и SAP Ariba помогут вашей организации обеспечить соблюдение регламента GDPR

I. Введение

В мае 2016 года Европейский союз (ЕС) одобрил новый согласованный закон о защите персональных данных под названием «Генеральный регламент о защите персональных данных» (General Data Protection Regulation, GDPR). С 25 мая 2018 года GDPR вступает в силу во всех государствах-членах ЕС и на всей территории Европейской экономической зоны. Регламент GDPR не вводит принципиально новых концепций, но значительно повышает уровень нормативных требований к контролерам (controllers) и обработчикам (processors) данных, касающихся процесса работы с персональными данными.

Обеспечение нормативного соответствия своей продукции регламенту GDPR к 25 мая 2018 года является одной из приоритетных целей компании SAP. В настоящее время компания SAP усиленно работает в направлении защиты данных, которая всегда была в числе стандартов качества продукции, чтобы обеспечить соответствие новым требованиям GDPR.

Пока наши клиенты готовятся к работе в условиях действия нового регламента, компания SAP составила список изменений, вводимых регламентом GDPR, последствий этих изменений, а также перечень функций решений SAP, которые позволят клиентам соответствовать требованиям регламента.

Входящая в состав группы SAP компания SAP Ariba активно содействует клиентам в выполнении требований GDPR. Во второй части данного информационного документа будут освещены конкретные функции решений SAP Ariba и возможности поддержки, обеспечивающие выполнение этих требований.

Информацию, содержащуюся в данном информационном документе, следует рассматривать только в качестве общей рекомендации с тем условием, что SAP не занимается оказанием юридических консультационных услуг. Ответственность за осуществление необходимых мер по обеспечению нормативного соответствия регламенту GDPR лежит на клиентах, выступающих согласно терминологии GDPR в качестве контролеров. Компания SAP не несет ответственности за какие-либо действия, осуществленные на основе ознакомления с данным информационным документом. Как таковой он не заменяет юридическую или профессиональную консультацию.

II. Цели

Целью регламента GDPR является согласование требований к защите данных в странах Европы в рамках единого регламента ЕС по защите данных. Он распространяется на юридические лица, деятельность которых регулируется публичным и частным правом, выступающие в качестве контролера или обработчика данных. Новый закон ориентирован на защиту прав и свобод физических лиц, на повышение доверия субъектов персональных данных к организациям, хранящим или обрабатывающим их данные, а также на укрепление внутреннего рынка ЕС. Для достижения этих целей GDPR предлагает единый комплекс правил, регулирующих обработку персональных данных на территории всего ЕС. Однако потенциал GDPR в части согласования требований по всему ЕС отчасти ограничивается так называемыми вводными статьями, которые позволяют странам ЕС принимать собственные законы и требования, касающиеся определенных аспектов обработки данных. Эти вводные статьи могут повлечь за собой необходимость выполнения контролерами и обработчиками данных дополнительных требований и обязательств, но не меняют положений регламента.

III. Материальная сфера действия

GDPR имеет широкую материальную сферу действия, в которую входит обработка персональных данных автоматическими средствами либо в иной структурированной форме, включая возможности систем регистрации. Это подчеркивается формулировкой регламента GDPR, гласящей, что он не применяется к обработке персональных данных, выполняемой физическими лицами исключительно в ходе осуществления персональной, частной или бытовой деятельности.

IV. Территориальная сфера действия

Территориальная сфера действия GDPR также широка и распространяется на любые действия контролера или обработчика данных в ЕС, включающие обработку персональных данных отдельных лиц. Основным критерием является местонахождение контролера или обработчика данных на территории ЕС. Регламент GDPR также применяется к контролерам и обработчикам, располагающимся вне ЕС, если обработка данных осуществляется с целью предоставления товаров или услуг субъектам данных в ЕС либо с целью мониторинга поведения субъектов данных в ЕС.

V. Основные положения

GDPR вводит несколько новых законодательных требований, которые могут оказать значительное влияние на деятельность контролера или обработчика. Поэтому каждому контролеру или обработчику необходимо выяснить, какие требования GDPR к нему применимы, и обеспечить их надлежащую реализацию.

Общие принципы

В соответствии с общими принципами обработки регламент GDPR требует, чтобы обработка данных была правомерной, соразмерной, прозрачной, адекватной, точной, безопасной, конфиденциальной, ограниченной по времени и соответствующей заявленным целям, осуществляемой с соблюдением норм ответственности и подотчетности (что подразумевает применение соответствующих мер безопасности, включая технические и организационные, для обеспечения целостности и конфиденциальности данных).

