GDPR: риски и регулирование
GDPR: риски и регулирование
Общий Регламент о защите персональных данных (GeneralDataProtectionRegulation / GDPR)
В мае 2018г. в силу вступил Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС. («Регламент GDPR»).
Положения Регламента GDPR в первую очередь рекомендуется изучить организациям, чья деятельность связана с:
- Образовательной деятельностью, например онлайн-школам;
- Гостиничным бизнесом;
- Туристическими услугами;
- Авиа, ж/д, авто и прочими перевозками пассажиров и их имущества;
- Мобильной связью;
- Интернет-торговлей, онлайн-играми;
- В других сферах бизнеса, где возможно использование персональных данных граждан ЕС.
В контексте регулирования Регламента GDPR «персональными данными» является любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъекту данных») (пункт (1)).
К ним можно отнести имя, фамилию, местоположение, возраст, пол, номер телефона, электронную почту, а также информацию о физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица.
Регламент GDPR выделяет такую категорию персональных данных, как «особые». К ним относится информация относительно расового или этнического происхождения, политических взглядов, здоровья, сексуальной жизни и ориентации, биометрических и генетических данных, философских и религиозных верований.
По общему правилу обработка таких данных запрещена, за исключением случаев, описанных в статье 9(2) GDPR. К таким случаям, например, относятся следующие:
- Субъект данных дал прямое согласие на обработку такой информации.
- Обработка необходима для защиты жизненно важных интересов субъекта данных, если он физически или юридически неспособен дать свое согласие.
- Осуществляется обработка общедоступных персональных данных.
Регламент GDPR применяется в отношении обработки персональных данных полностью либо частично при помощи автоматизированных средств, а также в отношении обработки персональных данных иными способами, которые являются частью файловой системы, включая, например, картотеки.
Регламент GDPR применим и к тому, кто обрабатывает данные («обрабатывающее данные лицо»/«обработчик»)
«Обрабатывающее данные лицо» - физическое или юридическое лицо, органы государственной власти, агентство или иной орган, который обрабатывает персональные данные от имени контролера (пункт (8))
и к тому, кто собирает данные (контролер).
«Контролер» - физическое или юридическое лицо, органы государственной власти, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных (пункт (7)).
Контролер определяет цель и значение обработки персональных данных, а обработчик ответственен за непосредственную обработку данных. Таким образом, за соблюдение норм GDPR ответственность несут оба субъекта.
Территориальное действие (статья 4 Регламента GDPR)
Требования GDPR обязательны не только для лиц, учрежденных в одном из государств-членов ЕС, но и для тех, кто любым образом собирает и обрабатывает персональные данные жителей ЕС, что является проявлением принципа экстерриториальности.
Остановимся на данных вариантах действия Регламента GDPR более подробно:
1. Контролер или обработчик учреждены в одном из государств-членов Европейского Союза («ЕС»), вне зависимости от того, осуществляется обработка в ЕС или нет.
2. Контролёр или обработчик не учреждены в ЕС, однако осуществляют обработку персональных данных субъектов данных, находящихся в ЕС.
ЗНАЧЕНИЕ ДЛЯ РОССИЙСКИХ КОМПАНИЙ
Регламент GDPR распространяется на российские компании в случае, если они осуществляют деятельность в ЕС через постоянную структуру.
НАПРИМЕР:
- деятельность филиала российской компании или дочерней компании в ЕС;
- деятельность через агента в ЕС. Например, дилер программного продукта, которое предусматривает обработку данных;
- деятельность совместно с компанией из ЕС (совместный контролёр). Например, привлечение компании-арендодателя серверов для хранения персональных данных граждан ЕС.
Проявлением принципа экстерриториального действия Регламента GDPR является:
(a) предоставление товаров и услуг субъектам данных в ЕС (как возмездного, так и безвозмездного).
НАПРИМЕР:
- российская компания предлагает резидентам ЕС платные или бесплатные услуги через сайт с хостингом в России (социальные сети, онлайн игры)
Признаки которые с очевидностью свидетельствуют о намерении предлагать товары или услуги субъектам данных в ЕС (пункт (23) Преамбулы Регламента GDPR):
– использование языка или валюты, распространенной в одном или нескольких государствах-членах ЕС в совокупности с возможностью заказа товаров или услуг на данном языке.
– упоминание покупателей или пользователей, находящихся в ЕС.
(b) мониторинг деятельности субъектов данных ЕС при условии, что она осуществляется на территории ЕС.
