GDPR (General Data Protection Regulation) — это Общий регламент по защите данных. Норматив определяет порядок сбора, обработки, хранения и распространения персональных данных в странах Евросоюза и с участием его граждан.
GDPR охватывает любые взаимодействия организаций и граждан ЕС, в которых применяют персональные данные
GDPR существует с 25 мая 2018 года. Он пришел на смену «Директиве 95/46/ЕС от 24 октября 1995 года о защите прав частных лиц применительно к обработке». Нормы GDPR обязательны для всех стран ЕС.
Основные цели GDPR
Основополагающая цель Регламента заключается в защите персональных данных и предупреждении нарушений прав человека.
Персональными данными называют сведения, которые позволяют идентифицировать личность: имя и фамилия, адрес, телефон, паспорт. Также к ним относятся интернет-идентификаторы (IP-адрес, cookie-файлы, RFID-идентификаторы и т. д.) и генетическая информация (ДНК, РНК).
Практически любое взаимодействие людей с организациями предполагает передачу личной информации. Это упрощает коммуникации и сотрудничество. Важно, чтобы компании собирали и обрабатывали полученную информацию грамотно.
GDPR утверждает протоколы и правила, по которым следует работать с личными данными других людей. Также этот документ определяет роли участников, типы согласия и стандарты подотчетности.
Компании, попадающие под влияние GDPR, учитывают его требования при создании Политики приватности. Это большой документ, составленный по нормам Регламента.
Пример политики обработки персональной информации
Регламент расширяет права граждан в сравнении с ранее действовавшей директивой.
В частности, люди вправе запрашивать информацию о том, как применяют личные данные и как их хранят, могут требовать удаления сведений или передачу их другому оператору. Также любой человек имеет право не давать согласие на обработку в целях, не связанных с причиной обращения.
В политике конфиденциальности по GDPR обязательно описывают права пользователей
Участники обработки данных по GDPR
Согласно Регламенту, лицо, которому принадлежат данные, называется субъектом. За защиту информации, полученной от субъектов, отвечают:
- Контроллер. Компания или человек, которые определяют цели и задачи обработки информации, контролируют ее и несут за это ответственность. Следят за соблюдением GDPR.
- Обработчик. Обрабатывает личную информацию. Подчиняется контроллеру и действует от его имени.
Компании, которые работают с большим потоком информации и в рамках GDPR, часто нанимают отдельного сотрудника по защите данных — DPO (Data protection officer). Он должен хорошо разбираться в нормах регламента и отвечать за его соблюдение перед надзорными органами.
В качестве контроллера и обработчика нередко выступает одно и то же лицо.
Российское digital-агентство заключило договор с европейской компанией и в рамках договора отправляет email-рассылки клиентам этой компании. Соответственно, агентство выступает как обработчик. Европейская компания — контроллер.
Другой пример — российский интернет-магазин обслуживает граждан ЕС. Он собирает личные данные, которые потом использует для взаимодействия с клиентами. В этом случае магазин выступает и как контроллёр, и как обработчик.
Принципы обработки данных
В GDPR перечислены принципы, которые необходимо соблюдать при обработке персональных данных. В них отсутствуют чёткие инструкции и правила. Это скорее основные тезисы для контроллеров, обработчиков и субъектов.
Законность, честность, обзорность. Данные обрабатывают законно, честно и в предусмотренной форме.
Целевые ограничения. Персональные сведения собирают для понятной и юридически законной цели и обрабатывают подходящим для этого способом.
Минимизация данных. Собирают только ту информацию, которая действительно необходима для конкретной ситуации.
Точность. Все неверные персональные сведения должны быть незамедлительно удалены или исправлены. Необходимо принимать все разумные меры для обеспечения точности.
Ограничение по хранению. Срок хранения информации не должен превышать времени, которое необходимо для достижения цели.
Целостность и конфиденциальность. Для обработки данных выбирают способ, который обеспечивает безопасность, а также защиту персональной информации от незаконного использования, потери, повреждения или уничтожения.
Организации должны разъяснять пользователям, как и с какой целью они будут обрабатывать полученные сведения. Об этом компании рассказывают в политике приватности или политике конфиденциальности. Последняя — более простая версия документа. Ее используют большинство российских компаний, которые не следуют GDPR, но собирают информацию на своем сайте через формы контактов.
Правила обработки данных должны быть понятны любому пользователю
Требования GDPR
Для соответствия Регламенту необходимо соблюдать ряд требований.
Собирайте и используйте персональные данные лишь по согласию владельца. Согласие должно быть добровольным и однозначным, не допускающим неверную трактовку. Предварительно человек должен получить подробную информацию о том, для чего собирают сведения и что с ними будет происходить.
