25 мая 2018 года вступил в силу новый General Data Protection Regulation, Общий регламент по защите персональных данных Европейского союза. Как он коснется российских компаний и что нужно сделать для его соблюдения, разберем в статье.
В чем суть GDPR?
Регламент разработан для контроля обработки персональных данных граждан и резидентов стран Европейского союза. В каждом государстве действуют свои правовые нормы, а GDPR представляет собой именно общий регламент, действующий для всех. В том числе, для тех, кто работает вне ЕС, но оказывает услуги на его территории.
По Регламенту граждане и резиденты ЕС имеют право практически полностью контролировать обработку ПДн:
- получать информацию, кто, зачем и каким образом использует персональные данные;
- запрашивать, какие данные находятся в распоряжении обработчика;
- отзывать согласие на использование данных;
- требовать корректировки неверных, устаревших, изменившихся данных;
- требовать удаления данных, если это не противоречит другим законам и не влияет на право получения информации (например, об общественной деятельности);
- запрашивать данные для переноса на другую площадку (аналогичный сервис, другой сайт и т.п.);
- жаловаться регулятору соблюдения GDPR в своей стране на неправомерное использование ПДн и на игнорирование своих запросов и требований.
Обработчики персональных данных со своей стороны обязаны:
- получать согласие на обработку ПДн или предоставлять всю информацию о целях сбора ПДн, способах их использования и условиях передачи третьим лицам в договоре или «Политике конфиденциальности» (подробнее о различиях – в последнем разделе статьи);
- получать согласие на использование ПДн детей в возрасте до 16 лет (в некоторых странах – до 13 лет) от родителей или опекунов;
- не использовать данные так, как не было оговорено заранее;
- не передавать ПДн третьим лицам без согласия их обладателей;
- документировать процесс обработки данных;
- обеспечивать защиту данных;
- удовлетворять запросы на получение информации об использовании данных;
- корректировать или удалять данные по запросу, если их хранение не обусловлено местным законодательством;
- уведомлять об утечке данных в течение 72 часов;
- назначить ответственного за обработку ПДн в своей компании;
- обеспечить представительство в странах ЕС, граждане и резиденты которых являются клиентами компании.
Формулировка, что считается ПДн, традиционно расплывчата: в общем, под это определение попадает вся информация, с помощью которой можно идентифицировать человека. Кроме того, не рекомендуется собирать избыточные данные, то есть не нужные для маркетинговых целей, и запрещается использовать в интересах бизнеса информацию, связанную с религиозными воззрениями, расовой принадлежностью, сексуальной ориентацией.
Если рассуждать о духе закона, нужно отметить, что он определяет обработчика ПДн как хранителя информации, но не как обладателя. И этот хранитель должен быть в высшей степени ответственным и заботливым.
Кто должен выполнять требования?
Помимо компаний, работающих в ЕС или имеющих представительство в странах Евросоюза, соблюдать GDPR нужно:
- организациям, предоставляющим услуги или продающим товары в странах ЕС;
- компаниям и сервисам, занимающимся мониторингом поведения пользователей из стран ЕС;
- организациям, имеющим сайт или версию сайта на языке страны ЕС, если собираемые данные о посетителях используются для идентификации и профилирования пользователей;
- компаниям, планирующим выход на западный рынок или сотрудничество с партнерами из ЕС.
Другими словами, если клиенты и посетители сайта – граждане или резиденты стран ЕС и их данные собираются, хранятся и используются в маркетинговых целях, нужно обеспечить обработку ПДн согласно GDPR. А партнеры, работающие на территории ЕС, должны быть уверены, что передаваемые ими данные защищаются в соответствии с Общим регламентом.
Но если иностранец переночевал в гостинице Саратова и этот факт не используется владельцем отеля для показа рекламы и рассылки, можно не беспокоиться. Незарегистрированные читатели информационного или развлекательного ресурса могут быть откуда угодно, при условии, что имеющиеся о них данные (IP, cookies и подобная техническая информация) никак не используется.
Я уже соблюдаю № 152-ФЗ, что еще нужно?
Требования GDPR жестче, чем правила, установленные российским законодательством, хотя общие положения, конечно, есть. Для соответствия GDPR понадобится дополнительно обеспечить:
- информирование о передаче данных третьим лицам с перечислением организаций, которым отдаются ПДн и целей этой деятельности;
- возможность для пользователей без особых усилий отправить запрос об объеме хранящихся данных, требование о корректировке или удалении как части данных, так и всего аккаунта;
- техническую возможность полного или частичного удаления данных, в том числе из резервных копий;
- оперативное, в течение месяца, реагирование на запросы об уточнении или удалении ПДн;
- документирование всех действий по обработке данных;
- информирование пользователей об утечке ПДн.
