GDPR. Нужно ли его выполнять в России?
Что такое GDPR?
25 мая 2018 года вступил в силу Общий регламент по защите персональных данных Европейского союза (англ. General Data Protection Regulation, GDPR; далее – GDPR, Регламент). Многие считают, что GDPR распространяется только на европейские организации или компании, обрабатывающие персональные данные (ПДн) на территории Европейского союза. Но на самом деле Регламент является экстерриториальным и распространяется на организации, не находящиеся на территории Евросоюза.
В Регламенте, как и в Федеральном законе Российской Федерации №152-ФЗ «О персональных данных», используются понятия и подходы, сформулированные в Конвенции о защите физических лиц при автоматизированной обработке персональных данных.
Основной упор в Регламенте идет на защиту прав и свобод физических лиц при обработке их персональных данных.
Российские организации, попадающие под действие GDPR, оказываются «меж двух огней»: им требуется соответствовать как российскому законодательству, так и новому европейскому Регламенту. В этой статье мы постараемся раскрыть, кому в России нужно выполнять требования GDPR, зачем, и какие могут быть последствия их невыполнения.
На кого распространяется GDPR?
Согласно статье 3 Регламента, GDPR распространяется на:
1. Обработку ПДн в ходе деятельности оператора, либо обработчика (лица, которому оператор поручил обработку ПДн) на территории Европейского Союза (ЕС), вне зависимости от того, где производится обработка – на территории ЕС или за её пределами.
2. Обработку ПДн оператором или обработчиком, находящимся за пределами территории ЕС, если обработка связана с:
a. предложением товаров или услуг (платных или бесплатных) субъектам ПДн, находящимся на территории ЕС;
b. мониторингом действий (поведения, активности) субъектов ПДн на территории ЕС.
3. Обработку ПДн оператором, находящимся за пределами территории ЕС, если к нему применимо законодательство страны-члена ЕС в соответствии с международным публичным правом.
Если с операторами, очевидно попадающими под пункт 1 (нужно находиться на территории ЕС) и пункт 3 (дипломатические миссии и консульства стран-членов ЕС) всё более-менее ясно, то пункт 2 вызывает много вопросов, поскольку именно он определяет применимость GDPR к российским компаниям.
Для того, чтобы найти ответы на эти вопросы, помимо основного текста Регламента стоит также обратить внимание на то, что у GDPR есть преамбула, в которой раскрывается, чем руководствовался законодатель при установлении в GDPR описанных норм. В том числе в пункте 23 преамбулы говорится о том, как нам определить, что оператор (либо обработчик данных) предлагает товары или услуги лицам, находящимся на территории ЕС. Факторами, позволяющими установить направленность деятельности на территорию ЕС может считаться использование при предложении и продаже товаров или услуг языка либо валюты государства-члена ЕС, упоминание клиентов или пользователей, находящихся на территории ЕС. А в пункте 24 преамбулы говорится, что под мониторингом действий субъекта ПДн подразумевается отслеживание пользователей сети Интернет, включая возможное последующее создание профилей физических лиц, в частности, с целью анализа либо прогнозирования предпочтений, поведения и т.п.
При этом в статье 2 GDPR указано, что Регламент не применяется к деятельности, не попадающей под действие законодательства ЕС.
Из вышеуказанного можно определить следующие критерии непосредственной применимости GDPR к российской организации:
Также мы хотим обратить внимание, что следующие случаи, часто встречающиеся в материалах про GDPR, не являются критериями применимости Регламента:
Контроль за соблюдением GDPR в России и последствия невыполнения требований
В целях защиты прав субъектов ПДн в каждой из стран ЕС созданы государственные органы по защите прав субъектов ПДн (в тексте Регламента – Supervisory Authorities, в общей практике такие органы называются Data Protection Authorities (DPA)). В числе прочих, DPA наделены согласно ч.1 ст.58 GDPR следующими полномочиями:
GDPR не раскрывает процедуру контроля за соблюдением Регламента организациями, расположенными вне ЕС и не назначившими представителя, а также каким образом организации, расположенные вне ЕС, будут нести ответственность за нарушения правил обработки ПДн.
