Впервые о Законе GDRP, а точнее – о Генеральном регламенте о защите персональных данных, заговорили в 2016 году, после того как Европарламент и Совет ЕС приняли решение получить абсолютный контроль над обработкой персональной информации. После завершения переходного периода документ начал действовать с мая 2020 года. Законы ЕС не связаны с Российской Федерацией, однако общий регламент оказывает существенное воздействие на российские компании.
До 2016 года в Евросоюзе использовалась аналогичная директива, не выходящая за рамки ЕС. Основными изменениями в новом регламенте стали наднациональность и экстратерриториальность требований, которым должны следовать все организации-обработчики в мире.
Европейцы считают, что более строгие правила защиты данных укрепляет права граждан в цифровую эпоху и облегчает ведение бизнеса за счет упрощения правил для всех участников единого цифрового рынка. Применение отличающихся законов в области безопасной обработки и хранения ПДн, разработанных государствами, привели к правовой неопределенности и подрывают доверие.
Регламент нуждался в модернизации, т.к. он принимался в период, когда не существовало проблем современных онлайн-сервисов. За счет развития соцсетей, услуг геолокации, облачному хранению, смарт-картам объемы обработки ПДн выросли в геометрической прогрессии.
GDPR позволяет рядовым пользователям контролировать процесс добавления личных данных в различные базы, минимизируя тем самым навязчивые звонки, спам на почте и ненужные sms-сообщения. В случае нарушения прав, претензии следует направлять в европейские офисы, отвечающие за реализация GDRP. Полный список офисов доступен по ссылке https://indexoid.com/data-protection/.
Люди стали нуждаться в наборе правил, гарантирующих защиту персональных данных. Девять из десяти граждан ЕС выражали обеспокоенность неконтролируемым сбором личной информации мобильными приложениями. Семь из десяти жителей Европы считали потенциально опасным возможность раскрытия полученной информации организациями, имеющими право собирать и обрабатывать ПДн.
По факту любая компания, государственная или коммерческая структура, например, высшее учебное заведение или интернет-магазин, собирающие персональные данные, должна соблюдать требования европейского регламента.
Защита персональных данных согласно GDRP
В ЕС GDRP возлагает на уполномоченные органы функцию контроля за действиями оператора-обработчика. На них возлагаются обязанности обеспечения всех необходимых условий для безопасной работы с конфиденциальными данными и своевременного восстановления доступа к ним в случае техногенных или природных инцидентов.
В случае утечки информации, в трехдневный срок после ее выявления, органы контроля и обработки должны поставить в известность органы надзора и человека, чьи данные оказались у третьих лиц. Российские операторы при возникновении аналогичной ситуации должны самостоятельно, в кратчайшие сроки устранить проблему.
В рамках защиты персональных данных GDPR существует требование о регулярности отчетов по хранению и использованию конфиденциальной информации. Для всех компаний, предпринимателей и лиц, имеющих дело с обработкой ПД, необходимо привести свою работу в соответствие с GDRP. Требования регламента касаются как монополистов или гигантов, таких как Amazon или Фейсбук, но и крошечных компаний «у дома».
Регламент GDPR основан на следующих принципах:
- Сбор ПДн прозрачен, имеет законные основания, учитывает согласие владельцев и обладает четким представлением о целях использования полученной информации.
- Цели сбора ПДн ограничены. Сбор, хранение и использование озвучиваются в момент запроса разрешения на обработку. Использование полученной информации при изменении целей сбора не допускается. Использование ПДн в иных целях запрещено.
- Минимальность. Все данные требуются в конкретном, ограниченном объеме. Запрос дополнительных сведений, не имеющих отношения к достижению поставленных целей, запрещен.
- Точность. Не разрешает двусмысленность толкования. Данные либо точны, либо подлежат корректировке в связи с ошибочностью.
- Владелец вправе управлять личной информацией, вплоть до полного удаления без возможности восстановления из баз операторов. По первому требованию ему должны предоставлять ее в срок до 30 дней. Фактически – это вариант права на забвение. Также владелец может воспользоваться правом их бесплатного переноса в другую, даже конкурирующую, компанию. Например, пользователь может переносить историю запросов в поисковой системе или предпочтений в магазине при переходе на другой онлайн-ресурс.
- Безопасность превыше всего. Не допускается передача информации третьим лицам. В случае утечки необходимо в трехдневный срок проинформировать об этом пострадавшего владельца ПДн и регулятора.
