Рецензенты: Екатерина Рублева и Константин Саматов, руководители направления, Аналитический центр ООО «УЦСБ»
Компания, осуществляющая обработку персональных данных, считается их оператором. Скорее всего, в этой компании знают о Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных» и его требованиях. А если у компании есть клиенты в Евросоюзе или есть желание таковых привлечь? Или просто есть сайт в сети Интернет с формами для заполнения пользователем? Тогда нужно понимать, что такое GDPR и его сферу действия.
Ещё в 1995 году странами Евросоюза была принята Директива № 95/46/ЕС о защите прав частных лиц при обработке персональных данных. Но всё меняется, и 25 мая 2018 года на её замену пришёл Общий регламент по защите данных (англ. General Data Protection Regulation), принятый Европейским парламентом в апреле 2016 года, сокращённо просто GDPR.
Применение GDPR будет одобрено ещё в трёх странах Европейской ассоциации свободной торговли (ЕАСТ), а точнее – в Исландии, Лихтенштейне, Норвегии, которые не являются членами ЕС. На сайте ЕАСТ (англ. EFTA) в статье о «Включении GDPR в Соглашение о EEA (англ. European Economic Area) и продолжении применения Директивы 95/46/EC» говорится о том, что ожидается принятие GDPR Объединенным комитетом EEA (англ. EEA Joint Committee) и его вступление в силу в государствах EEA EFTA в середине июля 2018 года. До тех пор Директива по защите данных № 95/46/EC остается применимой в Соглашении о EEA, гарантируя тем самым возможность беспрепятственного распространения данных между государствами EEA EFTA и государствами – членами Евросоюза.
К кому же применим GDPR?
Для начала нужно понять, кому надо следовать требованиям GDPR, а кто под его требования не попадает.
Рисунок 1 – Алгоритм определения сферы действия GDPR
Исходя из текста документа, его требования применимы не только к европейским организациям, но и к любым компаниям, работающим с персональными данными граждан ЕС или лиц, находящихся в ЕС (см. рис. 1). При этом, не имеет значение месторасположение самой компании.
Итак, если компания зарегистрирована в ЕС или, например, в упомянутых ранее Исландии, Лихтенштейне, Норвегии, то, независимо от места проведения самого процесса обработки, это однозначно GDPR.
Чтобы понять предоставляет ли организация услуги или товары лицам, находящимся в ЕС, будет достаточно даже её намерения к предложению услуг/товаров. По GDPR намерение становится очевидным, если на сайте компании предусмотрено использование национального языка и валюты государства – члена Евросоюза, возможен заказ на этом языке. Или есть упоминания о потребителях или пользователях, которые находятся в Евросоюзе.
Хотя даже если сайт полностью на русском, и сама по себе его доступность лицам ЕС не показывает намерений, нельзя быть уверенным на все сто процентов, что никто, находясь в Евросоюзе, не воспользуется его услугами. Поэтому, рекомендуется, в любом случае выполнять требования GDPR.
Ещё одно интересное и актуальное в контексте GDPR понятие – мониторинг. Под мониторингом в GDPR понимается отслеживание лиц в сети Интернет с дальнейшим применением или потенциальной возможностью применения различных технологий по обработке персональных данных для анализа либо прогнозирования предпочтений, личностных характеристик, особенностей поведения. То есть, если компания принимает какие-то действия по изучению поведения лиц, находящихся в ЕС, в маркетинговых целях, для ведения статистики и т.д. – это и есть мониторинг. К примеру, на сайте организации установлена Яндекс Метрика, Google Analytics и т.п., значит нужно применять GDPR. Потому что, как уже говорилось, нет никакой гарантии, что лицо из ЕС не зайдёт на сайт, на котором применяются данные сервисы.
Важно знать, что организация обязана назначить себе представителя в ЕС, когда выполняется хотя бы одно из условий:
- обработка происходит постоянно;
- обрабатываются в крупных размерах специальные категории персональных данных;
- обрабатываются персональные данные, связанные с судимостями или преступлениями;
- существует высокий риск нарушения прав и свобод человека.
По GDPR специальные категории персональных данных определенны аналогично российскому законодательству. За исключением того факта, что данные о судимостях и правонарушениях вынесены отдельно, с обязательством контроля их обработки официальным органом или по разрешению законодательством государства.