Мы провели с DPA стран ЕС ряд интервью по вопросам контроля за соблюдением GDPR вне ЕС. Ответы были различными, но в целом ясности не появилось. Один из представителей DPA сделал оговорку, что такие случаи будут регулироваться во взаимодействии с DPA стран нахождения оператора либо обработчика. Сегодняшняя геополитическая ситуация и позиция руководителя Роскомнадзора А. Жарова по вопросу необходимости соответствия российских организаций GDPR вносят некоторые сомнения, что попытки такой кооперации DPA стран ЕС с Роскомнадзором будут продуктивны.
Хочется обратить внимание, что указанные в GDPR многомиллионные штрафы, которыми больше всего пугают операторов – это верхняя планка. GDPR говорит о том, что налагаемые штрафы (и иные санкции) должны быть соразмерны нарушению, эффективны и предупреждающими повторные нарушения. Конкретные размеры штрафов будут определяться индивидуально, с учетом большого количества факторов. Многомиллионный штраф может быть наложен на организацию в том случае, если она сознательно и злостно нарушала права субъектов, тщательно это скрывая и получая от такой обработки ПДн высокую прибыль.
Наиболее вероятным (но не единственным) и существенным последствием невыполнения GDPR для российских организаций, не имеющих представительств либо дочерних организаций на территории ЕС (а также назначенного представителя по вопросам обработки ПДн), является не штраф, а блокирование сайта организации на территории ЕС либо отдельных государств-членов ЕС. Несмотря на то, что возможность блокирования сайта не прописана напрямую в GDPR, она представляется закономерным способом ограничения обработки ПДн в целях предупреждения повторных нарушений, в особенности при отсутствии иных возможностей влияния на оператора.
Зачем российским организациям соответствовать GDPR?
Выполнение GDPR имеет и иные преимущества для организаций помимо очевидной возможности избежать возможных санкций со стороны DPA ЕС.
Прежде всего это повышение общего уровня ИБ и управления данными в организации. Зачастую в процессе приведения к соответствию требованиям по защите ПДн организация впервые создает реестр существующих у нее бизнес-процессов, понимает имеющиеся потоки данных, создает схему сети, описывает существующую систему защиты информации. Эти действия становятся фундаментом для защиты не только ПДн, но и иных видов конфиденциальной информации, а также для оптимизации бизнес-процессов.
Если организация обрабатывает ПДн, переданные ей контрагентом, попадающим под действия GDPR, контрагент будет требовать от нее соответствия требованиям GDPR, предъявляемым к обработчикам ПДн. Соответствие GDPR позволит сервис-провайдеру расширить доступный рынок предоставления услуг на территорию ЕС, а также предоставлять услуги тем российским организациям, которые попадают под требования GDPR.
Требование об обязательном соответствии GDPR может исходить от головной компании при применимости GDPR к организациям группы компаний, с которыми российская организация обменивается ПДн. Но в таком случае целесообразно, во-первых, уточнить, действительно ли обрабатываются ПДн лиц, находящихся на территории ЕС, а во-вторых, если они обрабатываются, распространять требования Регламента на те процессы, в которых производится обработка таких ПДн, а не на всю организацию.
GDPR устанавливает необходимость соблюдения многочисленных прав субъектов ПДн и обеспечения прозрачности обработки ПДн для субъектов. По сравнению с ФЗ «О персональных данных» GDPR более подробно разъясняет, как информировать субъектов ПДн об обработке их ПДн, а также о том, как они могут реализовывать свои права в отношении этой обработки. Отражение этих вопросов обработки ПДн в Политике обработки ПДн, а также при сборе информации об обработке ПДн, позволяет повысить прозрачность деятельности организации и обеспечить большее доверие со стороны всех субъектов ПДн.
Резюме
Если ваша организация расположена в России – это ещё не значит, что GDPR к ней не применим. Проверить применимость требований Регламента к вашей организации можно с помощью указанных выше критериев.
Регламент вступил в силу только что, и по данным компании Symantec 80% организаций в ЕС не соответствуют требованиям GDPR. Каким образом к российской организации в связи с нарушениями GDPR могут быть применены санкции со стороны ЕС, пока неясно, но тем не менее, к Регламенту стоит относиться серьезно.
