GDPR — это общий регламент по защите данных, который является обязательным к исполнению и предусматривает высокие штрафы для нарушителей
25 мая 2018 года после семилетнего процесса подготовки вступил в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR). Этот документ уже повлиял на многие сферы жизни и бизнеса: от технологий и медицины до рекламы и банкинга. При этом положения нового регламента касаются далеко не только граждан и компаний-резидентов ЕС.
Редакция PaySpace Magazine предлагает еще раз обратить внимание на основные положения документа и приглашает на профильное мероприятие GDPR Summit Ukraine, которое пройдет 7 октября в Киеве и традиционно станет площадкой популяризации в Украине европейских принципов обработки и защиты персональных данных, обмена опытом внедрения GDPR между организациями разных отраслей экономики.
Основные определения GDPR
Прежде всего следует отметить, что регламент существенно расширил трактовку персональных данных.
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн-идентификатор и факторы, характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п.1 ст.4).
Представителям бизнеса следует разобраться еще в двух терминах — контроллер данных (data controller) и оператор данных (data processor). Различить их несложно — если ваша организация определяет цели хранения или обработки персональных данных, она является контроллером. Если же организация хранит или обрабатывает эти данные от имени другой организации, то она подпадает под определение «оператора данных». При этом одна компания может выступать в обеих ролях.
Кроме того, GDPR регулирует и осуществление компаниями мониторинга поведения субъектов данных — например, отслеживание резидента ЕС в сети (в том числе использование cookies) или использование методов обработки данных для профилирования отдельных лиц, их поведения или отношения к чему-либо.
Принципы обработки данных по GDPR
Законность, справедливость и прозрачность — информация о целях, методах и объемах обработки персональных данных должна излагаться максимально доступно и просто.
Ограничение цели — собирать и использовать данные пользователей компании могут исключительно в заявленых и озвученных целях.
Минимизация данных — компаниям запрещено собирать больше данных, чем необходимо для реализации заявленных целей.
Точность — неточные личные данные должны быть удалены или исправлены по требованию пользователя.
Ограничение хранения — срок и форма хранения данных должны соответствовать целям обработки.
Целостность и конфиденциальность — компания, обрабатывающая персональные данные, должна обеспечить их защиту от несанкционированного доступа, уничтожения или повреждения.
Ключевые положения GDPR
GDPR значительно расширил права граждан и резидентов ЕС по контролю за их персональными данными:
- субъект данных имеет право запрашивать подтверждение факта обработки их данных, всю связанную с этим информацию и условия обработки, требовать исправления своих данных в случае неточностей;
- право на забвение — европейцы могут требовать удаления своих личных данных;
- право на переносимость данных — компании обязаны бесплатно предоставлять электронную копию персональных данных другой компании по требованию субъекта этих данных;
- согласие на обработку персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие также считается недействительным, если пользователю не предоставили возможности выбора. Согласие на обработку данных ребенка должны дать родители.
Зона действия GDPR
GDPR имеет экстерриториальное действие — это значит, что регламент применяется ко всем компаниям, которые обрабатывают персональные данные резидентов и граждан ЕС, независимо от местонахождения самих компаний. Следовательно, следовать правилам обязаны и представительства зарубежных компаний в ЕС.
Особенно пристально следить за соблюдением новых правил необходимо организациям, которые хранят и обрабатывают большие массивы потребительских данных — а у многих компаний именно эти процессы лежат в основе бизнес-моделей. Таким организациям необходимо назначить ответственного за защиту персональных данных (Data Protection Officer, DPO) для контроля за соблюдением требований GDPR и направить о нем информацию регулятору. В обязанности этого должностного лица входит, среди прочего, уведомление регулирующих органов (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после выявления происшествия.
Разумеется, крупнейшие компании мира заблаговременно позаботились о соответствии новому регулированию. В частности, Facebook запустил ряд инструментов, «дающих людям больше контроля за собственной конфиденциальностью» — теперь пользователи могут легко находить, скачивать и удалять определенные данные о себе в соцсети. Компания также заставила каждого пользователя принять новое пользовательское соглашение.
В свою очередь, Apple запустила панель инструментов конфиденциальности, с гордостью отметив, что она собирает гораздо меньше персональных данных, чем конкуренты, и потому не нуждается во введении существенных изменений. Google же просто постепенно обновлял свои продукты и политику конфиденциальности, не привлекая к этому излишнего внимания.
Как бизнесу соответсвовать требованиям GDPR
- Провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR;
- Пересмотреть политику конфиденциальности и пользовательские соглашения;
- Разработать внутреннюю политику защиты данных, проводить обучение сотрудников и проверки их деятельности по обработке данных;
- Продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных.
Несоблюдение норм GDPR
В случае несоблюдения положений акта предусмотрены штрафы до 20 млн евро или в размере 4 % от годового дохода компании (в зависимости от того, какая сумма больше).
Рассмотрим известный кейс. Почти сразу после вступления в силу GDPR две ассоциации правовых активистов подали жалобы на Google. В результате разбирательства французский надзорный орган выписал штраф американской компании за некорректную настройку страницы по созданию учетной записи Google на операционной системе Android. Было выявлено нарушение обязательств по прозрачности предоставления информации, а также нарушение обязанности иметь правовое основание для обработки персонализации рекламы. Размер штрафа составил 50 млн евро — это самый крупный штраф по GDPR. Также кейс интересен тем, что штраф был наложен на компанию, не учрежденную в ЕЭЗ.
GDPR в Украине
В начале лета 2021 года в Верховной Раде был зарегистрирован законопроект №5628 о защите персональных данных. Документ обновляет действующее законодательство в этой сфере и внедряет прогрессивные европейские нормы, соответствующие положениям Конвенции 108+ и GDPR. Это важный шаг к интеграции Украины с Европейским Союзом и для повышения конкурентоспособности украинского бизнеса на международной арене, уверены эксперты Всеукраинской Ассоциации Финансовых Компаний.
ТАКЖЕ ИНТЕРЕСНО: Как обезопасить свой бизнес от утечки информации: 7 советов