- Оператор обеспечивает защищенность ПДн, препятствуя утечкам. Никакие данные не могут быть раскрыты без согласия на то владельца. Каждая компания назначает своих собственных «офицеров GDPR», т.е. лиц, отвечающих за соблюдение норм регламента.
- Использование ПДн ограничено сроками, установленными на этапе постановки цели. По достижении ее все данные подлежат удалению. Для своевременной чистки баз требуется их регулярный аудит.
- Защита детей. Согласие обязательно авторизуется родителями (законными представителями). Так, пользователи соцсетей от 13 до 15 лет обязаны указывать при регистрации аккаунта своих родителей, чтобы те подтвердили разрешение на обработку ПДн. Мессенджер WhatsApp поднял возрастной ценз до 16 лет.
- ПДн строго подотчетны должностному лицу, отвечающему за защиту, использование, проверку и соблюдение конфиденциальности.
В GDPR расширены и введены следующие понятия:
- контроллер данных – ответственное (физическое или юридическое) лицо, определяющее цели, средства для обработки ПДн;
- процессор данных – ответственное (физическое или юридическое) лицо, обрабатывающие данные, поступившие от контроллера;
- субъект данных – человек, предоставивший свои конфиденциальные данные;
- специальные категории ПДн – дополнительная информация, не являющаяся обязательной (раса, политические либо религиозные взгляды, данные биометрии, сексуальная ориентация, медицинские сведения и т.п.).
За счет условия экстратерриториальности, страны, на которые распространяется GDPR, уже не ограничены рамками Евросоюза. Требования касаются всех операторов, которые в работе используют данные резидентов ЕС. Компания может быть зарегистрирована и обрабатывать данные в любой стране мира, не иметь филиалов в Европе. Но если она хоть как-то связана с обработкой данных европейцев, полученных на территории ЕС, в т.ч. по Интернету, то компания автоматически подпадает под условие соглашения GDPR.
Игнорировать требования GDPR крайне сложно, ведь даже крошечная компания на краю мира не может гарантировать на сто процентов, что у одного из ее подписчиков не окажется двойного гражданства. И, если оно окажется европейским, проблем не избежать. Поэтому можно перепроверять все свои базы клиентов либо подстраиваться под европейские реалии.
Для того, чтобы избежать серьезных проблем, требуется на сайтах компаний, работающих с ПДн, максимально подробно расписать следующее:
- какая информация собирается о посетителях;
- каковы цели сбора информации;
- как планируется использовать в дальнейшем собранные данные.
Пользователь, дающий согласие на обработку персональной информации, должен не просто кликнуть на квадратик, ставя галочку. Он должен уточнить, какие ПДн он считает возможным предоставить для обработки, заполнить разные формы подачи данных. Например, давая разрешение обрабатывать почту или телефон, он может в отдельном всплывающем окне отказать (или разрешить) обработку его местоположения, рассылку сообщений.
Если организация использует готовые клиентские базы, требуется разослать всем числящимся в ней субъектам просьбу о повторной даче согласия на обработку уже однажды переданных ПД.
Несоблюдение европейских принципов работы с конфиденциальными данными чревато серьезными последствиями. Так, GDPR штрафы составляют 2 – 4% от общего оборота компании за год, или порядка 10 – 20 млн евро. Назначается то наказание, которое более чувствительно для нарушителя.
К новым правилам GDPR, несмотря на двухлетний переходный период, оказались неприспособленными множество не только российских, но и американских компаний.
Действует ли GDRP в России
Теоретически отечественные компании обязаны соблюдать правила GDPR в России. На практике Комиссии ЕС будет крайне сложно наложить штраф, так как вероятность реального исполнения решения невелика. Взаимодействие у ЕС с РФ в свете санкций минимальное. Однако на территории Евросоюза работать уже не удастся до тех пор, пока не будет удовлетворено взыскание. Для тех компаний, бизнес которых завязан с европейскими партнерами, соблюдение требований обязательно.
Подпасть под действие нового регламента может любая компания. В России более трети организаций и предприятий работают с европейцами. В первую очередь это касается компаний, задействованных в финансовой и телекоммуникационной сферах, в топливно-энергетическом комплексе. Под ударом грузо- и пассажироперевозчики, соцсети, любые поисковые системы. Например, РЖД, Аэрофлот, гостиницы и иные компании, ведущие онлайн-продажи, в любом случае обрабатывают данные европейцев, и вынуждены действовать в рамках новых требований.