В завершение хотим отметить, что с большой вероятностью в скором времени для единообразия с европейским законодательством в российском законодательстве об обработке ПДн появятся формулировки, схожие с требованиями GDPR.
Влияние GDPR на российских операторов персональных данных
Автор: Анастасия Заведенская, помощник аналитика, Аналитический центр ООО «УЦСБ»
Рецензенты: Екатерина Рублева и Константин Саматов, руководители направления, Аналитический центр ООО «УЦСБ»
Компания, осуществляющая обработку персональных данных, считается их оператором. Скорее всего, в этой компании знают о Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных» и его требованиях. А если у компании есть клиенты в Евросоюзе или есть желание таковых привлечь? Или просто есть сайт в сети Интернет с формами для заполнения пользователем? Тогда нужно понимать, что такое GDPR и его сферу действия.
Ещё в 1995 году странами Евросоюза была принята Директива № 95/46/ЕС о защите прав частных лиц при обработке персональных данных. Но всё меняется, и 25 мая 2018 года на её замену пришёл Общий регламент по защите данных (англ. General Data Protection Regulation), принятый Европейским парламентом в апреле 2016 года, сокращённо просто GDPR.
Применение GDPR будет одобрено ещё в трёх странах Европейской ассоциации свободной торговли (ЕАСТ), а точнее – в Исландии, Лихтенштейне, Норвегии, которые не являются членами ЕС. На сайте ЕАСТ (англ. EFTA) в статье о «Включении GDPR в Соглашение о EEA (англ. European Economic Area) и продолжении применения Директивы 95/46/EC» говорится о том, что ожидается принятие GDPR Объединенным комитетом EEA (англ. EEA Joint Committee) и его вступление в силу в государствах EEA EFTA в середине июля 2018 года. До тех пор Директива по защите данных № 95/46/EC остается применимой в Соглашении о EEA, гарантируя тем самым возможность беспрепятственного распространения данных между государствами EEA EFTA и государствами – членами Евросоюза.
К кому же применим GDPR?
Для начала нужно понять, кому надо следовать требованиям GDPR, а кто под его требования не попадает.
Рисунок 1 – Алгоритм определения сферы действия GDPR
Исходя из текста документа, его требования применимы не только к европейским организациям, но и к любым компаниям, работающим с персональными данными граждан ЕС или лиц, находящихся в ЕС (см. рис. 1). При этом, не имеет значение месторасположение самой компании.
Итак, если компания зарегистрирована в ЕС или, например, в упомянутых ранее Исландии, Лихтенштейне, Норвегии, то, независимо от места проведения самого процесса обработки, это однозначно GDPR.
Чтобы понять предоставляет ли организация услуги или товары лицам, находящимся в ЕС, будет достаточно даже её намерения к предложению услуг/товаров. По GDPR намерение становится очевидным, если на сайте компании предусмотрено использование национального языка и валюты государства – члена Евросоюза, возможен заказ на этом языке. Или есть упоминания о потребителях или пользователях, которые находятся в Евросоюзе.
Хотя даже если сайт полностью на русском, и сама по себе его доступность лицам ЕС не показывает намерений, нельзя быть уверенным на все сто процентов, что никто, находясь в Евросоюзе, не воспользуется его услугами. Поэтому, рекомендуется, в любом случае выполнять требования GDPR.
Ещё одно интересное и актуальное в контексте GDPR понятие – мониторинг. Под мониторингом в GDPR понимается отслеживание лиц в сети Интернет с дальнейшим применением или потенциальной возможностью применения различных технологий по обработке персональных данных для анализа либо прогнозирования предпочтений, личностных характеристик, особенностей поведения. То есть, если компания принимает какие-то действия по изучению поведения лиц, находящихся в ЕС, в маркетинговых целях, для ведения статистики и т.д. – это и есть мониторинг. К примеру, на сайте организации установлена Яндекс Метрика, Google Analytics и т.п., значит нужно применять GDPR. Потому что, как уже говорилось, нет никакой гарантии, что лицо из ЕС не зайдёт на сайт, на котором применяются данные сервисы.