НАПРИМЕР:
- российская компания отслеживает запросы пользователей (в том числе из ЕС) с помощью cookie-файлов для таргетированной рекламы.
CASE STUDY:
В феврале 2019 г. (BDPA) проверило сайты 40 крупных компаний на соответствие требованиям GDPR, а именно предоставляется ли пользователям полная информация об использовании технологий отслеживания и файлов cookie, соответствует ли форма согласия требованиям ясности и определенности, каким образом выражается согласие пользователя (добровольно путем нажатия кнопки «согласен» или презюмируется, как только пользователь заходит на сайт)[1].
Результаты проверки оказались неудовлетворительными. В соответствии с данными BDPA, ни один из проверенных сайтов не смог выполнить все указанные требования относительно формы и содержания согласия на использование файлов cookie; лишь 25 % исследованных сайтов предоставляют полную информацию об используемых ими технологиях отслеживания, указывая на это в политике конфиденциальности. В большинстве случае, информация либо не была представлена, либо носила слишком общий, неконкретизированный характер, отмечает BDPA.
Принципы, связанные с обработкой персональных данных (статья 5 Регламента GDPR)
1. Законность, беспристрастность и прозрачность.
2. Целевое ограничение – персональные данные должны собираться для определенных, явных и законных целей и в дальнейшем не должны обрабатываться несовместимым с этими целями способом.
3. Минимизация данных (Privacy by default) – персональные данные должны быть адекватными, соответствующими и должны ограничиваться тем, что необходимо относительно целей, для которых они обрабатываются.
GDPR требует, чтобы компании обрабатывали минимально необходимый объем данных в минимально возможные сроки. Регулятор имеет право оценить заявленные объемы и сроки.
4. Точность – персональные данные должны быть точными и, при необходимости, актуальными; необходимо принимать обоснованные меры для того, чтобы гарантировать своевременное удаление или исправление неточных данных с учетом целей, для которых они обрабатываются.
5. Ограничение по хранению – персональные данные должны храниться в форме, которая позволяет идентифицировать субъектов данных, в течение срока, необходимого для целей, относительно которых обрабатываются персональные данные.
6. Целостность и конфиденциальность (Privacy by design) – персональные данные должны обрабатываться способом, гарантирующим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, разрушения или уничтожения данных, с использованием соответствующих технических и организационных мер.
Следуя этому принципу, организации должны продумывать механизмы защиты информации на этапе планирования процедур обработки данных.
7. Ответственность – контролер несет ответственность за соблюдение вышеуказанных требований и должен быть в состоянии продемонстрировать это.
Новшества по сравнению с ранее действующей Директивой 95/46/ЕС Европейского парламента и Совета ЕС от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных»
1. Право на забвение (право на удаление персональных данных) — субъект данных имеет право требовать от контролера незамедлительного удаления относящихся к нему персональных данных, а контролер должен незамедлительно удалить персональные данные при наличии определенных оснований (статья 17 Регламента GDPR).
2. Более легкий доступ к персональным данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, кто их обрабатывает и для каких целей (статья 15 Регламента GDPR).
3. Право знать, если данные пользователя были взломаны — контролер обязан незамедлительно информировать людей о нарушениях безопасности данных, а также уведомить соответствующий надзорный орган в течение 72 часов, после того как ему стало известно об утечке (статьи 33, 34 Регламента GDPR).
4. Право на переносимость данных – субъект данных имеет право получить относящиеся к нему персональные данные, которые он предоставил контролеру, в структурированном, универсальном и машиночитаемом формате и беспрепятственно передать указанные данные другому контролеру при наличии определенных условий (статья 20 Регламента GDPR).
5. Защита данных по умолчанию и на основе продуманных действий(by default and by design) – контролер обязан имплементировать соответствующие технические и организационные меры (например, псевдонимизацию) в зависимости от обстоятельств для обеспечения необходимых гарантий защиты прав субъектов данных (статья 25 Регламента GDPR).