Сертификация по GDPR касается всех организаций, которые предлагают услуги или продукцию на местных языках, в национальной валюте, на доменных именах стран ЕС. Обязательным условием стало документирование доказательств об исполнении требований обработки ПДн.
Помимо этого, Евросоюз ведет мониторинг поведения всех субъектов данных за пределами Европы, если они выступают контроллерами или процессорами. Например, «облако», хранящее ПД клиентов, выступает в качестве процессора, а организация, сотрудники которой хранят в нем информацию, контроллера. Мониторинг включает обязанности отслеживания действий резидентов ЕС в Сети, а также метод создания профилей лиц и поведенческих реакций для прогнозирования предпочтений.
Новый европейский регламент отличается большей жесткостью, нежели российские законы. Вполне вероятно, что Роскомнадзор примет меры по приведению отечественных норм работы с ПДн в соответствие со стандартами ЕС. Такое решение будет хлопотным для российских операторов, но скорректирует различия в регламентах, упрощая работу с европейцами.
В России уже давно действует Федеральный закон № 152-ФЗ «О персональных данных». В нем регламентированы все моменты, касающиеся обработки, хранения и удаления персональной информации граждан. Сравнивая два основополагающих документа – GDPR и 152-ФЗ, видны различия между ними.
Все SEO-инструменты
Подписки
Вход
Регистрация
Главная Инструменты
Визуальный HTML редактор
Визуальный HTML онлайн-редактор позволит вам быстро сверстать текст и разместить на своем сайте.
| GDPR | 152-ФЗ | |
| Область распространения | Резиденты ЕС | Граждане Российской Федерации |
| Политика конфиденциальности | Учитывает язык потенциальных клиентов Евросоюза | Публикуется на русским языке |
| Защита информации | Шифрование данных, криптография | Шифрование данных |
| Права владельцев ПДн | Корректирование, удаление информации и передача ее по письменному запросу третьим лицам | Корректирование, удаление информации |
| Уровень согласия | Разделение согласия – отдельно на обработку, и отдельно – на рассылку информационных сообщений | Общее согласие на обработку |
Закон № 149-ФЗ о праве на забвение в Интернете отчасти дополняет 152-ФЗ, приводя к соответствию возможность распоряжения личной информации к «урезанному» стандарту GDPR. Пользователь вправе удалить из обращения информацию, не соответствующую действительности, потерявшую актуальность или делающую общедоступными персональные данные. К сожалению, воспользоваться в полной мере правом на забвении в России можно лишь в том случае, если в суде предоставляются конкретные факты или доказательства. Недостаточность представленных доказательств является поводом для отклонения рассмотрения в судебном порядке.
Соединенные Штаты Америки, подобно России, живут по собственным законам безопасной обработки ПДн. Так, часто сравнивают калифорнийский закон о конфиденциальности получаемых данных (CCPA) и GDPR.
Закон Калифорнии действителен только для жителей штата, наделяя их правом быть в курсе о назначении и объеме собираемой информации и требовать ее удаления. При этом под ПДн понимается совокупность информации о именах и псевдонимах, почтовых электронных и физических адресах, зарегистрированных аккаунтах, водительских правах, паспорте и иных документах, истории покупок и просмотров, биометрии, геолокации, образовании и профессии. В разряд личных данных попадают даже cookie. Личное разрешение на обработку ПДн от пользователей (кроме несовершеннолетних) не требуется.
Правила CCPA могут служить дополнением для GDPR. Так, европейским и российским компаниям, выходящим на рынок США, придется изменять политику конфиденциальности, чтобы учесть требования штата Калифорния. Потребуется:
- расширение перечня получаемой информации, попадающей в категорию «личных данных»;
- добавление на загрузочную страницу предупреждения о запрете продажи ПДн;
- разработка запросов для работы с ПДн, в т.ч. для контроля лиц, совершающих запрос о ПДн;
- сбор согласия несовершеннолетних, если возникнет необходимость предоставления их ПДн третьим лицам или перенос информации из базы.
Российские компании должны придерживаться требования 152-ФЗ и 149-ФЗ. Однако в целях дополнительной безопасности и упрощения взаимодействия с европейцами можно изменить политику обработки и хранения ПД, взяв за основу новый регламент ЕС, и дополнив его условиями калифорнийского закона.