Важно знать, что организация обязана назначить себе представителя в ЕС, когда выполняется хотя бы одно из условий:
Представителем может стать физическое или юридическое лицо, которое специально уполномочено на основании соответствующих документов. Представитель должен быть расположен в стране ЕС, в которой находятся субъекты данных. Его задача от имени компании взаимодействовать с властями ЕС и гражданами, выполнять указания компании. Он точно так же привлекается к ответственности за нарушения.
К примеру, российская компания, не имеющая дочерних предприятий в Финляндии, постоянно предоставляет свои услуги её гражданам. Значит, компания обязана назначить представителя, официально находящегося в Финляндии. Если же дочернее предприятие имеется, тогда его можно назначить представителем.
Получается, что General Data Protection Regulation имеет достаточно широкий охват и, если с компаниями Евросоюза всё довольно логично, то другие страны тоже «попали под раздачу». Становится понятно, что российские организации, клиентоориентированные на Евросоюз, также должны соблюдать требования GDPR.
Допустим, небольшая российская компания имеет интернет-магазин, а их товар приобретает гражданин Латвии. Значит, на этот интернет-магазин распространяются требования GDPR, так как в нем будут обрабатываться персональных данные гражданина ЕС. Если сайт этой компании изначально обладает англоязычной версией и выставляет цены в валюте согласно государству пользователя, значит, он тоже попадает в сферу действия GDPR. Да и в любом случае, если компания не работает лично с каждым клиентом, нельзя знать точно, откуда клиент. Это означает, что даже полностью русский сайт маленькой компании нужно подготовить к выполнению требований GDPR.
Список компаний, на которые распространяется GDPR, можно продолжать долго, но пока нет правоприменительной практики, по мнению автора, нужно анализировать, на кого направлены действия компании и с кем она взаимодействует.
Какие роли предлагает GDPR?
Как и любые процессы, обработка данных имеет две стороны – тот, чьи данные обрабатываются, т.е. субъект персональных данных, и тот, кто эти данные обрабатывает. Остановимся поподробнее на вторых. В GDPR вводятся понятия контролера (англ. data controller) и процессора (англ. data processor).
Разберёмся с этими терминами, опираясь на GDPR и разъяснения, приведенные на сайте Европейской комиссии.
Контролер, согласно пункту (7) статьи 4 GDPR, это лица, физические или юридические, различные органы и агентства, которые определяют, с какой целью и какими средствами обрабатываются данные.
Вся ответственность за выполнение требований по обработке и защите персональных данных возлагается на контролера. Контролер должен быть способен подтвердить соблюдение требований.
Получается, если компания решает «зачем?» и «как?» обрабатываются персональные данные, то это контролер данных. Сотрудники компании, занимающиеся обработкой, делают это в качестве контролера данных.
Если компания вместе с одной или несколькими организациями совместно определяет «зачем?» и «как?» обрабатываются персональные данные, то её можно назвать совместным контролером (англ. joint controller). Совместные контролеры заключают соглашение, в котором излагаются обязанности по соблюдению требований GDPR. Главные аспекты этого соглашения нужно передать лицам, чьи данные обрабатываются.
Процессор (обработчик), согласно пункту (8) статьи 4 GDPR, это лица, физические или юридические, различные органы и агентства, которые занимаются обработкой персональных данных по поручению контролера.
Получается, процессор имеет право производить обработку персональных данных только от имени контролера. Процессором обработки данных, к примеру, может являться сторонняя компания, привлечённая для проведения обработки данных.
Организация может быть контролером данных или процессором данных, или и тем, и другим одновременно.
В Федеральном законе от 27.07.2006 г. №152-ФЗ «О персональных данных» существует понятие оператора, что аналогично контролеру, а процессор аналогичен лицу, осуществляющему обработку персональных данных по поручению оператора.
GDPR и № 152-ФЗ «О персональных данных». Общее и различия
В любом нормативно-правовом документе используются свои нормы дефиниции, рассмотрим их и сравним.
