GDPR: Новые правила обработки персональных данных
GDPR – сокращение от англ. General Data Protection Regulation, что дословно означает Общий регламент по защите данных.
Так называется постановление, принятое в 2016 г. в Европейском союзе, призванное унифицировать и усилить методы защиты персональных данных в ЕС. В мае 2018 г. постановление вступило в силу.
В первую очередь GDPR позволяет гражданам ЕС более эффективно контролировать свои личные данные – ФИО, электронную почту, реквизиты банковских карт и т.д. Постановление вводит штрафы компаниям и частным лицам, виновным в утечке, разглашении, несанкционированном и неправомерном использовании персональной информации. Например, компанию за несоблюдение GDPR могут оштрафовать на сумму от 20 000 000 млн. евро до 2-4% годового оборота.
Регламент GDPR содержит четкие и понятные критерии обращения с данными, в частности, ограничение срока хранения и минимизация объема собираемых данных, подотчетность, конфиденциальность и точность. Основополагающий принцип Регламента – законность, справедливость и прозрачность; любое получение информации должно основываться на конкретных целях, которые должны быть четко изложены и закреплены в политике компаний.
GDPR дает возможность бороться с такой распространенной практикой, как продажа электронных баз данных в интернете. Не секрет, что многие компании продают базы своих клиентов или обмениваются ими с партнерами. Например, в начале 2018 г. во всемирную паутину утекли сведения о клиентах Новой почты, почти 18 млн записей о 500 тысячах человек. Если бы удалось доказать причастность Новой почты к обнародованию базы данных (неважно, умышленного или по причине технического сбоя), то по стандартам GDPR почтовой компании грозили бы гигантские штрафы.
Украина – не член Евросоюза, поэтому напрямую на нее не распространяется новый стандарт защиты данных. Однако все компании, которые имеют дело с личными данными граждан ЕС и резидентов входящих в него стран, обязаны соответствовать требованиям GDPR. Например, это относится к той же Новой почте – ведь компания предлагает услуги международной почтовой доставки и соответственно получает персональную информацию европейцев. Если бы на момент утечки данных ее клиентов в Даркнет уже действовал бы Регламент GDPR, Новой почте не удалось бы уйти от ответственности.
Какие еще организации обязаны придерживаться стандартов GDPR?
- Все организации независимо от формы собственности, если используют облачные решения либо приложения, работающие с персональными данными граждан и резидентов ЕС;
- ИТ- и иные компании, сотрудничающие с ЕС на условиях аутсорсинга;
- финансовые учреждения (банки, биржи и пр.);
- консалтинговые фирмы;
- интернет-магазины, службы доставки и пр., если их деятельность не ограничивается территорией Украины.
Кроме того, под правила GDPR подпадают организации, которые:
- имеют в своем составе организационные подразделения в ЕС;
- по роду деятельности могут получать персональные данных лиц, находящихся в ЕС -- например, потому что торгуют товарами или услугами либо получают какие-то данные с территории ЕС (медицинская информация, статистические данные, сведения юридического характера и пр.).
Организационные требования GDPR
Если ваша фирма подпадает под действие GDPR, вам придется внести ряд изменений в свою организационную структуру. Обязательным является включение в штатное расписание так называемого Data Protection Officer – сотрудника, ответственного за защиту персональных данных. Он должен быть трудоустроен по трудовому либо по гражданско-правовому договору. Если такого специалиста в вашей компании не обнаружится, вам будет грозить штраф в размере до 10 млн евро или до 2% годового дохода компании.
Даже если ваша компания работает внутри страны, однако по роду деятельности подпадает под требования GDPR, вам придется открыть свое представительство в ЕС или как минимум назначить там своего представителя.
Перспективы GDPR в Украине
Понятно, что не все бизнес-структуры станут охотно применять GDPR, особенно в части открытия представительства в ЕС. По некоторым оценкам, на внедрение Регламента предприятию придется затратить до 4% годового дохода. Тем не менее GDPR активно продвигается в украинском бизнес-пространстве, проводятся семинары и тренинги, консультации и учебные курсы. Пока рано делать далеко идущие выводы, ведь Регламент GDPR ступил в силу лишь весной этого года и в первую очередь будет обкатываться в ЕС. Ждем актуальной информации от европейского комитета Working party 29 и от EDPB (Европейского совета по защите данных), – главных регуляторов внедрения стандартов GDPR в Евросоюзе. Многое станет понятно из судебной практики.
Скорее всего, в первую очередь Европейский совет по защите данных попытается добиться соблюдения GDPR от крупных европейских и транснациональных компаний уровня Google, Amazon, Uber и пр. Затем настанет очередь европейских компаний поменьше. Однако украинским компаниям, чей бизнес связан с информационными потоками ЕС, не стоит сидеть сложа руки. Как минимум стоит изучить принципы GDPR и начать постепенно внедрять их в свою повседневную практику.
Возможности пользователя
Какими правами наделяет GDPR рядовых пользователей, т.е. владельцев тех самых персональных данных, которых берет под свою защиту?
- Право на забвение (right to be forgotten): владелец данных может потребовать удалить их из базы данных компании, например, чтобы они не попали к третьим лицам.
- Право на переносимость данных (right to data portability): по запросу пользователя компания, у которой имеются его личные данные, обязана передать эти данные бесплатно другой компании, которую укажет пользователь (скажем, пользователь хочет зарегистрироваться на некоем сервисе; вместо того чтобы заполнять форму, он просит другой сервис, на котором он уже зарегистрирован, передать новому сервису его, пользователя, персональные данные вместе с пользовательским профилем).
- Право на отказ: пользователь может потребовать, чтобы его запрос на товар или услугу рассматривал сотрудник, а не автоматизированная система обработки данных.
- Право на защиту детей: обработка персональных данных ребенка может выполняться только с разрешения родителей или законных представителей ребенка. В разных странах ЕС возрастной порог для родительской авторизации разный –от 13 до 16 лет.
В GDPR более четко прописано согласие пользователя на обработку его персональной информации. Вот лишь некоторые требования:
- информация о политике компании в отношении пользовательских данных должна быть размещена на видном месте, чтобы клиенту не пришлось прилагать усилия, чтобы ее отыскать;
- пользователь должен дать однозначно утвердительный ответ на вопрос, дает ли он разрешение на использование и обработку его данных;
- компаниям запрещается предлагать пользователям формы с уже поставленной галочкой в поле о согласии, т.е. запрещается использовать формы с согласием по умолчанию;
- пользователю обязательно должно быть предоставлено право отозвать свое согласие без ущерба для себя;
- дополнительной защитой должны обеспечиваться так называемая специальные категории персональных данных (Special categories of personal data) – сведения о национальности, политических и религиозных взглядах, сексуальной ориентации, состоянии здоровья, а также генетические и биометрические данные, позволяющие идентифицировать человека.
GDPR распределяет ответственность между теми, кто собирает данные (Data controller), и теми, кто их обрабатывает (Data processor). Обе категории специалистов несут ответственность за соблюдение норм GDPR.
Наконец, GDPR не требует внесения каких-либо изменений в законодательства стран ЕС. Как мы уже разъяснили, регламент GDPR в обязательном порядке должен исполняться в странах – членах ЕС и в странах, организации которых имеют дело с персональными данными граждан и резидентов ЕС.