Онлайн-журнал

Что такое GDPR

И как он влияет на российский бизнес
 

Суть регламента, советы по внедрению + шаблоны документов

 

С мая 2018 года в Евросоюзе действует «Общий регламент о защите данных», или GDPR. Закон актуален для любых операторов, ведущих деятельность в странах Евросоюза. Российские предприниматели должны учитывать, что соблюдение отечественного законодательства не означает автоматического соответствия нормам GDPR. Мы, Open Academy, решили рассказать об уровне влияния GDPR на российские компании и о том, кому и как следует соблюдать нормы данного закона.

 

Что такое GDPR

 

General Data Protection Regulation (Общий регламент о защите данных) — закон, принятый Европейским Союзом с целью урегулирования и обеспечения прозрачности процесса обработки персональных данных. Он содержит требования к обработке, нормы о передаче персональных данных, стандартах защиты и штрафах за нарушение правовых норм.

 

Под персональными данными GDPR подразумевает любые сведения, позволяющие идентифицировать пользователя. Например:

 
  • имя и фамилия;
  • данные документа, удостоверяющего личность;
  • дата и место рождения;
  • место проживания/регистрации;
  • контактные данные;
  • IP-адрес и параметры соединения.
 

Отдельно классифицируют «особо охраняемые данные». К ним относят такие критерии, как:

 
  • национальная и расовая принадлежность;
  • вероисповедание;
  • политические взгляды;
  • данные о здоровье (медицинские заключения, результаты анализов и т. п.);
  • биометрические данные (запись голоса, отпечатки пальца и иные физические, физиологические или поведенческие признаки, пригодные для идентификации субъекта);
  • сексуальная ориентация и т. д.
 

В соответствии с GDPR с информацией работают два типа операторов — обработчики и контролёры. Первые непосредственно обрабатывают данные, вторые — выступают источником данных и проверяют их корректность. При этом компания вправе одномоментно быть и обработчиком, и контролёром. К примеру, обрабатывать данные клиентов и мониторить обработку данных своих сотрудников.

 

Что важно знать об отличиях российских и западных клиентов

no link

Узнаете, чем отличается российский клиент от западного. Поймёте, почему нужно адаптировать западные технологии продаж под российский рынок.

 

Основные идеи и цели регламента

 

Основные идеи регламента состоят в защите персональных данных, обеспечении прав и свобод людей в отношении защиты данных, ограничение свободного перемещения данных в рамках подконтрольной территории.

 

Среди основных целей закона можно выделить следующие:

 
  • внедрить современные стандарты защиты данных;
  • предоставить людям инструменты контроля над персональными данными;
  • развить цифровое пространство по защите данных;
  • обеспечить строго соблюдение утверждённых норм всеми участниками;
  • создать правовую базу для международной передачи персональных данных.
  • GDPR предусматривает, что операторы обязаны получать согласие на обработку данных, а пользователи вправе получать полную информацию о содержании данных и условиях обработки. Причём субъекты могут потребовать удаления своих данных, даже без объяснения причин, и компания обязана исполнить требование.
 
 

Что и кто попадает под действие GDPR

 

Действие GDPR распространяется на полностью либо частично автоматизированную обработку персональных данных граждан Евросоюза, как на территории ЕС, так и за его пределами. Соблюдать закон обязаны физические и юридические лица, организации, государственные структуры и иные институты. Любая деятельность, даже некоммерческая и безвозмездная, связанная с обработкой данной, попадает под влияние регламента.

 

Например, если сайт, доступный для граждан ЕС, собирает Cookies, то он попадает под действие закона. Когда в каком-либо сервисе зарегистрировался гражданин ЕС и оставил свои персональные данные, тоже требуется соблюдение GDPR.

 

Как GDPR влияет на российский бизнес

 

Частым заблуждением предпринимателей становится предположение, что соблюдения российского права вполне достаточно. В РФ действуют нормы, схожие с GDPR — ФЗ № 152 от 27.07.2006 «О персональных данных». Его цель также состоит в защите персональных данных при обработке.

 

Основное отличие ФЗ №152 в том, что он запрещает передачу данных другому оператору без согласия владельца. Он не требует уведомления пользователей и надзорных органов об утечке данных, что обязательно по стандартам GDPR. Но самое главное — он действителен только для операторов в пределах РФ.

 

GDPR актуален для российской организации, если она работает на территории ЕС и/или использует персональные данные европейских граждан. То есть, фактическое местонахождение организации и её юрисдикция значения не имеют.

 

К примеру, небольшая российская компания базируется в РФ и соблюдает российское законодательство. Она не имеет европейских филиалов, но в режиме онлайн оказывает услуги гражданам из ЕС. Соответственно, эта компания обязана соблюдать GDPR.

