GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка.

В травні 2018 року Європа переключиться на оновлені правила обробки персональних даних, встановлені “Загальним регламентом щодо захисту даних” ( Регламент ЄС 2016/679 від 27 квітня 2016 року або GDPR – General Data Protection Regulation). Даний регламент, який має пряму дію в усіх 28 країнах ЄС, замінить рамкову Директиву про захист персональних даних 95/46 / ЄС від 24 жовтня 1995 року. Важливим нюансом GDPR є екстериторіальний принцип дії нових європейських правил обробки персональних даних, тому  компаніям слід уважно поставитися до них, якщо послуги орієнтовані на європейський або міжнародний ринок.

Новий регламент надає резидентам ЄС інструменти для повного контролю над своїми персональними даними. З травня 2018 року посилюється відповідальність за порушення правил обробки персональних даних: по GDPR штрафи сягають 20 мільйонів євро (близько 1,5 млрд руб.) Або 4% річного глобального доходу компанії. У цій статті ми проаналізували нові правила обробки персональних даних в ЄС і сформулювали рекомендації для російських компаній за методами реагування на GDPR.

Хто в зоні дії GDPR?

GDPR має екстериторіальне дію і застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від місцезнаходження такої компанії.

Зрозуміло, філії, представництва російських організацій на території ЄС повинні будуть відповідати новим вимогам.

Організація базується в Україні. Вона продає онлайн товари і послуги користувачам, в тому числі користувачам з ЄС.

Послуги надаються користувачам на локальних мовах в місцевих валютах на національних доменах верхнього рівня країн ЄС (напр., «.de», «.nl» або «.co.uk»). При цьому ця організація не виробляє ніяких операцій або субпідрядників безпосередньо на території ЄС.

Чи повинна така організація дотримуватися GDPR?

Так. Адже послуги і товари очевидно пропонуються жителям ЄС, тому що:

– послуги / товари адаптовані на місцеві мови жителів ЄС;

– послуги / товари оплачуються в місцевих валютах ЄС;

– послуги / товари надаються на національних доменах верхнього рівня країн ЄС.

Це означає, що організаціями, підлягають обробці персональні дані європейців в Росії при реалізації онлайн-продажів (наприклад, РЖД, авіакомпанії, готелі, хостели та інші), підпадають під дію GDPR і зобов’язані дотримуватися нових європейських правил обробки персональних даних.

Важливо відзначити, що крім обробки персональних даних в GDPR використовується поняття моніторингу поведінки суб’єктів даних, яке заганяє під дію GDPR ще одну категорію суб’єктів. GDPR застосовується до організацій, створених за межами ЄС, якщо вони (як контролери або процесори) контролюють поведінку жителів ЄС (в тій мірі, в якій така поведінка має місце в ЄС).

Моніторинг може включати:

– відстеження резидента ЄС в Інтернеті;

– використання методів обробки даних для профілювання окремих осіб, їх поведінки або їх відношення до чого-небудь (наприклад, для аналізу або прогнозування особистих переваг).

Європейський законодавець також розділяє поняття контролер даних (data controller) і процесор даних (data processor). Контролер, діючи в якості капітана судна, несе більшу юридичну відповідальність, ніж процесор, який діє в якості моряка на судні. По суті контролери вирішують, що відбувається з персональними даними та несуть відповідальність за обробку, а процесори є якимись “виконавцями”.

Наприклад, хмарна система, якою користуються ваші співробітники для цілей виконання завдань і проектів, де також зберігаються персональні дані клієнтів, буде процесором даних, а ви, відповідно, контролером.

Що мається на увазі під персональними даними в GDPR?

 Персональні дані – це будь-яка інформація, що відноситься до ідентифікованого або ідентифікованому фізичній особі (суб’єкт даних), по якій прямо або побічно можна його визначити. До такої інформації належить в тому числі ім’я, дані про місце розташування, онлайн ідентифікатор або один або кілька факторів характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи (п. 1 ст. 4). Визначення широке і досить чітко дає зрозуміти, що навіть IP адреси також можуть бути персональними даними. Важливо відзначити, що існують певні типи персональних даних, що відносяться до категорії особливих або конфіденційних персональних даних. Це інформація, яка розкриває: расове або етнічне походження, політичні погляди, релігійні або філософські переконання і членство в профспілках. Крім того, до цієї групи належать генетичні, біометричні дані, які використовуються для ідентифікації фізичної особи, дані про стан здоров’я, відомості, що стосуються сексуального життя або сексуальної орієнтації (ст. 9).

Шість принципів обробки даних по GDPR.