Персональные данные

GDPR четко определяет понятие «персональные данные» — это данные, относящиеся к идентифицированному или идентифицируемому частному лицу. Статья 4(1) регламента GDPR гласит: «идентифицируемым физическим лицом является физическое лицо, которое может быть прямо или косвенно идентифицировано, в частности, при помощи таких признаков, как имя и фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор либо одного или нескольких факторов, относящихся к физической, физиологической, генетической, ментальной, экономической, культурной или социальной идентичности данного физического лица». В объем этого термина явно включены метаданные и другие связанные данные, такие как IP-адреса, файлы cookie и другие идентификаторы, равно как и комбинации таких данных, которые позволяют проследить путь к отдельному лицу. Регламент GDPR расширил применявшийся ранее каталог специальных категорий персональных данных, включив в него генетические данные, биометрические данные в случае их использования для однозначной идентификации физического лица, а также данные, относящиеся к судимостям и правонарушениям.

Правомерность

Обработка персональных данных является правомерной только в случае соответствия одному из критериев разрешения такой обработки, установленных GDPR. При отсутствии прямого разрешения в соответствии с законом организациям необходимо получать согласие от физических лиц, данные которых будут обрабатываться. Это согласие должно распространяться на все цели, в которых организация, намеревающаяся обрабатывать данные, собирает и обрабатывает данные; регламент также подразумевает право физического лица отозвать согласие в любой момент. В силу этого такие понятия, как общее согласие или глобальное согласие для различных неопределенных целей, неприменимы к обработке персональных данных.

Подотчетность

Регламент GDPR нацелен на повышение подотчетности организаций, обрабатывающих персональные данные, и повышение прозрачности обрабатываемых данных. При всем сходстве структуры и сути GDPR с действующей Директивой ЕС новый регламент предусматривает гораздо более строгие меры по его выполнению. Наказания за нарушение положений регламента исключительно суровы, в частности, предусмотрены административные штрафы в размере до 4% глобального годового оборота организации или 20 млн евро (применяется большая из этих двух сумм). Потенциальные иски о возмещении ущерба и другие риски юридической ответственности призваны стимулировать компании к разработке внутренних структур и процессов, необходимых для обеспечения соблюдения положений регламента.

Проектируемая защита данных и защита по умолчанию

Согласно регламенту GDPR, защита конфиденциальности должна быть встроена преднамеренно и должна наличествовать по умолчанию и в системах, и в процессах. Организации обязаны гарантировать, что обработка данных ведется исключительно в заявленных целях, и продемонстрировать наличие механизмов защиты данных на самых глубоких уровнях ИТ-инфраструктуры и проектирования решений.

Техническая и организационная безопасность

Организации также обязаны внедрить все необходимые технические и организационные механизмы (ТОМ) для обеспечения уровня безопасности, соответствующего уровню риска при обработке информации для субъектов персональных данных. Для этого необходимо проанализировать внутренний ландшафт ИТ-активов и процессов организации, чтобы определить схему потоков данных, затрагивающих персональные данные. Это позволит удостовериться в адекватности архитектуры безопасности.

Права субъекта персональных данных

В соответствии с принципом, согласно которому физическое лицо должно знать и всегда иметь возможность определить, какие именно персональные данные обрабатываются, кем, с какими целями и в течение какого периода времени, контролеры данных должны будут активно предоставлять определенную информацию общего характера и конкретные данные, что соответствует применяемым в GDPR пересмотренным понятиям переносимости данных и прав частного лица на доступ, отказ или возражение, а также на забвение. Поэтому организациям, включенным в процесс обработки персональных данных, необходимы надежные внутренние процессы и специально установленные роли.

Управление данными

Организациям необходимо внедрить комплекс системных мер для снижения риска нарушений, поскольку клиенты, выступающие в качестве контролеров данных, должны продемонстрировать субъектам персональных данных и регулирующим органам соблюдение соответствующих положений регламента, а компания SAP, выступая в качестве обработчика данных, должна продемонстрировать то же своим клиентам. Сложность повышается вследствие того, что организациям необходимо отслеживать все цели обработки персональных данных и гарантировать наличие согласия всех физических лиц на каждый эпизод обработки их персональных данных. Эти меры должны быть встроены в существующую ИТ-инфраструктуру. В зависимости от результата оценки рисков системы защиты персональных данных компании следует принять определенные меры, такие как назначение ответственного за защиту данных лица, выполнение оценки влияния принятых мер на конфиденциальность и организация регулярных процедур аудита, которые помогут обеспечить соблюдение требований регламента.

Уведомление об утечках

Эта ситуация имеет место, когда что-то пошло не так — либо внутренние механизмы организации не смогли предотвратить утечку данных, либо обработка персональных данных имела цели, отличные от правомерных. В случае утечки данных контролер данных обязан уведомить надзорный орган в течение 72 часов после того, как об этой ситуации стало известно. Обработчики данных должны уведомить контролеров незамедлительно после того, как стало известно об утечке персональных данных.