Представителем может стать физическое или юридическое лицо, которое специально уполномочено на основании соответствующих документов. Представитель должен быть расположен в стране ЕС, в которой находятся субъекты данных. Его задача от имени компании взаимодействовать с властями ЕС и гражданами, выполнять указания компании. Он точно так же привлекается к ответственности за нарушения.
К примеру, российская компания, не имеющая дочерних предприятий в Финляндии, постоянно предоставляет свои услуги её гражданам. Значит, компания обязана назначить представителя, официально находящегося в Финляндии. Если же дочернее предприятие имеется, тогда его можно назначить представителем.
Получается, что General Data Protection Regulation имеет достаточно широкий охват и, если с компаниями Евросоюза всё довольно логично, то другие страны тоже «попали под раздачу». Становится понятно, что российские организации, клиентоориентированные на Евросоюз, также должны соблюдать требования GDPR.
Допустим, небольшая российская компания имеет интернет-магазин, а их товар приобретает гражданин Латвии. Значит, на этот интернет-магазин распространяются требования GDPR, так как в нем будут обрабатываться персональных данные гражданина ЕС. Если сайт этой компании изначально обладает англоязычной версией и выставляет цены в валюте согласно государству пользователя, значит, он тоже попадает в сферу действия GDPR. Да и в любом случае, если компания не работает лично с каждым клиентом, нельзя знать точно, откуда клиент. Это означает, что даже полностью русский сайт маленькой компании нужно подготовить к выполнению требований GDPR.
Список компаний, на которые распространяется GDPR, можно продолжать долго, но пока нет правоприменительной практики, по мнению автора, нужно анализировать, на кого направлены действия компании и с кем она взаимодействует.
Какие роли предлагает GDPR?
Как и любые процессы, обработка данных имеет две стороны – тот, чьи данные обрабатываются, т.е. субъект персональных данных, и тот, кто эти данные обрабатывает. Остановимся поподробнее на вторых. В GDPR вводятся понятия контролера (англ. data controller) и процессора (англ. data processor).
Разберёмся с этими терминами, опираясь на GDPR и разъяснения, приведенные на сайте Европейской комиссии.
Контролер, согласно пункту (7) статьи 4 GDPR, это лица, физические или юридические, различные органы и агентства, которые определяют, с какой целью и какими средствами обрабатываются данные.
Вся ответственность за выполнение требований по обработке и защите персональных данных возлагается на контролера. Контролер должен быть способен подтвердить соблюдение требований.
Получается, если компания решает «зачем?» и «как?» обрабатываются персональные данные, то это контролер данных. Сотрудники компании, занимающиеся обработкой, делают это в качестве контролера данных.
Если компания вместе с одной или несколькими организациями совместно определяет «зачем?» и «как?» обрабатываются персональные данные, то её можно назвать совместным контролером (англ. joint controller). Совместные контролеры заключают соглашение, в котором излагаются обязанности по соблюдению требований GDPR. Главные аспекты этого соглашения нужно передать лицам, чьи данные обрабатываются.
Процессор (обработчик), согласно пункту (8) статьи 4 GDPR, это лица, физические или юридические, различные органы и агентства, которые занимаются обработкой персональных данных по поручению контролера.
Получается, процессор имеет право производить обработку персональных данных только от имени контролера. Процессором обработки данных, к примеру, может являться сторонняя компания, привлечённая для проведения обработки данных.
Организация может быть контролером данных или процессором данных, или и тем, и другим одновременно.
В Федеральном законе от 27.07.2006 г. №152-ФЗ «О персональных данных» существует понятие оператора, что аналогично контролеру, а процессор аналогичен лицу, осуществляющему обработку персональных данных по поручению оператора.
GDPR и № 152-ФЗ «О персональных данных». Общее и различия
В любом нормативно-правовом документе используются свои нормы дефиниции, рассмотрим их и сравним.
Персональные данные, согласно статье 3 Федерального закона «О персональных данных», есть любая информация, прямо или косвенно позволяющая определить физическое лицо. В пункте (1) статьи 4 GDРR приводится аналогичное определение, за исключением того, что взамен слова «определить» используется «идентифицировать».
Термины сходны, но GDPR более подробно говорит об информации, относящейся к персональным данным. Откуда получаем, что сведения, позволяющие определить личность субъекта данных, являются персональными данными. Неважно, можно ли по ним напрямую идентифицировать субъект или нужно применение специальных средств или программ.
