Что такое GDPR

С мая 2018 года в Евросоюзе действует «Общий регламент о защите данных», или GDPR. Закон актуален для любых операторов, ведущих деятельность в странах Евросоюза. Российские предприниматели должны учитывать, что соблюдение отечественного законодательства не означает автоматического соответствия нормам GDPR. Мы, Open Academy, решили рассказать об уровне влияния GDPR на российские компании и о том, кому и как следует соблюдать нормы данного закона.

General Data Protection Regulation (Общий регламент о защите данных) — закон, принятый Европейским Союзом с целью урегулирования и обеспечения прозрачности процесса обработки персональных данных. Он содержит требования к обработке, нормы о передаче персональных данных, стандартах защиты и штрафах за нарушение правовых норм.

Под персональными данными GDPR подразумевает любые сведения, позволяющие идентифицировать пользователя. Например:

• имя и фамилия;
• данные документа, удостоверяющего личность;
• дата и место рождения;
• место проживания/регистрации;
• контактные данные;
• IP-адрес и параметры соединения.

Отдельно классифицируют «особо охраняемые данные». К ним относят такие критерии, как:

• национальная и расовая принадлежность;
• вероисповедание;
• политические взгляды;
• данные о здоровье (медицинские заключения, результаты анализов и т. п.);
• биометрические данные (запись голоса, отпечатки пальца и иные физические, физиологические или поведенческие признаки, пригодные для идентификации субъекта);
• сексуальная ориентация и т. д.

В соответствии с GDPR с информацией работают два типа операторов — обработчики и контролёры. Первые непосредственно обрабатывают данные, вторые — выступают источником данных и проверяют их корректность. При этом компания вправе одномоментно быть и обработчиком, и контролёром. К примеру, обрабатывать данные клиентов и мониторить обработку данных своих сотрудников.

Основные идеи регламента состоят в защите персональных данных, обеспечении прав и свобод людей в отношении защиты данных, ограничение свободного перемещения данных в рамках подконтрольной территории.

Среди основных целей закона можно выделить следующие:

• внедрить современные стандарты защиты данных;
• предоставить людям инструменты контроля над персональными данными;
• развить цифровое пространство по защите данных;
• обеспечить строго соблюдение утверждённых норм всеми участниками;
• создать правовую базу для международной передачи персональных данных.
• GDPR предусматривает, что операторы обязаны получать согласие на обработку данных, а пользователи вправе получать полную информацию о содержании данных и условиях обработки. Причём субъекты могут потребовать удаления своих данных, даже без объяснения причин, и компания обязана исполнить требование.

Действие GDPR распространяется на полностью либо частично автоматизированную обработку персональных данных граждан Евросоюза, как на территории ЕС, так и за его пределами. Соблюдать закон обязаны физические и юридические лица, организации, государственные структуры и иные институты. Любая деятельность, даже некоммерческая и безвозмездная, связанная с обработкой данной, попадает под влияние регламента.

Например, если сайт, доступный для граждан ЕС, собирает Cookies, то он попадает под действие закона. Когда в каком-либо сервисе зарегистрировался гражданин ЕС и оставил свои персональные данные, тоже требуется соблюдение GDPR.

Частым заблуждением предпринимателей становится предположение, что соблюдения российского права вполне достаточно. В РФ действуют нормы, схожие с GDPR — ФЗ № 152 от 27.07.2006 «О персональных данных». Его цель также состоит в защите персональных данных при обработке.

Основное отличие ФЗ №152 в том, что он запрещает передачу данных другому оператору без согласия владельца. Он не требует уведомления пользователей и надзорных органов об утечке данных, что обязательно по стандартам GDPR. Но самое главное — он действителен только для операторов в пределах РФ.

GDPR актуален для российской организации, если она работает на территории ЕС и/или использует персональные данные европейских граждан. То есть, фактическое местонахождение организации и её юрисдикция значения не имеют.

К примеру, небольшая российская компания базируется в РФ и соблюдает российское законодательство. Она не имеет европейских филиалов, но в режиме онлайн оказывает услуги гражданам из ЕС. Соответственно, эта компания обязана соблюдать GDPR.