Персональные данные, согласно статье 3 Федерального закона «О персональных данных», есть любая информация, прямо или косвенно позволяющая определить физическое лицо. В пункте (1) статьи 4 GDРR приводится аналогичное определение, за исключением того, что взамен слова «определить» используется «идентифицировать».
Термины сходны, но GDPR более подробно говорит об информации, относящейся к персональным данным. Откуда получаем, что сведения, позволяющие определить личность субъекта данных, являются персональными данными. Неважно, можно ли по ним напрямую идентифицировать субъект или нужно применение специальных средств или программ.
В GDPR имеется следующий перечень персональных данных:
Принципы и условия обработки изложены в статьях 5, 6 Федерального закона «О персональных данных» и в статьях 5,6 GDPR.
Закон о персональных данных РФ содержит 7 принципов обработки, а GDPR — 6. Все принципы сопоставимы, за исключением того, что в российском законодательстве сделано уточнение о запрете объединения баз данных, созданных для несовместимых целей. Важным дополнением к принципам в GDPR является принцип транспарентности/прозрачности. А именно, любые сведения и сообщения, связанные с обработкой персональных данных, были легко доступны субъекту и ясны для его понимания, то есть использовался чёткий и простой язык. Кроме того, GDPR определяет безопасность персональных данных, как принцип [п. (f), ст.5, GDPR,], а у нас это скорее преподносится, как обязанность.
Условия, при которых обработка является правомерной, так же сопоставимы. При этом, GDPR позволяет государствам вводить свои требования к обработке.
Статья 9 Федерального закона «О персональных данных» и Статья 7 GDPR описывают согласие субъекта на произведение обработки персональных данных. Оба документа говорят о конкретности, информированности и сознательности. Важно, что GDPR обязывает, чтобы согласие было составлено языком понятным и легкодоступным. Согласие на обработку данных должно быть вынесенного отдельно от других условий и соглашений. В него должны быть включены все цели обработки. Процесс отзыва согласия должен быть точно так же прост, как и его получение – это как поставить «галочку» и убрать её.
Получается, что согласие должно быть не двусмысленным, а точным – «Я согласен. ». В него нужно включить перечень конкретных целей обработки. Так же нельзя использовать, к примеру, чекбоксы с установкой согласия по умолчанию. Это противоречит свободе дачи согласия. И оператору всегда нужно быть готовым подтвердить, что субъект своё согласие дал.
Одно из главных отличий GDPR в том, что он устанавливает особые правила для дачи согласия на предоставление услуг информационного общества несовершеннолетним. Если в обработке персональных данных задействован ребёнок, которому исполнилось 16 лет, то она законна. За детей, не достигших 16 лет, согласие должно давать лицо, осуществляющее родительские функции или функции опекуна.
Оба рассматриваемых документа достаточно обширно описывают права субъекта данных. И там, и там лица могут получить свои данные и информацию о том, как они обрабатываются, могут исправить, удалить сведения о себе. Главное, что по Федеральному закону «О персональных данных» информацию об обработке персональных данных субъект при сборе данных может получить по своему запросу. А по GDPR — организация обязана предоставить всю информацию об обработке в момент получения персональных данных. GDPR описывает удаление и изменение информации, как право субъекта, а российский закон, как обязанность оператора. Субъект персональных данных всегда может отозвать своё согласие на обработку и запросить удаление данных, его касающихся.
Ещё одно важное отличие GDPR состоит в том, что выделяется отдельное право на перенос своих данных. Компания, действующая в рамках GDPR, должна понимать, что при запросе субъектом информации, предоставленной им ранее, они обязаны предоставить её беспрепятственно. GDPR однозначно даёт понять, что данные эти должны быть структурированы и иметь машиночитаемый формат. Также по запросу пользователя организация должна передать его данные любой другой организации. Всё это является новым для правовых требований.
В GDPR есть отдельный раздел об Офицере по защите данных (англ. Data protection officer). Эта роль аналогична лицу, назначенному ответственным за организацию обработки персональных данных, из российского закона. По GDPR, если организация производит постоянный мониторинг субъектов или обрабатывает в крупном масштабе специальные категории, то она обязана назначить Офицера по защите данных. Иначе назначение делается на усмотрение организации или на основании законов её государства. По Федеральному закону «О персональных данных» оператор обязан назначить лицо, ответственное за организацию обработки данных, в любом случае.