VI. Роль решений и сервисов SAP Ariba

Решения SAP Ariba помогут клиентам обеспечить соблюдение регламента GDPR по нескольким направлениям. Например:

  • Решения SAP Ariba поддерживают управление данными сотрудников и поставщиков и их защиту, включая доступность и обзорность данных, благодаря чему специалисты компаний-клиентов по закупкам и управлению цепочкой поставок могут уделять больше времени своим непосредственным обязанностям.

  • С помощью SAP Ariba клиенты могут упрочить и защитить важнейшие процессы сотрудничества с поставщиками, управляя всеми этапами — от выбора поставщиков до финансирования.

  • SAP Ariba обеспечивает удовлетворение требований к организациям, касающихся подотчетности, безопасности и защиты данных. 

Роли и определения GDPR, относящиеся к сервисам SAP Ariba

Контролер данных. Согласно статье 4(7) GDPR, «"контролер данных" — это физическое или юридическое лицо, орган власти, агентство или иной орган, который единолично или совместно с другими определяет цели и средства обработки персональных данных» (выделение добавлено нами).

В общем случае контролер несет ответственность за все собранные персональные данные и должен гарантировать соблюдение обработчиком прав субъекта персональных данных и собственных юридических обязательств.

  • Клиенты SAP Ariba при использовании решений SAP Ariba являются контролерами данных. SAP Ariba выступает в качестве обработчика данных в интересах клиента согласно договору (например, соглашению о защите данных, описанию сервиса или контракту на выполнение работ).

  • Поставщики SAP Ariba являются контролерами данных и несут полную ответственность за персональные данные, вводимые в сеть Ariba, например, посредством самостоятельной регистрации.

Обработчик данных. Согласно статье 4(8) GDPR, «"обработчик данных" — это физическое или юридическое лицо, орган власти, агентство или иной орган, который выполняет обработку персональных данных в интересах контролера» (выделение добавлено нами).

В общем случае это относится к обработке данных на основании указаний контролера данных согласно договору.

  • SAP Ariba как провайдер облачных решений для клиентов и поставщиков выступает в качестве обработчика данных для клиентов и поставщиков (которые являются контролерами данных).

Решения SAP Ariba и персональные данные

  • Категории персональных данных. Решения SAP Ariba обрабатывают только базовую контактную информацию отдельных лиц, являющихся пользователями или деловыми партнерами, такую как адрес электронной почты, табельный номер, имя и фамилия, номер рабочего телефона и почтовый адрес.

  • Специальные категории персональных данных. Положение о конфиденциальности SAP Ariba запрещает использование решений для обработки специальных категорий персональных данных.

  • Трансграничная передача данных. SAP Ariba поддерживает соглашения о передаче данных с аффилированными компаниями SAP/SAP Ariba и компаниями-субобработчиками, соответствующие требованиям ЕС к трансграничной передаче персональных данных. Эти соглашения основываются на стандартных договорных условиях ЕС, полностью отвечающих требованиям GDPR, и призваны обеспечить адекватный уровень защиты данных в случае передачи данных в страны за пределами ЕС.

  • Шифрование. Персональные данные зашифрованы на уровне хранилища, все внешние коммуникации осуществляются в зашифрованном виде, имеются соответствующие политики обеспечения безопасности.

Как SAP Ariba поддерживает клиентов в качестве обработчика данных

  • SAP Ariba внедряет необходимые технические и организационные механизмы (ТОМ), касающиеся обеспечения подотчетности и применения технологий, обеспечивая регистрацию операций обработки данных, оценку влияния на конфиденциальность, а также поддерживая проектируемую конфиденциальность и конфиденциальность по умолчанию в рамках цикла изготовления продукции. 

  • SAP Ariba следует единому подходу SAP к функционированию всех облачных решений на основе соглашения о защите данных (DPA), которое является неотъемлемой частью договора с клиентом и содержит стандартные договорные условия, обеспечивающие предоставление клиентам гарантий защиты данных.

  • Сотрудники SAP Ariba обязаны ежегодно проходить обучение по вопросам защиты данных, а также конфиденциальности и безопасности информации, охватывающее основные принципы обеспечения конфиденциальности и безопасности.

  • Компания SAP стремится к тому, чтобы клиенты лучше понимали, как решения SAP Ariba обеспечивают конфиденциальность, целостность и доступность их данных, а также постоянную подотчетность, чему служит публикация в SAP Trust Center информации о сертификатах и аттестациях компании, соглашениях об обработке данных, доступности облачных решений в реальном времени и других подобных темах.