Игнорирование норм GDPR может обернуться последствиями различного характера:

• Экономические. За несоблюдение GDPR органы власти могут наложить на компании-нарушителей штрафы размером до 4 % от годового оборота. При этом сумма взыскания варьируется в зависимости от тяжести нарушения, его продолжительности и последствий. К примеру, французские власти присудили компании Google штраф в размере 50 млн евро за то, что пользователей мобильного приложения не уведомляли должным образом о порядке обращения с их персональными данными. Дополнительные финансовые последствия для нарушителей могут быть выражены исками от непосредственных владельцев данных.
• Репутационные. Нежелание соблюдать GDPR может стать причиной негативного мнения о компании. Люди будут опасаться взаимодействия с компанией из-за отсутствия защиты данных. Партнёры будут избегать сотрудничества из-за плохой репутации.
• Коммерческие. Если выяснится, что компания не соблюдает GDPR, клиенты могут уйти к конкурентам. Заключать договоры с другими компаниями будет сложнее. Всё это сильно повлияет на доходы.

Может показаться, что российскому бизнесу бояться нечего: где Россия, а где та Европа. Но действие регламента о защите данных экстерриториально. Если компания работает на европейском рынке, но зарегистрирована в России, её, может быть, и не накажут напрямую. Однако есть и иные способы влияния, помимо штрафов. Например:

• ограничат доступ к сайтам на территории ЕС;
• примут меры в отношении гендиректора (запрет на въезд и т. п.);
• наложат арест на зарубежные счета и прочее.

Кроме того, есть риски и в работе с российскими партнёрами. К примеру, компания-партнёр активно сотрудничает с европейцами и ей важно поддержание хорошей репутации относительно защиты данных. Вряд ли такой компании нужны деловые отношения с сомнительными партнёрами.

В целом, исполнение GDPR полезно. Бизнес, соблюдающий регламент, соответствует большинству международных требований и ему гораздо проще выйти на западные рынки.

В первую очередь внимательно изучите регламент и выделите моменты, которые могут относиться к вашему бизнесу. Далее следует провести детальный аудит процессов, связанных с данными:

• Установите, какие персональные данные собирает ваш проект, где и как они хранятся.
• Выясните, как, когда, кем и зачем обрабатывают персональные данные.
• Разработайте механизмы защиты данных. Обеспечьте защиту от взлома. Пропишите политику доступа к обработке данных. Ограничьте круг лиц, которые вправе работать с данными.
• Назначьте ответственного сотрудника по защите персональных данных. В идеале он должен хорошо разбираться в GDPR и его применении на практике.

На самом деле чтобы соблюсти требования GDPR, нужно просто уважать права пользователей. Но среди прочих дел можно и забыть о чём-то важном. Поэтому представляем вам тот минимум, который надлежит выполнить:

1. Разместите на своём ресурсе информацию о сборе персональных данных. Объясните, что и зачем вы собираете. Любому новому пользователю показывайте уведомление о сборе данных и предлагайте ознакомиться с политикой. Например, можно сделать это посредством всплывающего окна.
2. Спрашивайте пользователей о согласии на обработку данных. Желательно получать активное согласие, когда пользователь совершает действие для подтверждения. К примеру, проставляет галочку в чек-боксе «Я согласен с условиями обработки данных».
3. Применяйте double opt-in (двойное подтверждение). Это пункт касается email-рассылки. Перед началом отправки рассылки новому подписчику попросите его подтвердить согласие путём перехода по ссылке в приветственном письме.
4. По первому требованию пользователя предоставляйте и удаляйте данные. Помните, что владелец данных не обязан объяснять причину, достаточно его пожелания.
5. Уведомляйте об утечке данных владельцев и органы контроля. Если произошла утечка данных, вне зависимости от причин, уведомите об этом пользователей. И непременно известите надзорные органы, одновременно предоставив план мер по исправлению ситуации.

Применение GDPR для российского бизнеса может и не потребоваться, если компания не планирует выход на европейские рынки или работу с гражданами ЕС. Однако добровольное соблюдение регламента положительно повлияет на репутацию, повысит прозрачность деятельности для клиентов и партнёров, увеличит уровень лояльности и доверия со стороны общества.