Загальний підхід європейців до обробки персональних даних сформульовано у вигляді 6 основних принципів:

1) Законність, справедливість і прозорість. Персональні дані повинні оброблятися законно, справедливо і прозоро. Будь-яку інформацію про цілі, методи та обсяги обробки персональних даних слід викладати максимально доступно і просто.

2)  Обмеження мети. Дані повинні збиратися і використовуватися виключно в тих цілях, які заявлені компанією (онлайн-сервісом).

3)  Мінімізація даних. Не можна збирати особисті дані в більшому обсязі, ніж це необхідно для цілей обробки.

4)  Точність. Особисті дані, які є неточними, повинні бути видалені або виправлені (на вимогу користувача).

5) Обмеження зберігання. Особисті дані повинні зберігатися в формі, яка дозволяє ідентифікувати суб’єктів даних на термін не більше, ніж це необхідно для цілей обробки.

6)  Цілісність і конфіденційність. При обробці даних користувачів компанії зобов’язані забезпечити захист персональних даних від несанкціонованої або незаконної обробки, знищення та пошкодження.

Ключові вимоги.

 Повідомлення про випадки порушення GDPR. Компанії зобов’язані повідомляти регулюючі органи (а в деяких випадках і суб’єктів даних) про будь-які порушення, пов’язаних з персональними даними протягом 72 годин після виявлення такого порушення. Наприклад, недавня новина про хакерську атаку на Uber – яскравий приклад порушення даного правила. Uber повідомив пресі, що хакери отримали доступ до персональних даних 57 мільйонів користувачів і водіїв через цілий рік. Якби зараз діяв GDPR, то уникнути високого штрафу в розмірі 4% від річного обороту було б неможливо.

 Список національних регуляторів у сфері персональних даних по всіх країнах ЄС наведено тут . Також є загальноєвропейський регулятор – Working party 29 або Робоча група по статті 29. Однак після вступу GDPR в силу Робочу групу за статтею 29 замінить новий орган – Європейська рада із захисту даних (European Data Protection Board – EDPB).

Права суб’єкта даних (фізичної особи).

 GDPR значно розширює права громадян і резидентів ЄС з контролю за їх персональними даними. Європейські користувачі мають право запитувати підтвердження факту обробки їх даних, місце і мету обробки, категорії оброблюваних персональних даних, яким третім особам персональні дані розкриваються, період, протягом якого дані будуть оброблятися, а також уточнювати джерело отримання організацією персональних даних та вимагати їх виправлення. Більш того, користувач має право вимагати припинення обробки своїх даних.

 У GDPR також передбачено право на забуття (right to erasure, right to be forgotten), яке дає європейцям можливість видаляти свої особисті дані за запитом щоб уникнути їх розповсюдження або передачі третім особам.

 Це не нове право, воно також є в чинній Директиві. Суд справедливості ЄС (CJEU – Court of Justice of the European Union) у вирішенні у справі Google Spain в 2014 році роз’яснив, що суб’єкти даних мають право на видалення інформації про них з результатів пошуку, якщо вона не становить суспільного інтересу. Однак, право на забуття поширюється не тільки на пошукові системи. Будь-яка компанія, обробна дані, повинна видаляти будь-чиї персональні дані за запитом, якщо це не суперечить інтересам суспільства або іншим фундаментальним правам європейців.

 Наприклад, якщо ви новинний сервіс, то перш, ніж видаляти дані, перевірте і переконайтеся, що таке видалення не вплине на свободу слова і на право доступу допуск до інформації, гарантовані європейцям статтею 11 Хартії Європейського союзу з прав людини. Право на переносимість даних. Право на переносимість даних (right to data portability) є новацією в правилах обробки даних ЄС, введене GDPR. Дане право полягає в тому, що компанії зобов’язані надавати безкоштовно електронну копію персональних даних іншої компанії на вимогу самого суб’єкта персональних даних.