Основные права субъекта данных:
1. Право на доступ к данным (статья 15 Регламента GDPR)
2. Право на внесение исправлений (статья 16 Регламента GDPR)
3. Право на удаление ("право на забвение") (статья 17 Регламента GDPR)
4. Право на ограничение обработки (статья 18 Регламента GDPR)
5. Право на переносимость данных (статья 20 Регламента GDPR)
6. Право на возражение (статья 21 Регламента GDPR)
7. Право лично влиять на автоматизированные системы сбора и профилирования (статья 22 Регламента GDPR)
Ответственность за несоблюдение Регламента GDPR для контролеров и обработчиков
Полномочиями по применению мер ответственности обладают надзорные органы государств-членов ЕС (статья 58 Регламента GDPR). Помимо мер, указанных в пунктах (a) - (h) и (j) Статьи 58(2) Регламента GDPR, на контролеров и обработчиков могут налагаться административные штрафы в соответствии со ст. 83 (в дополнение к ранее указанными мерам или вместо них).
Размеры административных штрафов варьируются в следующих размерах:
1. не более 10 млн Евро или не более 2% от общего годового оборота предприятия за предыдущий финансовый год (в зависимости от того, какая сумма больше) за нарушение обязанностей контролера и обработчика согласно Статьям 8, 11, 25 - 39 и 42 и 43 Регламента (пункт (а) статьи 83(4));
НАПРИМЕР:
- неполучение согласия на обработку персональных данных ребенка (Ст. 8);
- неназначение представителей контролера или обработчика, которые учреждены вне ЕС (Ст. 27);
- неисполнение обязанностей лица ответственного за обработку персональных данных (ст. 28).
2. не более 20 млн. Евро или не более 4% от общего годового оборота предприятия за предыдущий финансовый год (в зависимости от того, какая сумма больше) за нарушение положений (статья 83(5)):
(a) основных принципов обработки, в том числе условий для согласия в соответствии со Статьями 5, 6, 7 и 9;
(b) прав субъектов данных согласно Статьям 12 - 22;
(c) передачи персональных данных получателю в третьей стране или международной организации согласно Статьям 44 - 49;
(d) любых обязанностей согласно законодательству государства-члена ЕС, принятому в рамках Главы IX;
(e) несоблюдения требования или временного/окончательного ограничения на обработку или приостановление передачи данных надзорным органом согласно Статье 58(2) или отказ в предоставлении доступа в нарушение Статьи 58(1).
Рекомендации по снижению рисков, связанных с несоблюдением положений Регламента GDPR
Для того, чтобы наши клиенты соблюдали требования Регламента GDPR и не попадали в щепетильную ситуацию общения с регулятором, мы стремимся дать им индивидуальные рекомендации, которые подходят именно для их ситуации. Тем не менее, общие советы по соблюдению Регламента GDPR могут быть следующими:
- Обратите особое внимание на политику конфиденциальности (Privacy Policy) и положения об обработке персональных данных в пользовательских соглашениях (Terms of Use). В них должно быть четко прописано, какую информацию собирает система, для каких целей она собирается, какова политика хранения данных (Data Retention Policy), как организована защита данных. Не забудьте про обязательный «check-box» («галочку») о согласии с вышеуказанной информацией!
- Форма согласия должна быть явной и понятной, при этом должны быть четко определено, на что пользователь дает свое согласие: на обработку персональных данных, получение оповещений по электронной почте, на использование файлов cookie и т.д.
- Сделайте разные формы согласия (на обработку почты, номера телефона и т.д.) или уточните вид персональных данных в поле «Я даю согласие на обработку: имени, фамилии, возраста …».
- Проведите комплексный анализ используемых методов сбора, обработки и хранения данных на соответствие положениям Регламента GDPR;
- Пересмотрите политику конфиденциальности и защиты данныхили разработайте новую политику самостоятельно или через обращение в специализированную организацию.
- Для уже имеющихся у Вас клиентов проведите рассылку писем с просьбой заново дать свое согласие на обработку предоставленных ими ранее персональных данных
- Назначьте сотрудника по защите и обработке персональных данных, который разбирается в законодательной базе и способен работать с обращениями пользователей и надзорными органами ЕС.
- Пользователь должен самостоятельно нажать «галочку» о согласии, а также иметь возможность запретить обработку своих персональных данных.
- Пользователю должны быть предоставлены все права, установленные GDPR (ст. ст. 15-22), поэтому он должен иметь возможность, например, изменить любое поле о себе, удалить себя и всю свою информацию из системы.
[1]http://www.mondaq.com/unitedstates/x/793730/Data+Protection+Privacy/Bavarian+Data+Protection+Supervisory+Authority+Concludes+After+Safer+Internet+Day+Raid+That+Investigated+Companies+Fail+To+Obtain+Appropriate+Cookie+Consent
Тиунова Алла