При перечислении мер по обеспечению безопасности в Федеральном законе «О персональных данных» упоминается учёт деятельности по обработке персональных данных. В свою очередь GDPR так же обязывает вести такой учёт в документированном виде, включая электронную форму. Обязательство не накладывается на организации с менее чем 250 сотрудниками, если те не производят обработку на постоянной основе, не обрабатывают в больших масштабах специальные категории или данные о судимостях, правонарушениях. По мнению автора, такой учёт желательно вести в любом случае.
Если компания является контролером, учёт должен содержать:
Что есть сами персональные данные, то «как?», «почему?» и «зачем?» происходит их обработка, какие меры применяются для защиты информации, что может делать субъект и что обязан выполнять оператор – эти ключевые пункты схожи в Федеральном законе «О персональных данных» и GDPR. Но вот что делать, если всё-таки нежелательная утечка данных произошла, конкретно говорится только в GDPR. Так, если компания всё-таки допустила утечку персональных данных, то она обязана рассказать о ней в короткие сроки надзорному органу и самому субъекту, который понёс потери. В противном случае, на компанию будет наложен штраф. По GDPR надзорный орган назначается в каждой стране соответствующими нормативно-правовыми актами. Руководители этих надзорных органов образуют Европейский совет по защите данных.
И самое интересное: для усиления обязательности соблюдения норм GDPR вводит штрафы за любые нарушения. Размеры штрафов доходят до 20 миллионов евро или 4 % оборота денежных средств компании (выбирается наибольшая сумма). Но на деле – всё не так страшно. В случаях, когда нарушение незначительно, может быть объявлен просто выговор. Нематериальные санкции могут включать также запрет со стороны надзорного органа на обработку персональных данных (или их передачу контрагенту) до момента устранения нарушений.
Штраф, прежде всего должен иметь вразумляющий эффект, а значит, может широко варьироваться в пределах установленной суммы. Величина штрафа устанавливается в зависимости от характеристик самого нарушения:
Подведем итоги
General Data Protection Regulation – это новый большой документ с длинной преамбулой и 99 статьями, толковать который каждый может по-своему. Но если компании не хочется попасть под многомиллионный штраф, нужно выполнять требования GDPR, и, конечно, не забывать о Федеральном законе «О персональных данных» и его подзаконных актах.
Если Вы российская компания, для начала надо определить, входит ли сфера деятельности организации в область применения GDPR.
Если входит, тогда первоочередные мероприятия, которые необходимо выполнить для приведения в соответствие новым требованиям, будут следующими:
Определить, нужен ли представитель в ЕС. Назначить его в случае необходимости.
Проверить доступность субъектам информации о процессе обработки (цели, сроки хранения, информация о правах субъекта данных и т.д.), а так же наличие выстроенных и документированных процессов реагирования на обращения субъектов персональных данных.
Проверить согласие на обработку персональных данных на соответствие требованиям GDPR. Оно должно быть изложено на понятном языке, конкретно, содержать все цели обработки, находится отдельно от других условий/соглашений. Согласие даётся на основании активных действий, а не «по умолчанию» или бездействию. В случае необходимости, обновить его.
Проверить обрабатываемые персональные данные на соответствие указанным целям обработки.
Вести учёт всей деятельности по обработке персональных данных.
Провести оценку Data protection impact assessment, т.е. определить степень важности каждого конкретного бизнес-процесса, связанного с обработкой персональных данных посредством оценки ущерба, нанесенного в период сбоя в работе.
Проверить меры по обеспечению безопасности на соответствие требованиям GDPR. В случае необходимости, усовершенствовать их.
Ввести выстроенные и документированные процессы уведомления о происшествии надзорного органа, желательно в течение 72 часов после обнаружения. Включать в уведомления сведения о характере утечки, сведения для обратной связи, возможные последствия, меры по устранению утечки. По возможности сообщать субъекту персональных данных, если есть риск для его прав и свобод и данные не были зашифрованы, в разумный срок.
Быть готовыми предоставить доказательства правомерности деятельности по обработке ПДн.
