25 мая 2018 года в Европе начнут действовать обновленные правила обработки персональных данных согласно Общему регламенту по защите данных (General Data Protection Regulation). При этом новый закон имеет экстерриториальный характер, то есть касается абсолютно любых компаний, которые обрабатывают информацию о гражданах ЕС.
В мае этого года законодательство ЕС в сфере защиты персональных данных ожидают самые серьезные изменения за последние двадцать лет. Действующие правила были сформулированы еще в 1995 году в Директиве по защите данных 95/46/ЕС, и с того времени объем цифровой информации, которую создают, хранят и получают люди, вырос в разы. Поэтому, по мнению Евросоюза, существующий до сегодняшнего дня режим работы с персональной информацией граждан уже не соответствует поставленным целям. Кроме того, практически все европейские организации все больше внимания уделяют вопросам кибербезопасности.
В результате на смену Директиве по защите данных 95/46/ЕС приходит новый объемный документ под названием General Data Protection Regulation (GDPR). Он был принят еще два года назад, но его положения вступают в силу только сейчас. Он предоставляет резидентам Европейского Союза инструменты для полного контроля над своей персональной информацией. Этот новый радикальный закон о неприкосновенности частной жизни касается любого бизнеса, который занимается обработкой информации о резидентах ЕС.
Стоит отметить, что за нарушения нового закона предусмотрены высокие штрафы до 20 миллионов евро или до 4% годового глобального дохода компании. Представьте, о каких суммах идет речь, если начнут штрафовать технологических гигантов.
Кто обязан выполнять положения GDPR?
Как уже говорилось выше, новый регламент имеет экстерриториальное действие, то есть применяется ко всем компаниям, которые занимаются обработкой персональных данных граждан и резидентов Евросоюза, независимо от местонахождения самой компании. Следовательно, представительства и филиалы российских и украинских организаций на территории ЕС тоже обязаны выполнять новые требования.
Но под зону действия GDPR попадают не только организации, непосредственно базирующиеся на территории Евросоюза. Компании, которые находятся в России, Украине или других государствах, но продают услуги или товары в режиме онлайн пользователям из ЕС или предоставляют услуги на локальных языках в местных валютах, используя национальные домены верхнего уровня государств ЕС (например, «.de», «.co.uk» или «.nl»), теперь тоже должны следовать требованиям GDPR. При этом, чтобы попасть под новые правила, таким компаниям не нужно производить какие-либо операции непосредственно на территории стран ЕС.
Таким образом, организации, которые занимаются обработкой персональной информации европейцев в России, Украине или других странах при реализации онлайн-продаж (к примеру, авиакомпании, платежные системы, компании туристической, банковской, транспортной отраслей, интернет-магазины, гостиницы, социальные сети и т.д.) подпадают под действие нового регламента и должны соблюдать новые европейские требования по обработке персональной информации.
Стоит отметить, что помимо обработки персональной информации в Общем регламенте по защите данных используется также такое понятие, как мониторинг поведения субъектов данных. И, таким образом, это понятие загоняет под действие нового регламента еще одну категорию субъектов – организации, которые созданы за пределами Евросоюза, но осуществляют мониторинг поведения граждан ЕС (в качестве процессора или контроллера).
Под мониторингом подразумевается:
- отслеживание жителя Евросоюза в интернете;
- использование различных методов обработки информации для профилирования отдельных физических лиц, их отношения к чему-либо и поведения (к примеру, с целью анализа и прогнозирования их личных предпочтений).
При этом в GDPR разделяются понятия процессора данных (data processor) и контроллера данных (data controller). Контроллеры несут больше юридической ответственности, нежели процессоры, ведь именно они решают, что будет происходить с персональной информацией, а процессоры являются лишь «исполнителями». Приведем пример: облачная система, которую используют сотрудники Вашей компании для целей выполнения задач, а также для хранения персональной информации клиентов, является процессором данных, а Вы, соответственно, контроллером.
Что подразумевается под персональной информацией?
Под персональными данными в GDPR подразумевается любая информация, относящаяся к субъекту данных, по которой косвенно или прямо можно его определить: имя, онлайн идентификатор, информация о местоположении и другие факторы, характерные для физиологической, физической, умственной, генетической, социальной, экономической или культурной идентичности этого лица (п. 1 ст. 4). Как видим, определение персональных данных в новом регламенте очень широкое: даже IP адрес может считаться персональной информацией.
Стоит отметить, что существует также понятие конфиденциальных персональных данных. К такой информации относятся биометрические, генетические данные, философские или религиозные убеждения, политические взгляды, членство в профсоюзах, этническое или расовое происхождение, сведения о сексуальной ориентации и информация о состоянии здоровья (ст. 9).
Принципы обработки персональных данных согласно новому закону
Обработка персональных данных европейских граждан должна осуществляться в согласии с шестью основными принципами:
- Конфиденциальность и целостность. Обрабатывая данные своих пользователей, организации обязаны обеспечить их защиту от незаконной или несанкционированной обработки, повреждения или уничтожения.
- Точность. Хранящиеся данные должны быть точными. Неточная информация должна быть исправлена или удалена (как решит пользователь).
- Ограничения цели. Информацию можно собирать и использовать только в тех целях, которые были заявлены организацией изначально.
- Ограничения хранения. Личную информацию необходимо хранить только в той форме, которая бы позволяла идентифицировать субъекты на срок не более, чем это нужно для целей сбора данных.
- Минимизация собранной информации. Запрещено собирать личную информацию в большем объеме, чем это нужно для заявленных целей компании.
- Прозрачность и законность. Персональные данные должны обрабатываться прозрачно и законно. То есть, любая информация о целях, объемах и методах обработки должна быть изложена максимально просто и понятно.
Основные требования нового законодательства
Права субъекта данных
В новом регламенте существенно расширены права резидентов и граждан Европейского союза в отношении контроля над их личной информацией. То есть, теперь они могут:
- запросить подтверждение факта обработки их персональных данных;
- узнать цель и место проведения обработки;
- узнать период, в течении которого информация будет обрабатываться;
- узнать, какие третьи лица могут иметь доступ к их данным;
- узнать категории персональных данных, которые обрабатываются;
- уточнить источник получения компанией их личной информации;
- потребовать исправления данных;
- потребовать прекратить обработку.
Кроме того, в новом законе предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает гражданам европейских стран возможность удалить свою личную информацию по запросу во избежание ее передачи третьим лицам. Стоит отметить, что это не новое право, оно также присутствует в Директиве от 1995 года. В 2014 году Европейский суд в решении по делу Google Spain разъяснил, что граждане ЕС имеют право обращаться к любым поисковым системам с просьбой удалить те или иные ссылки, которые касаются их личной информации (если она не представляет общественного интереса). Но теперь право на забвение распространяется не только на поисковики, но и на любые организации, которые обрабатывают данные. Субъект данных может попросить любую компанию удалить его персональную информацию, если это не перечит интересам общества или другим фундаментальным правам граждан ЕС. Например, если подобный запрос получит новостной сервис, то перед тем, как удалять информацию, он должен убедиться, что это удаление не повлияет на право к доступу информации и свободу слова, гарантированные европейцам статьей 11 Хартии ЕС по правам человека.
Согласие на обработку
В новом регламенте установлены серьезные требования к формам получения согласия на обработку персональной информации. Человек должен выразить свое согласие на обработку информации либо в форме утверждения, либо в форме четких активных действий. Согласие на обработку данных не будет считаться действительным, если у пользователя не было выбора или он не мог отозвать свое согласие без какого-либо ущерба для самого себя. Также не рекомендуется использовать по умолчанию поля о согласии с уже поставленной галочкой или какие-либо иные способы получения согласия на обработку по умолчанию. Бездействие пользователя также не означает его согласие. А информация о том, как пользователь в дальнейшем может отозвать свое согласие на обработку данных, должна быть размещена так, чтобы ее можно было легко найти. Процесс отмены согласия должен быть таким же простым, как и его предоставление.
Отдельно стоит упомянуть о защите детей. Согласие на обработку данных ребенка должны дать его родители или законные представители, так как дети менее осведомлены о своих правах, рисках и последствиях в отношении обработки их личных данных.
Право на перенос данных
В GDPR предусмотрено совершенно новое право на перенос данных (right to data portability), которое заключается в том, что организации должны быть готовы бесплатно предоставить электронную копию личной информации пользователя какой-либо другой компании по требованию самого субъекта данных. Это нововведение упрощает пользователям перенос своих данных от одного онлайн-сервиса к другому, так как не нужно повторно вводить одни и те же данные на разных сайтах.
Требование о назначении ответственного по защите данных
Компании, которые занимаются регулярными и систематическими крупномасштабными наблюдениями, мониторингом лиц или крупномасштабной обработкой специальной персональной информации, к примеру, сведений об уголовной судимости или медицинских записей, должны назначить сотрудника, который бы следил за защитой данных.
В целом, любая компания по желанию может назначить такого сотрудника для контроля над соблюдением требований нового регламента. Информация о назначенном сотруднике должна быть направлена национальному регулятору по защите персональной информации той страны, где зарегистрирована компания.
Требование об уведомлении о случаях нарушения законодательства
Если были совершены какие-либо нарушения, связанными с персональной информацией, организация обязана уведомить об этом регулирующие органы (а иногда и субъектов данных) в течении 72 часов после того, как стало известно о таком нарушении. Со списком национальных регуляторов в области защиты персональных данных по всем европейским государствам можно ознакомиться здесь.
Ярким примером нарушения данного правила является хакерская атака на Uber, произошедшая в 2016 году, а именно то, что компания сообщила прессе о том, что хакеры получили доступ к личной информации 57 миллионов пользователей приложения лишь спустя год после этого события. Если бы тогда действовал GDPR, то Uber скорее всего бы пришлось заплатить штраф в размере 4% от своего годового оборота.
Что делать: разрабатываем план действий
Какие шаги стоит предпринять компаниям, которые попадают под действие GDPR? Рассмотрим план необходимых действий:
- Провести анализ деятельности организации на предмет соответствия новым требованиям GDPR
Для начала определите, соприкасается ли деятельность Вашей компании с персональными данными европейских граждан. Если да, то четкое оцените для себя риски такой деятельности. Нужно точно понимать, к какой категории относится Ваша организация. Если она занимается непосредственно сбором и обработкой данных – ответственность увеличивается в разы. Немного проще тем, кто использует личную информацию лишь в промежуточных текущих процессах. В любом случае у компаний есть только два пути: привести свою деятельность в соответствие с требованиями нового закона либо ограничить свою деятельность на территории ЕС. Учтите, что если Вы продаете в Европу, но не соблюдаете требования GDPR, продавать дальше Вы не сможете.
- Провести комплексную диагностику применяемых в компании процессов сбора, обработки и хранения персональных данных.
- Пересмотреть существующие согласия на обработку данных, и, если необходимо, внести изменения, а также пересмотреть процедуры получения и регистрации согласия пользователей на обработку данных, автоматизировать ключевые процессы в IT-системах.
- Провести проверку наличия процедур по выявлению случаев нарушения или утечки персональных данных пользователей.
- Проанализировать возможные риски при передаче персональных данных третьим лицам.
- Назначить сотрудника, ответственного за контроль по защите данных. Если вдруг в будущем будут обнаружены какие-либо нарушения, то отсутствие ответственного сотрудника в штате станет усугубляющим обстоятельством в принятии решения о наложении штрафа.
Проанализируйте прошлые инциденты компрометации персональных данных, если они случались в Вашей компании. Это поможет понять, насколько Вы готовы к новым требованиям. Помните, что сообщать о каких-либо нарушениях регулятору нужно в течении 72 часов после обнаружения инцидента. Поэтому нужно позаботиться о системе своевременного реагирования. Важную роль в этом играет обучение персонала. Одна из главных целей GDPR – это усиление контроля над конфиденциальностью персональной информации европейских граждан. Неприкосновенность личной жизни каждого, в том числе детей. В компаниях подобную культуру уважительного отношения к чужой жизни необходимо прививать на уровне корпоративных ценностей.
Очевидно, что GDPR является важнейшим законодательным документом, призванным значительно повысить уровень защиты персональных данных в Евросоюзе и за его пределами. Его необходимо очень тщательно и внимательно изучить и соблюдать. Стоит учитывать, что в некоторых случаях обязательства могут меняться в зависимости от природы обрабатываемой информации, размера бизнеса и других факторов. Сбор, обработка и перемещение персональных данных по всему миру сегодня имеют огромное экономическое значение. Поэтому если Вы осуществляете сбор данных пользователей в каком-либо виде, необходимо следить за их сохранностью, чтобы избежать каких-либо утечек. Обращайтесь за профессиональной консультацией по электронному адресу info@offshore-pro.info.