Важно отметить, что по условиям GDPR местное законодательство приоритетно. То есть данные, которые положено хранить в течение определенного срока, удаляться не могут.
Если действительно выполнять все требования № 152-ФЗ, касающиеся технического обеспечения и документирования обработки ПДн, большой дополнительной работы не потребуется. Но в конфликтных ситуациях придется доказать, что обработка ПДн ведется по правилам, поэтому стоит заняться приведением этой деятельности в порядок, не сводя соблюдение российского закона к размещению на сайте «Политики конфиденциальности» и «галочки» согласия с обработкой данных.
Кто проверит?
На основании практики действия других регламентов ЕС, эксперты предполагают такой порядок действий:
- регулятор получает жалобы от людей, чьи персональные данные используются с нарушениями (без согласия, не удаляются, не корректируются);
- представителю компании на территории ЕС отправляется предупреждение и требование исправить ошибки;
- если представителя нет, регулятор обращается к соответствующим органам власти страны, в которой работает нарушитель, с просьбой содействия;
- компания устраняет нарушения или доказывает, что их нет;
- при повторном нарушении выписывается штраф.
Не исключены и другие варианты развития событий, но пока остается основываться на предположениях. Единственное, чего не стоит опасаться, – мгновенного наложения огромных штрафов и блокировок. В правилах ЕС сначала предупреждать.
Что сделать для соответствия GDPR?
В первую очередь, прочитать сам Регламент. Если компания планирует активную деятельность на территории ЕС, нужно проконсультироваться с юристами, чтобы учесть все нюансы конкретного случая.
В общих чертах порядок приведения обработки ПДн в соответствие с требованиями GDPR выглядит так:
- Определить, какие данные собираются о пользователях и зачем они нужны. На этом этапе работы стоит избавиться от ПДн, которые не используются, и сформулировать цели обработки оставшейся информации.
- Выбрать способ получения согласия. Здесь есть важный нюанс – согласно GDPR, данные разрешено обрабатывать на таких условиях:
- при получении активного и информированного согласия на обработку данных с конкретной целью;
- для выполнения условий договора;
- для соблюдения законных обязанностей обработчика ПДн;
- для обеспечения законных интересов обработчика данных;
- в общественных интересах;
- для защиты жизненных интересов субъекта ПДн
Это значит, что согласие в виде подтверждения («галочка» и т.п.) нужно только при выборе первого пункта. В остальных случаях владелец данных должен ознакомиться с «Политикой конфиденциальности» или договором, где подробно и понятно рассказано о видах собираемых данных, цели их получения, дальнейшем использовании и сроке хранения.
- Доработать «Политику конфиденциальности». По результатам выполнения предыдущих действий станет ясно, какой информацией нужно дополнить этот документ. Чем доступнее и подробнее изложена «Политика», тем лучше. Шаблоны использовать не стоит, поскольку документ должен содержать описание именно ваших действий.
- Организовать доступ пользователей к данным. Например, добавить в «Личный кабинет» форму отправки запроса на корректировку или удаление данных или предложить другую возможность обратиться в компанию.
- Обеспечить удаление данных. Как это реализовать технически, зависит от особенностей сайта, и для выполнения этого этапа подготовки нужно обратиться к специалистам.
- Назначить ответственного за обработку ПДн. Такой человек должен быть в организации и по российскому законодательству. Нанимать нового сотрудника или поручать контроль уже имеющемуся – выбор компании.
- Подготовить внутренний регламент работы с данными. Он тоже должен быть для соблюдения № 152-ФЗ, но, скорее всего, придется его доработать в соответствии с усложнениями для GDPR.
- Заключить договоры с получателями ПДн. Если компания передает данные третьим лицам, необходимо подписать договоры о сотрудничестве и ответственности сторон.
- Обеспечить представительство в ЕС. Этот пункт затруднителен для выполнения теми, кто работает только на территории РФ. Проблему можно решить наймом человека, находящегося в стране, с которой идет наиболее активная торговля. Также вероятно появление компаний, предоставляющих услуги представителей.
Это основные действия. Если работа с клиентами из ЕС строится по сложным схемам, также стоит проконсультироваться с юристами, знающими особенности работы с GDPR.
В заключение
Соблюдение GDPR непростой процесс, но необходимый для всех, кто планирует выход на европейский рынок. И стоит выполнить хотя бы основную подготовку, не дожидаясь практики применения Регламента – ответственные европейские компании действуют именно так.