Обрабатывайте данные только способами, которые соответствуют поставленным целям. Если информацию планируется использовать для иной задачи, то нужно убедиться в её связи с первоначальной целью сбора.
Уничтожайте собранные сведения сразу же по достижении целей. Период хранения определяется точными сроками или критериями.
Удаляйте сведения из базы незамедлительно в случае требования от владельца. Запретить использовать свои личные данные субъект может любым доступным способом, в том числе и при помощи автоматизированных средств.
Назначьте ответственного сотрудника по защите информации. Он должен хорошо разбираться в положениях Регламента, чтобы контролировать работу с информацией.
Ведите отчётность, которая подтверждает соблюдение GDPR. Необходимо разработать правила обработки сведений, вести реестр нарушений безопасности, документировать получение данных.
В случае утечки персональных данных оператор (тот, кто обрабатывает) должен сразу сообщить об утечке контроллеру (тому, кто собирает). В свою очередь контроллер обязан в трёхдневный срок уведомить надзорный орган и сообщить о происшествии владельцам сведений (субъектам), если утечка грозит нарушением их прав.
Кто обязан соблюдать GDPR
Прежде всего следовать GDPR обязаны все учрежденные в ЕС организации, в том числе их зарубежные филиалы. А также любые компании, которые экспортируют товары и услуги в страны ЕС.
Кроме них соблюдать Регламент обязаны организации, которые:
- Предлагают товары и услуги гражданам ЕС на платной или бесплатной основе. Например, интернет-магазины, онлайн-сервисы, гостиницы, хостелы. При этом случайные разовые онлайн-продажи не требуют соблюдения GDPR. Признаком взаимодействия являются такие факторы, как использование языка или валюты страны ЕС, упоминание граждан ЕС в качестве пользователей или потребителей.
- Мониторят поведение граждан ЕС. Это организации, которые отслеживают файлы cookie или IP-адреса посетителей из стран ЕС, составляют профили пользователей. Пример — сайты знакомств, банки, интернет-магазины, поисковые системы, социальные сети.
Важно! Если сайт компании регулярно посещают граждане ЕС, то стоит проверить необходимость соответствия GDPR даже при отсутствии продаж. Подключенная на сайте «Яндекс.Метрика» может собирать идентификационные данные граждан ЕС при определенных настройках. А значит, ваша компания обязана подчиняться GDPR.
Соблюдение Регламента не требуется для личной и домашней деятельности. Если человек собирает контактные данные друзей для личных целей, то он не обязан дополнительно заботиться о конфиденциальности.
Частично освобождены от соблюдения Регламента организации со штатом до 250 человек. Они должны обеспечивать защиту и безопасность персональных данных, но вести документацию не обязаны.
Штрафы за несоблюдение правил GDPR
За исполнением GDPR следят надзорные органы. Это независимые публичные учреждения, которые ответственны за мониторинг применения Регламента. Надзорный орган вправе проверить соблюдение GDPR по запросу любого субъекта данных. При выявлении нарушений он начисляет штраф.
Величина штрафа зависит от различных факторов. Учитывают суть, тяжесть и длительность нарушения, было ли действие умышленным или случайным, какие меры защиты обеспечены, согласен ли нарушитель сотрудничать и помогать урегулировать проблему.
Предусмотрены следующие суммы штрафа:
- До 10 млн евро или до 2 % от годового оборота. За несоблюдение обязанностей контролера и за нарушения, связанные с сертификацией и техническими сбоями.
- До 20 млн евро или до 2 % от годового оборота. При нарушении принципов обработки или предписаний надзорных органов, несоблюдении прав субъектов данных, ненадлежащем исполнении обязанностей.
- До 20 млн евро или 4 % от годового дохода. За несоблюдение распоряжения надзорного органа.
При совершении нескольких нарушений величина штрафа не суммируется и не превышает сумму взыскания по самому тяжкому из них.
В январе 2019 года компанию Google оштрафовали на 50 млн евро за несоответствие политики приватности требованиям GDPR. Из-за слишком сложно изложенной Политики пользователи не могли понять, как обрабатывают их личные сведения. А еще при получении согласия на обработку данных уже стояла галочка, что нарушает положения Регламента.
компаниям вряд ли грозят реальные штрафы за нарушение GDPR в 2022 году. В открытых источниках нет информации о подобных прецедентах.
Кроме штрафов, существуют и иные методы влияния на организацию: ограничение доступа к сайту в странах ЕС, наложение ареста на зарубежные активы, разные запретные меры для представителей руководства.
Поэтому российским компаниям лучше учитывать принципы GDPR. Тем более, что некоторые его нормы пересекаются с Законом «О персональных данных от 27.07.2006 N 152-ФЗ».
Главные мысли