Функции решений SAP Ariba, обеспечивающие соблюдение требований GDPR

  • Согласие. Решения SAP Ariba запрашивают согласие пользователя и подтверждение уведомлений о конфиденциальности до того, как новым пользователям будет разрешена работа с ними. В их число входят, в частности, цель обработки и категории обрабатываемых персональных данных. SAP Ariba пересматривает встроенные механизмы подтверждения согласия, такие как конфигурируемые клиентом положения о конфиденциальности. Наши решения также поддерживают функцию самостоятельной отмены согласия, позволяющую получателям отписаться от получения нежелательных сообщений, например, уведомлений по электронной почте.

  • Право на забвение. Решения, ориентированные на закупщиков, возлагают управление пользователями и ролями на администратора по работе с клиентами. SAP Ariba также пересматривает функции удаления и хранения персональных данных, такие как удаление персональных данных и анонимизация. В любом случае после окончания срока действия договора все общие данные о клиентах удаляются.

  • Право на уточнение. Пользователи решений SAP Ariba могут в любое время редактировать или корректировать свои персональные данные в системе в профиле пользователя.

  • Прозрачность. Решения SAP Ariba обеспечивают прозрачность персональных данных и предпочтений пользователя. SAP Ariba также пересматривает функции администратора для поддержки экспорта данных пользователей в стандартном формате и удобного представления журнала изменений.

  • Контроль полномочий и раскрытия информации. Решения SAP Ariba позволяют клиентам управлять авторизацией, аутентификацией и доступом на основе ролей для сотрудников, подрядчиков, а также третьих лиц. Широкая функциональность и потоки операций для обработки заявок позволяют новым пользователям SAP Ariba в роли администратора менять права доступа пользователей в соответствии с изменениями их ролей и управлять неактивными пользователями.

  • Проектируемая конфиденциальность и конфиденциальность по умолчанию. Подход SAP Ariba к разработке продукции следует стандартным для SAP требованиям к обеспечению безопасности. На фазе проектирования применяются дополнительные меры по обеспечению конфиденциальности, такие как практика ограниченного сбора персональных данных. По умолчанию установлен максимальный уровень безопасности для таких настроек, как:

  • Стирание данных, идентифицирующих личность, после прекращения срока действия договора и по требованию

  • Согласие на получение уведомлений о конфиденциальности (настраиваемое)

  • Регистрация в журнале на уровне поля и доступ к журналам

  • Возможность обзора, редактирования и переноса данных, идентифицирующих личность

  • Конфигурируемая продолжительность хранения и ограничение обработки

  • Функции самостоятельной подписки/отмены подписки, а также записи в журнал

  • Механизмы доступа к данным, аутентификации, авторизации и шифрования, соответствующие отраслевым стандартам

Сервисы SAP Ariba, обеспечивающие соблюдение требований GDPR

  • Уведомление об утечке данных. В случае утечки персональных данных сервисы SAP Ariba обеспечивают полную поддержку обязательства незамедлительного уведомления об утечке. SAP Ariba обеспечивает комплексный процесс — от выявления утечки до уведомления клиента.

  • Права субъекта персональных данных. Сервисы SAP Ariba поддерживают клиента в вопросах, связанных с конфиденциальностью, и обеспечивают поддержку для клиентов, связанных обязательством реагирования на осуществление прав физического лица либо обязательством по защите персональной информации.

  • Прозрачность. Сервисы SAP Ariba поддерживают клиентов в выполнении обязательств по регистрации операций обработки, предоставляя в их распоряжение компонент SAP Ariba, полностью соответствующий требованиям, предъявляемым регламентом GDPR к обработчикам данных. SAP Ariba также выполняет оценку влияния на конфиденциальность для новых продуктов и услуг (или инноваций) и регулярных обновлений продуктов и услуг в рамках цикла выпуска новых версий.

  • Подотчетность. SAP Ariba позволяет гарантировать подотчетность благодаря непрерывному осуществлению таких операций, как регулярная сертификация, оценка рисков, оценка безопасности приложений, сетей и ИТ-инфраструктуры, а также наличию документированных программ и политик обеспечения безопасности и проведению регулярных тренингов по вопросам безопасности.

  • Нормативное соответствие компаний-субобработчиков. SAP Ariba обеспечивает полное соблюдение требований регламента субобработчиками за счет правовой экспертизы договоров с ними и оценки рисков безопасности на базе стандартных корпоративных процессов SAP для осуществления закупок, включая соглашения о защите данных, регулирующие вопросы защиты персональных данных. Список утвержденных субобработчиков регулярно обновляется и доступен клиентам.

VII. Дополнительная информация

Для получения дополнительной информации о регламенте GDPR обратитесь в SAP Trust Center, изучите соответствующие документы на сайте Европейской комиссии или ознакомьтесь с руководством по европейскому законодательству о защите данных.

При наличии вопросов, имеющих отношение к вашей учетной записи и любым соглашениям и договорам с SAP Ariba, обратитесь к своему представителю.

Популярні пошукові терміни: