Что такое GDPR, и как это касается вашего бизнеса
Интернет кардинально изменил то, как мы общаемся и как решаем повседневные задачи. Мы отправляем электронные письма, делимся документами, оплачиваем счета и покупаем товары, вводя свои личные данные онлайн не задумываясь. Но безопасно ли это?
Информация в интернете
Вы когда-нибудь замечали то, каким количеством личных данных вы поделились в интернете? Или что происходит с этой информацией? Мы говорим о банковской информации, контактах, адресах, сообщениях в социальных сетях и даже о вашем IP-адресе и сайтах, которые вы посетили, все эти данные хранятся в цифровом виде.
Компании сообщают вам, что они собирают такого рода информацию, чтобы усовершенствовать обслуживание, предлагать вам более целенаправленные и релевантные услуги, то есть предоставить вам лучший опыт работы с клиентами.
Но реально ли данные используются для этих целей? Этот вопрос задан Европейским Союзом еще много лет назад, но только в мае 2018 года было введено в действие европейское регулирование под названием GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент навсегда изменил способ сбора, хранения и использования вами в качестве бизнеса данных клиентов.
Итак, занимаетесь ли вы технологиями, путешествиями или розничной торговлей на международном уровне, мы в данной статье объясним, что такое GDPR и как это влияет на ваш бизнес. Также мы включим практические советы, как вы можете подготовиться к соблюдению GDPR.
Что такое GDPR
GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент включен во все местные законы «о конфиденциальности» во всех регионах Евросоюза. Также регламент распространяется на все компании, продающие или хранящие личную информацию о гражданах в Европе.
Другими словами, введение GDPR — это введение законодательства, которое бы адекватно защищало персональные данные граждан ЕС. В соответствии с регламентом GDPR «персональные данные» — это любая информация, относящаяся к человеку, такая, как: имя, фотография, адрес электронной почты, банковские реквизиты, обновления на сайтах социальных сетей, сведения о местоположении, медицинская информация или IP-адрес компьютера.
8 основных прав GDPR
В соответствии с GDPR физические лица имеют:
Влияние GDPR на бизнес
Что ж, GDPR применяется ко всем предприятиям и организациям, созданным в ЕС, независимо от того, происходит ли обработка данных в ЕС или нет. Даже организации, не входящие в ЕС, попадают под действие GDPR, если бизнес предлагает товары и/ или услуги гражданам ЕС.
Все организации и компании, работающие с персональными данными, должны назначать сотрудника/организацию по защите данных, которые должны отвечать за соблюдение GDPR.
Для тех компаний и организаций, которые не соблюдают требования GDPR, предусмотрены жесткие штрафы в размере до 4 % от годовой мировой выручки или 20 миллионов евро, в зависимости от того, что больше.
Подготовка к соблюдению GDPR
Первоначально необходимо, чтобы все отделы компании внимательно изучали свои данные и то, как они их обрабатывают. Есть много вещей, которые компания должна сделать, чтобы соответствовать требованиям GDPR. Если вам еще предстоит сделать следующий шаг на пути к соблюдению требований, то вот лишь несколько моментов, которые помогут вам начать:
Шаг 1. Сопоставьте данные вашей компании
Составьте карту, откуда берутся все персональные данные в вашем бизнесе, и задокументируйте, что вы делаете с этими данными. Определите, где хранятся данные, кто способен получить к ним доступ и существуют ли какие-либо риски для данных.
Шаг 2. Определите, какие данные должны оставаться
Не храните больше информации, чем необходимо, и удаляйте любые данные, которые вы не используете. Если ваш бизнес собрал много данных без какой-либо реальной выгоды и смысла, то сейчас самое время подумать, какие данные важны для вашего бизнеса, а какие в обязательном порядке необходимо удалить.
Шаг 3. Примите меры безопасности
Разработайте и внедрите меры безопасности во всей вашей инфраструктуре, чтобы помочь предотвратить любые нарушения/утечку данных. Помимо принятия мер безопасности для защиты от утечки данных, это в том числе включает в себя принятие быстрых мер для уведомления отдельных лиц и органов власти в случае, если нарушение произойдет.
Обязательно свяжитесь со своими поставщиками/партнерами. Аутсорсинг не освобождает вас полностью от возможной ответственности, и вам необходимо убедиться, что у ваших партнеров тоже есть действующие меры безопасности.
Шаг 4. Ознакомьтесь с вашей документацией
В соответствии с GDPR физические лица должны дать явное согласие на сбор и обработку своих данных. Предварительно установленные флажки или подразумеваемое согласие не являются приемлемыми. Вам придется просмотреть все ваши заявления о конфиденциальности и раскрытии информации и при необходимости скорректировать их.
Шаг 5. Установите процедуру обработки персональных данных
Как мы упоминали ранее, необходимо иметь в виду, что физические лица имеют 8 основных прав в соответствии с GDPR.
Заключение
Данные — ценная валюта в сегодняшнем мире. И хотя GDPR в самом деле создает проблемы и боль бизнесу, он в том числе создает и возможности.
Компании, которые демонстрируют, что ценят конфиденциальность отдельных лиц (помимо простого соблюдения законодательства), которые прозрачны в отношении того, как используются данные, которые разрабатывают и внедряют новые и усовершенствованные способы управления данными клиентов на протяжении всего времени работы с клиентом, укрепляют доверие и лояльность клиентов.
Также, обратив внимание на огромные штрафы, делаем вывод о том, что любой бизнес, не подстраивающийся под правила GDPR, рискует своим собственным положением.
Российские компании подпали под действие европейского законодательства: каковы последствия?
Какие потери могут понести предприниматели из-за несоблюдения требований Регламента о защите персональных данных и как этого избежать?
Почему российские компании должны знать о европейском Регламенте о защите персональных данных?
25 мая 2018 г. вступил в силу Общий регламент о защите персональных данных (General Data Protection Regulation, или GDPR). Этот акт включает новые унифицированные для Европейского Союза правила, касающиеся обработки персональных данных (ПДн).
Между тем Регламент действует по экстерриториальному принципу, то есть соответствовать требованиям GDPR должны также компании, находящиеся за пределами ЕС, которые осуществляют обработку ПДн клиентов из ЕС. Стоит отметить, что российские компании здесь не являются исключением. По нашим данным, из 200 крупнейших компаний России около 50% подпадают под действие Регламента. Наличие дочерних компаний, офисов или представительств на территории ЕС, наличие веб-сайта на языке государства – члена ЕС, на котором можно заказать товары или услуги либо с помощью которого осуществляется мониторинг поведения субъектов ПДн из ЕС, – все это может послужить причиной подпадания компании под действие GDPR.
Регламент может также повлиять на российские компании, не имеющие дочерних предприятий в ЕС, – например, через деловых партнеров в ЕС, которые вынуждены учитывать риски при сотрудничестве с организациями, расположенными за пределами Европейского Союза. Принимая во внимание огромные штрафы за нарушение Регламента, российским компаниям стоит с большим вниманием отнестись к выполнению требований GDPR.
Как определить, подпала ли организация под действие GDPR?
Компания, расположенная на территории Российской Федерации, может подпадать под действие Регламента в следующих случаях:
Российские компании, у которых есть партнеры, поставщики или дочерние предприятия в ЕС, также будут вынуждены соблюдать требования GDPR. Компаниям, учрежденным на территории ЕС, необходимо вносить дополнительные положения в договоры, чтобы их российские партнеры соблюдали требования Регламента. Таким образом, GDPR требует пересмотра всех договоров, поручений на обработку ПДн и соглашений с операторами, обрабатывающими ПДн субъектов ЕС.
Дополнительные индикаторы, на которые следует обращать внимание при определении того, подпадает ли компания под действие GDPR:
На какие положения GDPR нужно обратить особое внимание?
Требования GDPR во многом схожи с требованиями российского Закона о персональных данных. И прежде чем приводить процессы обработки ПДн в соответствие с европейским Регламентом, следует убедиться в соблюдении норм российского закона.
Затем необходимо обратить внимание на ключевые положения Регламента, которые отсутствуют в законодательстве РФ:
К каким последствиям может привести несоответствие требованиям GDPR?
Несоблюдение требований Регламента может привести к финансовым, юридическим и репутационным последствиям, поэтому не стоит скептически относиться к вероятности проведения на территории РФ проверки европейскими регуляторами (Data Protection Authority). Если будет выявлено несоответствие требованиям GDPR, европейский регулятор вправе запретить компании, имеющей дочерние предприятия в ЕС, вести деятельность на территории Европейского Союза. Это может привести к потере доверия клиентов, их оттоку и в результате к снижению дохода компании.
Отметим, что административная и судебная практика по GDPR начала формироваться только в мае 2018 г., однако уже известны случаи выставления штрафов за несоблюдение требований Регламента:
1. В Австрии DSB (Austrian Data Protection Authority) наложил штраф размером 4800 евро на предпринимателя, установившего камеру видеонаблюдения снаружи своего офиса без предупреждения о видеозаписи. В область обзора камеры попадали публичные места и соседние улицы. Нарушение заключалось в том, что обработка персональных данных велась при отсутствии правового основания, а субъекты ПДн не были уведомлены об этой обработке.
2. В Португалии CNPD (Comissão Nacional de Protecção de Dados – Portuguese Data Protection Authority) наложил штраф размером 400 тыс. евро на госпиталь, не обеспечивший ограничение доступа своих работников к персональным данным. Нарушение заключалось в том, что отсутствовали организационные и технические меры защиты специальных категорий ПДн, а именно контроль доступа.
3. В Германии LfDI (Authority of the German state of Baden-Württemberg) наложил штраф размером 20 тыс. евро на компанию – владельца социальной сети Knuddels.de DS-GVO, осуществлявшую хранение паролей пользователей в незашифрованном виде, что было причиной утечки ПДн в сентябре 2018 г. Нарушение заключалось в том, что отсутствовали организационные и технические меры защиты ПДн, а именно шифрование/псевдонимизация данных.
Как видно из судебной практики, размер наложенных штрафов за нарушение требований GDPR меньше, чем указано в Регламенте. В GDPR предусмотрено два вида максимальных штрафов: 10 млн евро, или 2% от глобального годового дохода группы компаний, и 20 млн евро, или 4%. Несмотря на это, возможные штрафы остаются весомым аргументом для соблюдения требований Регламента. Как выписывание штрафа, так и проверка компаний на соответствие требованиям GDPR входит в сферу обязанностей регуляторов, которые назначаются в каждом государстве – члене ЕС.
В настоящий момент о случаях плановых проверок операторов и обработчиков регулятором из ЕС неизвестно. Основными причинами проверок компаний европейскими регуляторами и судебных разбирательств являются:
За прошедшие полгода были оштрафованы только компании, учрежденные на территории ЕС. Тем не менее это не исключает того, что в ближайшее время штрафы за несоблюдение GDPR начнут назначаться и российским компаниям. В данном случае штраф может быть наложен на дочерние компании в ЕС или на представителя компании, назначенного в ЕС. Регулятор может взыскать штраф с российской компании за счет открытых счетов в банках или при наличии других активов на территории ЕС.
Стоит отметить, что регуляторы имеют полномочия только на территории страны, в которой они учреждены. То есть если на российскую компанию поступила жалоба и у нее нет дочерних предприятий или представительств на территории Европейского Союза, надзорный орган из ЕС вряд ли сможет прийти в компанию с проверкой. При этом он может удаленно затребовать документацию, подтверждающую исполнение Регламента, если у проверяемой компании есть представитель в ЕС. В случае если компания не представит доказательств соблюдения требований GDPR, регулятор может запретить обрабатывать персональные данные, например заблокировать веб-сайт компании.
Как избежать финансовых и репутационных потерь из-за несоблюдения требований GDPR?
Государства – члены ЕС адаптируют положения GDPR в своем законодательстве и подготавливают разъяснения по его внедрению. Например, в Великобритании действует Data Protection Act 2018, в Германии – Act to Adapt Data Protection Law to Regulation (EU) 2016/679 and to Implement Directive (EU) 2016/680. Если компания имеет дочерние предприятия в ЕС, необходимо ознакомиться с законодательством данной страны и узнать о проведенных локальным регулятором мероприятиях по адаптации GDPR.
Далее компаниям, попадающим под действие Регламента, необходимо внедрять соответствующие меры защиты в целях реализации требований GDPR. Такие меры могут включать:
Данный перечень мероприятий не является исчерпывающим, так как для каждой организации он может отличаться в зависимости от процессов обработки ПДн.
Отметим, что в GDPR встречаются гибкие понятия, поэтому российские компании должны определить четкую позицию и уметь ее отстоять перед регулятором. К примеру, в ситуации, когда компания осуществляет передачу ПДн третьим лицам, последние могут выступать операторами, совместными операторами (joint controllers) или обработчиками ПДн. Помимо критериев GDPR по определению того, кем является третье лицо в конкретной ситуации, важна позиция и самой компании в части интерпретации процесса обработки ПДн. Например, если компания использует средства Google или Яндекс в целях аналитики, Google и Яндекс могут выступать как операторами, так и обработчиками. Именно поэтому компании должны хорошо разбираться в собственных процессах и потоках ПДн. Лучшей практикой в данном случае считается распределение ролей оператора, обработчика и объединенных операторов при заключении договора. Это является залогом успеха при определении ответственности и отстаивании своих интересов в судебном порядке.
GDPR и английское право: территориальное применение или by reference
Недавно при рассмотрении одного договора на продажу программного обеспечения, возник казус с контрагентом клиента. Контрагент утверждал, что вследствие подчинения договора английскому праву, стороны будут связаны положениями GDPR. Моя позиция заключалась в том, что положения GDPR применяются только по территориальному принципу.
Применение GDPR
GDPR применяется: (1) по материальному принципу; и (2) территориальному принципу. GDPR не является правовым инструментом наподобие Венской Конвенции по договорам международной купли-продажи товаров 1980 г., которая может быть применена, если стороны включили ссылку на неё в контракте т.е. by reference.
Материальный принцип применения закреплен в пункте 1 статьи 2 GDPR, который гласит:
«Данный Регламент применяется к обработке персональных данных, осуществляемой полностью или частично с помощью автоматизированных средств, а также к неавтоматизированной обработке персональных данных, формирующих часть системы данных либо предназначающихся, чтобы стать частью системы данных».
Территориальный принцип применения закреплен в пунктах 1-2 статьи 3 GDPR, которые гласят:
«1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится ли обработка на территории Союза.
2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:
(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет,
(b) мониторинга их поведения, если такое поведение происходит в Союзе».
GDPR делает исключение к территориальному принципу в случае, когда обработка персональных данных контролёром, не имеющим организационной единицы в Союзе, но имеющим организационную единицу производится «в том месте, где согласно международному публичному праву действует законодательство государства-члена» (пункт 3 статьи 3 GDPR).
В настоящем случае английское право применяется в силу международного частного права, а не международного публичного права, что исключает применение GDPR в таких случаях.
Применение Закона Англии об охране данных (Data Protection Act)
В Англии GDPR применяется не прямо, а посредством законодательного инструмента, т.е. Закон об охране данных от 2018 г. В частности, пункты 1-3 статьи 207 настоящего Закона гласят:
«1.Настоящий Закон применяется только к обработке персональных данных, описанных в подразделах (2) и (3).
2. Он применяется к обработке персональных данных в контексте деятельности организации контроллера или обработчика персональных данных в Соединенном Королевстве, независимо от того, проводилась ли обработка в Соединенном Королевстве или нет.
3. Он также применяется к обработке персональных данных, к которым применяется пункт 2 статьи 2 GPDR в случаях когда
(а) обработка производится в контексте деятельности организации контроллера или обработчика в стране или территории, не являющейся договаривающимся Государством, в независимости от того, имела ли место обработка в этой стране или территории;
(b) персональная дата связана с субъектом данных который находится в Соединенном Королевстве когда проводится обработка, и
(c) деятельность по обработке связанна с –
(i) предложением товаров или услуг субъектам данных в Соединенном Королевстве, несмотря на то, за оплату или нет, или
(ii) мониторинг поведения субъектов данных в Соединенном Королевстве».
Как видно из вышеприведенных пунктов, положения Закона применятся только тогда, когда обработка информации имеет определенную связь с Соединенным Королевством. Само по себе, применение английского права в контракте не означает, что данный закон будет применяться к правоотношения возникающим между сторонами по договору.
Вместо заключения
Несмотря на то, что я категорически считаю, что ни GDPR, ни Data Protection Act 2018 не применяются к правоотношениям между сторонами по договору, подчиненному английскому праву, я тем не менее хотел бы узнать мнение коллег касательно этой проблемы.
Влияние GDPR на российских операторов персональных данных
Компания, осуществляющая обработку персональных данных, считается их оператором. Скорее всего, в этой компании знают о Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных» и его требованиях. А если у компании есть клиенты в Евросоюзе или есть желание таковых привлечь? Или просто есть сайт в сети Интернет с формами для заполнения пользователем? Тогда нужно понимать, что такое GDPR и его сферу действия.
Ещё в 1995 году странами Евросоюза была принята Директива № 95/46/ЕС о защите прав частных лиц при обработке персональных данных. Но всё меняется, и 25 мая 2018 года на её замену пришёл Общий регламент по защите данных (англ. General Data Protection Regulation), принятый Европейским парламентом в апреле 2016 года, сокращённо просто GDPR.
Применение GDPR будет одобрено ещё в трёх странах Европейской ассоциации свободной торговли (ЕАСТ), а точнее – в Исландии, Лихтенштейне, Норвегии, которые не являются членами ЕС. На сайте ЕАСТ (англ. EFTA) в статье о «Включении GDPR в Соглашение о EEA (англ. European Economic Area) и продолжении применения Директивы 95/46/EC» говорится о том, что ожидается принятие GDPR Объединенным комитетом EEA (англ. EEA Joint Committee) и его вступление в силу в государствах EEA EFTA в середине июля 2018 года. До тех пор Директива по защите данных № 95/46/EC остается применимой в Соглашении о EEA, гарантируя тем самым возможность беспрепятственного распространения данных между государствами EEA EFTA и государствами – членами Евросоюза.
К кому же применим GDPR ?
Для начала нужно понять, кому надо следовать требованиям GDPR, а кто под его требования не попадает.
Рисунок 1 – Алгоритм определения сферы действия GDPR
Исходя из текста документа, его требования применимы не только к европейским организациям, но и к любым компаниям, работающим с персональными данными граждан ЕС или лиц, находящихся в ЕС (см. рис. 1). При этом, не имеет значение месторасположение самой компании.
Итак, если компания зарегистрирована в ЕС или, например, в упомянутых ранее Исландии, Лихтенштейне, Норвегии, то, независимо от места проведения самого процесса обработки, это однозначно GDPR.
Чтобы понять предоставляет ли организация услуги или товары лицам, находящимся в ЕС, будет достаточно даже её намерения к предложению услуг/товаров. По GDPR намерение становится очевидным, если на сайте компании предусмотрено использование национального языка и валюты государства – члена Евросоюза, возможен заказ на этом языке. Или есть упоминания о потребителях или пользователях, которые находятся в Евросоюзе.
Хотя даже если сайт полностью на русском, и сама по себе его доступность лицам ЕС не показывает намерений, нельзя быть уверенным на все сто процентов, что никто, находясь в Евросоюзе, не воспользуется его услугами. Поэтому, рекомендуется, в любом случае выполнять требования GDPR.
Ещё одно интересное и актуальное в контексте GDPR понятие – мониторинг. Под мониторингом в GDPR понимается отслеживание лиц в сети Интернет с дальнейшим применением или потенциальной возможностью применения различных технологий по обработке персональных данных для анализа либо прогнозирования предпочтений, личностных характеристик, особенностей поведения. То есть, если компания принимает какие-то действия по изучению поведения лиц, находящихся в ЕС, в маркетинговых целях, для ведения статистики и т.д. – это и есть мониторинг. К примеру, на сайте организации установлена Яндекс Метрика, Google Analytics и т.п., значит нужно применять GDPR. Потому что, как уже говорилось, нет никакой гарантии, что лицо из ЕС не зайдёт на сайт, на котором применяются данные сервисы.
Важно знать, что организация обязана назначить себе представителя в ЕС, когда выполняется хотя бы одно из условий:
По GDPR специальные категории персональных данных определенны аналогично российскому законодательству. За исключением того факта, что данные о судимостях и правонарушениях вынесены отдельно, с обязательством контроля их обработки официальным органом или по разрешению законодательством государства.
Представителем может стать физическое или юридическое лицо, которое специально уполномочено на основании соответствующих документов. Представитель должен быть расположен в стране ЕС, в которой находятся субъекты данных. Его задача от имени компании взаимодействовать с властями ЕС и гражданами, выполнять указания компании. Он точно так же привлекается к ответственности за нарушения.
К примеру, российская компания, не имеющая дочерних предприятий в Финляндии, постоянно предоставляет свои услуги её гражданам. Значит, компания обязана назначить представителя, официально находящегося в Финляндии. Если же дочернее предприятие имеется, тогда его можно назначить представителем.
Получается, что General Data Protection Regulation имеет достаточно широкий охват и, если с компаниями Евросоюза всё довольно логично, то другие страны тоже «попали под раздачу». Становится понятно, что российские организации, клиентоориентированные на Евросоюз, также должны соблюдать требования GDPR.
Допустим, небольшая российская компания имеет интернет-магазин, а их товар приобретает гражданин Латвии. Значит, на этот интернет-магазин распространяются требования GDPR, так как в нем будут обрабатываться персональных данные гражданина ЕС. Если сайт этой компании изначально обладает англоязычной версией и выставляет цены в валюте согласно государству пользователя, значит, он тоже попадает в сферу действия GDPR. Да и в любом случае, если компания не работает лично с каждым клиентом, нельзя знать точно, откуда клиент. Это означает, что даже полностью русский сайт маленькой компании нужно подготовить к выполнению требований GDPR.
Список компаний, на которые распространяется GDPR, можно продолжать долго, но пока нет правоприменительной практики, по мнению автора, нужно анализировать, на кого направлены действия компании и с кем она взаимодействует.
Какие роли предлагает GDPR ?
Как и любые процессы, обработка данных имеет две стороны – тот, чьи данные обрабатываются, т.е. субъект персональных данных, и тот, кто эти данные обрабатывает. Остановимся поподробнее на вторых. В GDPR вводятся понятия контролера (англ. data controller) и процессора (англ. data processor).
Разберёмся с этими терминами, опираясь на GDPR и разъяснения, приведенные на сайте Европейской комиссии.
Контролер, согласно пункту (7) статьи 4 GDPR, это лица, физические или юридические, различные органы и агентства, которые определяют, с какой целью и какими средствами обрабатываются данные.
Вся ответственность за выполнение требований по обработке и защите персональных данных возлагается на контролера. Контролер должен быть способен подтвердить соблюдение требований.
Получается, если компания решает «зачем?» и «как?» обрабатываются персональные данные, то это контролер данных. Сотрудники компании, занимающиеся обработкой, делают это в качестве контролера данных.
Если компания вместе с одной или несколькими организациями совместно определяет «зачем?» и «как?» обрабатываются персональные данные, то её можно назвать совместным контролером (англ. joint controller). Совместные контролеры заключают соглашение, в котором излагаются обязанности по соблюдению требований GDPR. Главные аспекты этого соглашения нужно передать лицам, чьи данные обрабатываются.
Процессор (обработчик), согласно пункту (8) статьи 4 GDPR, это лица, физические или юридические, различные органы и агентства, которые занимаются обработкой персональных данных по поручению контролера.
Получается, процессор имеет право производить обработку персональных данных только от имени контролера. Процессором обработки данных, к примеру, может являться сторонняя компания, привлечённая для проведения обработки данных.
Организация может быть контролером данных или процессором данных, или и тем, и другим одновременно.
В Федеральном законе от 27.07.2006 г. №152-ФЗ «О персональных данных» существует понятие оператора, что аналогично контролеру, а процессор аналогичен лицу, осуществляющему обработку персональных данных по поручению оператора.
GDPR и № 152-ФЗ «О персональных данных». Общее и различия
В любом нормативно-правовом документе используются свои нормы дефиниции, рассмотрим их и сравним.
Персональные данные, согласно статье 3 Федерального закона «О персональных данных», есть любая информация, прямо или косвенно позволяющая определить физическое лицо. В пункте (1) статьи 4 GDРR приводится аналогичное определение, за исключением того, что взамен слова «определить» используется «идентифицировать».
Термины сходны, но GDPR более подробно говорит об информации, относящейся к персональным данным. Откуда получаем, что сведения, позволяющие определить личность субъекта данных, являются персональными данными. Неважно, можно ли по ним напрямую идентифицировать субъект или нужно применение специальных средств или программ.
В GDPR имеется следующий перечень персональных данных:
Сложнее всего с онлайн-идентификаторами. К ним можно отнести IP-адреса, файлы cookie и т.п. IP-адрес, к примеру, может привести к определённому человеку, выходившему в сеть Интернет, а может просто показать точку доступа к сети, т.е. в ряде случаев может быть использован для определения лица только в совокупности с другими данными. Относится ли IP-адрес к персональным данным – вопрос спорный и зависит от контекста ситуации. Но раз GDPR заостряет своё внимание на онлайн-идентификаторах, рекомендуется защищать их тоже.
Принципы и условия обработки изложены в статьях 5, 6 Федерального закона «О персональных данных» и в статьях 5,6 GDPR.
Условия, при которых обработка является правомерной, так же сопоставимы. При этом, GDPR позволяет государствам вводить свои требования к обработке.
Статья 9 Федерального закона «О персональных данных» и Статья 7 GDPR описывают согласие субъекта на произведение обработки персональных данных. Оба документа говорят о конкретности, информированности и сознательности. Важно, что GDPR обязывает, чтобы согласие было составлено языком понятным и легкодоступным. Согласие на обработку данных должно быть вынесенного отдельно от других условий и соглашений. В него должны быть включены все цели обработки. Процесс отзыва согласия должен быть точно так же прост, как и его получение – это как поставить «галочку» и убрать её.
Получается, что согласие должно быть не двусмысленным, а точным – «Я согласен. ». В него нужно включить перечень конкретных целей обработки. Так же нельзя использовать, к примеру, чекбоксы с установкой согласия по умолчанию. Это противоречит свободе дачи согласия. И оператору всегда нужно быть готовым подтвердить, что субъект своё согласие дал.
Одно из главных отличий GDPR в том, что он устанавливает особые правила для дачи согласия на предоставление услуг информационного общества несовершеннолетним. Если в обработке персональных данных задействован ребёнок, которому исполнилось 16 лет, то она законна. За детей, не достигших 16 лет, согласие должно давать лицо, осуществляющее родительские функции или функции опекуна.
Оба рассматриваемых документа достаточно обширно описывают права субъекта данных. И там, и там лица могут получить свои данные и информацию о том, как они обрабатываются, могут исправить, удалить сведения о себе. Главное, что по Федеральному закону «О персональных данных» информацию об обработке персональных данных субъект при сборе данных может получить по своему запросу. А по GDPR — организация обязана предоставить всю информацию об обработке в момент получения персональных данных. GDPR описывает удаление и изменение информации, как право субъекта, а российский закон, как обязанность оператора. Субъект персональных данных всегда может отозвать своё согласие на обработку и запросить удаление данных, его касающихся.
Ещё одно важное отличие GDPR состоит в том, что выделяется отдельное право на перенос своих данных. Компания, действующая в рамках GDPR, должна понимать, что при запросе субъектом информации, предоставленной им ранее, они обязаны предоставить её беспрепятственно. GDPR однозначно даёт понять, что данные эти должны быть структурированы и иметь машиночитаемый формат. Также по запросу пользователя организация должна передать его данные любой другой организации. Всё это является новым для правовых требований.
В GDPR есть отдельный раздел об Офицере по защите данных (англ. Data protection officer). Эта роль аналогична лицу, назначенному ответственным за организацию обработки персональных данных, из российского закона. По GDPR, если организация производит постоянный мониторинг субъектов или обрабатывает в крупном масштабе специальные категории, то она обязана назначить Офицера по защите данных. Иначе назначение делается на усмотрение организации или на основании законов её государства. По Федеральному закону «О персональных данных» оператор обязан назначить лицо, ответственное за организацию обработки данных, в любом случае.
При перечислении мер по обеспечению безопасности в Федеральном законе «О персональных данных» упоминается учёт деятельности по обработке персональных данных. В свою очередь GDPR так же обязывает вести такой учёт в документированном виде, включая электронную форму. Обязательство не накладывается на организации с менее чем 250 сотрудниками, если те не производят обработку на постоянной основе, не обрабатывают в больших масштабах специальные категории или данные о судимостях, правонарушениях. По мнению автора, такой учёт желательно вести в любом случае.
Если компания является контролером, учёт должен содержать:
Если компания является процессором, учёт должен содержать:
Организация должна быть готова предоставить эти сведения в надзорный орган в любой момент.
Что есть сами персональные данные, то «как?», «почему?» и «зачем?» происходит их обработка, какие меры применяются для защиты информации, что может делать субъект и что обязан выполнять оператор – эти ключевые пункты схожи в Федеральном законе «О персональных данных» и GDPR. Но вот что делать, если всё-таки нежелательная утечка данных произошла, конкретно говорится только в GDPR. Так, если компания всё-таки допустила утечку персональных данных, то она обязана рассказать о ней в короткие сроки надзорному органу и самому субъекту, который понёс потери. В противном случае, на компанию будет наложен штраф. По GDPR надзорный орган назначается в каждой стране соответствующими нормативно-правовыми актами. Руководители этих надзорных органов образуют Европейский совет по защите данных.
И самое интересное: для усиления обязательности соблюдения норм GDPR вводит штрафы за любые нарушения. Размеры штрафов доходят до 20 миллионов евро или 4 % оборота денежных средств компании (выбирается наибольшая сумма). Но на деле – всё не так страшно. В случаях, когда нарушение незначительно, может быть объявлен просто выговор. Нематериальные санкции могут включать также запрет со стороны надзорного органа на обработку персональных данных (или их передачу контрагенту) до момента устранения нарушений.
Штраф, прежде всего должен иметь вразумляющий эффект, а значит, может широко варьироваться в пределах установленной суммы. Величина штрафа устанавливается в зависимости от характеристик самого нарушения:
То есть, например, рассмотренное ранее уведомление об утечке является важным фактором для того, чтобы смягчить наказание.
Подведем итоги
General Data Protection Regulation – это новый большой документ с длинной преамбулой и 99 статьями, толковать который каждый может по-своему. Но если компании не хочется попасть под многомиллионный штраф, нужно выполнять требования GDPR, и, конечно, не забывать о Федеральном законе «О персональных данных» и его подзаконных актах.
Если Вы российская компания, для начала надо определить, входит ли сфера деятельности организации в область применения GDPR.
Если входит, тогда первоочередные мероприятия, которые необходимо выполнить для приведения в соответствие новым требованиям, будут следующими:
