Online Europe

GDPR — новые правила обработки персональных данных в Европе

Правила обработки персональных данных в Европе - Online Europe

Европа переключается на обновлённые правила электронной обработки персональных данных для компаний. Новые правила установлены Общим регламентом по защите данных - Генеральный регламент о защите персональных данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation) и вступаю в силу с начала мая 2018 года. Этот Регламент направлен на то, чтобы унифицировать законы о конфиденциальности в странах ЕС и повысить прозрачность информации в отношении обработки данных, которую компании обязаны предоставлять пользователям.

Pегламент GDPR, имеет прямое действие во всех 28 странах Евро Союза. Он заменяет рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Экстерриториальный принцип действия

Первым важным моментом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных. Поэтому компаниям, услуги которых услуги ориентированы на европейский или международный рынок, следует внимательно отнестись к новому регламенту GDPR.

Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро или 4% годового оборота компании. 

В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для компаний по методам реагирования на регламент GDPR. 

Кто попадает в зону действия GDPR?

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. 

Разумеется, филиалы, представительства иностранных (в том числе, российских) организаций на территории ЕС должны будут соответствовать новым требованиям закона.

Другую (не очевидную) категорию субъектов рассмотрим на следующем примере:

Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (например: «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС. 

Должна ли такая организация соблюдать GDPR? 

Да, должна. Потому что товары и услуги очевидно предлагаются жителям ЕС по следующим признакам, они:

  • адаптированы на местные языки жителей ЕС;
  • оплачиваются в местных валютах ЕС;
  • предоставляются на национальных доменах верхнего уровня стран ЕС.

Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, железнодорожные компании, авиакомпании, гостиницы, хостелы и иные организации), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных. 

Мониторинг поведения субъектов данных

Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место быть). 

Мониторинг может включать: 

  • отслеживание резидента ЕС в интернете;
  • использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

Контроллер данных и процессор данных

Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет большую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими «исполнителями». 

Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.

Что подразумевается под персональными данным в GDPR?

Персональные данные — это любая информация, которая относится к идентифицированному или идентифицируемому физическому лицу (к субъекту данных). По такой информации прямо или косвенно можно определить субъекта данных. 

К персональным данным относится в том числе: имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными. 

Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе данных относятся: данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации, генетические, биометрические данные, используемые для идентификации физического лица (ст. 9). 

6 принципов обработки данных по GDPR

Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов: 

1. Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных на сайте компании следует излагать максимально доступно и просто.

2. Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом). 

3. Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки. 

4. Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).

5. Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки. 

6. Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения. 

Ключевые требования GDPR 

Уведомление о случаях нарушения GDPR. Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения. 

Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно. Список национальных регуляторов в области персональных данных по всем странам ЕС.

Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменяет новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).

Права субъекта данных (физического лица). GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право потребовать прекращения обработки своих данных. 

Право на забвение. В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам. 

Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев. 

Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.

Право на переносимость данных. Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных. 

Например, стартап хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах). 

Другой пример. Субъект данных пользуется сервисом чтения электронных книг «Электронная книжка». В один прекрасный момент пользователь решает перейти на сервис «Читай онлайн». В данном случае право на переносимость данных позволяет получить от «Электронной книжки» персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.

Согласие на обработку данных. В отношении формы получения согласия на обработку данных, GDPR устанавливает высокие требования. Согласие человека на обработку его персональных данных должно быть выражено в форме четких активных действий пользователя или форме утверждения. 

Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это. Одновременно, такое согласие не может быть выражено в виде молчания или бездействия пользователя.

Особая защита детей. Согласие на обработку данных ребенка должно быть авторизовано законными представителями ребенка. Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС составляет от 13 до 16 лет.

Назначение ответственного за защиту персональных данных

Требование о назначении ответственного за защиту персональных данных относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения. Например, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например: медицинские записи или иные сведения.

В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.

Что делать, если ваша компания входит в зону действия GDPR?

Если ваша компания входит в зону действия нового европейского регламента о защите данных или вы планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. 

Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных, пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).

Выводы по GDPR

GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Правил, которые должны применяться в области защиты данных, должны быть ясны и последовательны.

Новый закон восстанавливает доверие пользователя к онлайн сервисам, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. 

Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, «валюта» современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.

Новые правила GDPR направлены на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в зоне ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону, обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.

Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и пользователей (субъектов персональных данных), которые возможны в рамках GDPR. Например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных. 

Список национальных регуляторов в области персональных данных по всем странам ЕС

Смотрите также