Наприклад, стартап під назвою “Сонечко” хоче вийти на ринок з сайтом для обміну соціальними медіа, але на ринку вже є свої гіганти з великою часткою ринку. Право на переносимість даних спростить потенційним клієнтам процес передачі своїх даних від одного онлайн-сервісу до іншого (без повторного введення одних і тих же даних на різних сайтах). Інший приклад. Суб’єкт даних користується сервісом читання електронних книг “Електронна книжка”. В один прекрасний момент користувач вирішує перейти на сервіс “Читай онлайн”. В даному випадку право на переносимість даних дозволяє отримати від “Електронної книжки” персональні дані (наприклад, переваги в літературі та інші) і передати їх іншій сервісу. Згода на обробку GDPR встановлює високі вимоги в щодо форми отримання згоди на обробку даних. Згода особи на одне обробку його персональних даних має бути виражене у формі затвердження або у формі чітких активних дій користувача. Згода на обробку персональних даних буде недійсна, якщо у користувача не було вибору або не було можливості відкликати свою згоду без шкоди для самого себе. Якщо користувач дав згоду на обробку своїх персональних даних, контролер повинен мати можливість продемонструвати це. Чи не рекомендуємо використовувати за замовчуванням поля про згоду з уже поставленої галочкою або інші методи отримання згоди за замовчуванням. Згода також не може бути виражено у вигляді мовчання або бездіяльності користувача. Інформація про порядок відкликання згоди на обробку персональних даних повинна бути розміщена таким чином, щоб користувач міг легко її знайти. Особлива захист дітей. Дитячі персональні дані заслуговують особливої ​​захисту, адже вони менш інформовані про ризики, наслідки, гарантії і їх права щодо обробки персональних даних. Згода на обробку даних дитини має бути авторизовано батьками (або законними представниками дитини). Віковий поріг для батьківської авторизації встановлюється державами-членами ЄС окремо (від 13 до 16 років). Призначення відповідального за захист персональних даних. Ця вимога стосується компаній, які здійснюють регулярні та систематичні великомасштабні спостереження, моніторинг осіб (вище про нього згадувалося); або які здійснюють великомасштабну обробку спеціальних персональних даних, наприклад, медичні записи або відомості про кримінальну судимість. У будь-якому випадку, будь-яка організація може добровільно призначити співробітника щодо захисту даних для управління процесами обробки даних користувачів і контролю за дотриманням вимог GDPR. У такому випадку компанія повинна опублікувати інформацію про такий співробітника, а також направити її національному регулятору щодо захисту персональних даних відповідної країни ЄС.

Що робити?

Якщо ви входите в зону дії нового європейського регламенту про захист даних або плануєте розширюватися і надавати послуги і товари в країни ЄС, то рекомендується провести комплексну оцінку застосовуваних в компанії методів і засобів обробки персональних даних та привести їх у відповідність з новими правилами GDPR .

Слід також переглянути політику конфіденційності та положення про обробку персональних даних користувача угод (Terms of use) своїх сайтів і онлайн-сервісів, орієнтованих на європейських споживачів і користувачів. Для відповідності вимогам GDPR необхідно розробити внутрішні політики захисту даних, навчати персонал, проводити перевірки діяльності по обробці даних, вести документацію по процесам обробки, впроваджувати заходи по вбудованій системі конфіденційності, а також призначити співробітника відповідального за обробку персональних даних (природно, з урахуванням характеру і обсягів оброблюваних персональних даних).

Незважаючи на те, що нові вимоги до обробки персональних даних серйозні, в них є позитивні сторони для позаєвропейських гравців: легше дотримуватися єдиного набору правил захисту і обробки даних, ніж враховувати національні нюанси обробки персональних даних кожної окремої країни ЄС, як це доводилося робити до введення GDPR. Більш того, реформа спрямована на стимулювання економічного зростання шляхом скорочення витрат і бюрократії для компаній, що працюють в ЄС. Дотримання одного правила замість 28 (кількість країн-членів ЄС) допоможе маленьким і компаніям, що розвиваються вийти на нові ринки. Відповідно до закону в ряді випадків зобов’язання змінюються в залежності від розміру бізнесу, природи оброблюваних даних і інших чинників. Також слід заздалегідь продумати механізми реагування на запити європейських регуляторів і суб’єктів персональних даних (користувачів), які можливі в рамках GDPR (наприклад, про уточнення даних, їх видаленні, припинення обробки або передачі іншій компанії по праву на переносимість даних).

Висновок.

GDPR – найважливіший законодавчий документ, який суттєво підвищує рівень захисту персональних даних в ЄС і за його межами. Він вимагає дуже уважного вивчення і дотримання. Реформа дає ясність і послідовність правил, які повинні застосовуватися в області захисту даних. Вона також відновлює довіру користувача-споживача, що дозволяє бізнесу максимально використовувати можливості на єдиному європейському цифровому ринку. Збір, аналіз та переміщення персональних даних по всьому світу придбали велике економічне значення. Персональні дані – це, безумовно, “валюта” сучасної економіки. І якщо ви здійснюєте збір даних користувача в будь-якому вигляді – за їх збереженням треба уважно стежити, щоб уникнути витоків і можливих маніпуляцій ними третіми особами.

ДОДАТИ КОМЕНТАР

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.