 
 

Чем грозит несоблюдение GDPR российским компаниям

 

Игнорирование норм GDPR может обернуться последствиями различного характера:

 
  • Экономические. За несоблюдение GDPR органы власти могут наложить на компании-нарушителей штрафы размером до 4 % от годового оборота. При этом сумма взыскания варьируется в зависимости от тяжести нарушения, его продолжительности и последствий. К примеру, французские власти присудили компании Google штраф в размере 50 млн евро за то, что пользователей мобильного приложения не уведомляли должным образом о порядке обращения с их персональными данными. Дополнительные финансовые последствия для нарушителей могут быть выражены исками от непосредственных владельцев данных.
  • Репутационные. Нежелание соблюдать GDPR может стать причиной негативного мнения о компании. Люди будут опасаться взаимодействия с компанией из-за отсутствия защиты данных. Партнёры будут избегать сотрудничества из-за плохой репутации.
  • Коммерческие. Если выяснится, что компания не соблюдает GDPR, клиенты могут уйти к конкурентам. Заключать договоры с другими компаниями будет сложнее. Всё это сильно повлияет на доходы.
 

Может показаться, что российскому бизнесу бояться нечего: где Россия, а где та Европа. Но действие регламента о защите данных экстерриториально. Если компания работает на европейском рынке, но зарегистрирована в России, её, может быть, и не накажут напрямую. Однако есть и иные способы влияния, помимо штрафов. Например:

 
  • ограничат доступ к сайтам на территории ЕС;
  • примут меры в отношении гендиректора (запрет на въезд и т. п.);
  • наложат арест на зарубежные счета и прочее.
 

Кроме того, есть риски и в работе с российскими партнёрами. К примеру, компания-партнёр активно сотрудничает с европейцами и ей важно поддержание хорошей репутации относительно защиты данных. Вряд ли такой компании нужны деловые отношения с сомнительными партнёрами.

 

В целом, исполнение GDPR полезно. Бизнес, соблюдающий регламент, соответствует большинству международных требований и ему гораздо проще выйти на западные рынки.

 

С чего начать внедрение GDPR в своём бизнесе

 

В первую очередь внимательно изучите регламент и выделите моменты, которые могут относиться к вашему бизнесу. Далее следует провести детальный аудит процессов, связанных с данными:

 
  • Установите, какие персональные данные собирает ваш проект, где и как они хранятся.
  • Выясните, как, когда, кем и зачем обрабатывают персональные данные.
  • Разработайте механизмы защиты данных. Обеспечьте защиту от взлома. Пропишите политику доступа к обработке данных. Ограничьте круг лиц, которые вправе работать с данными.
  • Назначьте ответственного сотрудника по защите персональных данных. В идеале он должен хорошо разбираться в GDPR и его применении на практике.
 
 

Что нужно сделать для соблюдения GDPR

 

На самом деле чтобы соблюсти требования GDPR, нужно просто уважать права пользователей. Но среди прочих дел можно и забыть о чём-то важном. Поэтому представляем вам тот минимум, который надлежит выполнить:

 
  1. Разместите на своём ресурсе информацию о сборе персональных данных. Объясните, что и зачем вы собираете. Любому новому пользователю показывайте уведомление о сборе данных и предлагайте ознакомиться с политикой. Например, можно сделать это посредством всплывающего окна.
  2. Спрашивайте пользователей о согласии на обработку данных. Желательно получать активное согласие, когда пользователь совершает действие для подтверждения. К примеру, проставляет галочку в чек-боксе «Я согласен с условиями обработки данных».
  3. Применяйте double opt-in (двойное подтверждение). Это пункт касается email-рассылки. Перед началом отправки рассылки новому подписчику попросите его подтвердить согласие путём перехода по ссылке в приветственном письме.
  4. По первому требованию пользователя предоставляйте и удаляйте данные. Помните, что владелец данных не обязан объяснять причину, достаточно его пожелания.
  5. Уведомляйте об утечке данных владельцев и органы контроля. Если произошла утечка данных, вне зависимости от причин, уведомите об этом пользователей. И непременно известите надзорные органы, одновременно предоставив план мер по исправлению ситуации.
 

Применение GDPR для российского бизнеса может и не потребоваться, если компания не планирует выход на европейские рынки или работу с гражданами ЕС. Однако добровольное соблюдение регламента положительно повлияет на репутацию, повысит прозрачность деятельности для клиентов и партнёров, увеличит уровень лояльности и доверия со стороны общества.

Дополнительные материалы
Контрольный список
Политика конфиденциальности
Соглашение об обработке данных
Запрос на удаление данных
GDPR на русском

Все о развитии бизнеса
с помощью онлайн-инструментов и опыте спикеров-предпринимателей

Узнать больше

Нажимая кнопку «Узнать больше», вы соглашаетесь с политикой обработки персональных данных, и соглашаетесь с пользовательским соглашением