В GDPR имеется следующий перечень персональных данных:
- Имя;
- Идентификационный номер;
- Данные о местоположении;
- Онлайн-идентификатор;
- Комбинация идентификаторов/показателей.
Сложнее всего с онлайн-идентификаторами. К ним можно отнести IP-адреса, файлы cookie и т.п. IP-адрес, к примеру, может привести к определённому человеку, выходившему в сеть Интернет, а может просто показать точку доступа к сети, т.е. в ряде случаев может быть использован для определения лица только в совокупности с другими данными. Относится ли IP-адрес к персональным данным – вопрос спорный и зависит от контекста ситуации. Но раз GDPR заостряет своё внимание на онлайн-идентификаторах, рекомендуется защищать их тоже.
Принципы и условия обработки изложены в статьях 5, 6 Федерального закона «О персональных данных» и в статьях 5,6 GDPR.
Закон о персональных данных РФ содержит 7 принципов обработки, а GDPR - 6. Все принципы сопоставимы, за исключением того, что в российском законодательстве сделано уточнение о запрете объединения баз данных, созданных для несовместимых целей. Важным дополнением к принципам в GDPR является принцип транспарентности/прозрачности. А именно, любые сведения и сообщения, связанные с обработкой персональных данных, были легко доступны субъекту и ясны для его понимания, то есть использовался чёткий и простой язык. Кроме того, GDPR определяет безопасность персональных данных, как принцип [п. (f), ст.5, GDPR,], а у нас это скорее преподносится, как обязанность.
Условия, при которых обработка является правомерной, так же сопоставимы. При этом, GDPR позволяет государствам вводить свои требования к обработке.
Статья 9 Федерального закона «О персональных данных» и Статья 7 GDPR описывают согласие субъекта на произведение обработки персональных данных. Оба документа говорят о конкретности, информированности и сознательности. Важно, что GDPR обязывает, чтобы согласие было составлено языком понятным и легкодоступным. Согласие на обработку данных должно быть вынесенного отдельно от других условий и соглашений. В него должны быть включены все цели обработки. Процесс отзыва согласия должен быть точно так же прост, как и его получение – это как поставить «галочку» и убрать её.
Получается, что согласие должно быть не двусмысленным, а точным – «Я согласен...». В него нужно включить перечень конкретных целей обработки. Так же нельзя использовать, к примеру, чекбоксы с установкой согласия по умолчанию. Это противоречит свободе дачи согласия. И оператору всегда нужно быть готовым подтвердить, что субъект своё согласие дал.
Одно из главных отличий GDPR в том, что он устанавливает особые правила для дачи согласия на предоставление услуг информационного общества несовершеннолетним. Если в обработке персональных данных задействован ребёнок, которому исполнилось 16 лет, то она законна. За детей, не достигших 16 лет, согласие должно давать лицо, осуществляющее родительские функции или функции опекуна.
Оба рассматриваемых документа достаточно обширно описывают права субъекта данных. И там, и там лица могут получить свои данные и информацию о том, как они обрабатываются, могут исправить, удалить сведения о себе. Главное, что по Федеральному закону «О персональных данных» информацию об обработке персональных данных субъект при сборе данных может получить по своему запросу. А по GDPR — организация обязана предоставить всю информацию об обработке в момент получения персональных данных. GDPR описывает удаление и изменение информации, как право субъекта, а российский закон, как обязанность оператора. Субъект персональных данных всегда может отозвать своё согласие на обработку и запросить удаление данных, его касающихся.
Ещё одно важное отличие GDPR состоит в том, что выделяется отдельное право на перенос своих данных. Компания, действующая в рамках GDPR, должна понимать, что при запросе субъектом информации, предоставленной им ранее, они обязаны предоставить её беспрепятственно. GDPR однозначно даёт понять, что данные эти должны быть структурированы и иметь машиночитаемый формат. Также по запросу пользователя организация должна передать его данные любой другой организации. Всё это является новым для правовых требований.
В GDPR есть отдельный раздел об Офицере по защите данных (англ. Data protection officer). Эта роль аналогична лицу, назначенному ответственным за организацию обработки персональных данных, из российского закона. По GDPR, если организация производит постоянный мониторинг субъектов или обрабатывает в крупном масштабе специальные категории, то она обязана назначить Офицера по защите данных. Иначе назначение делается на усмотрение организации или на основании законов её государства. По Федеральному закону «О персональных данных» оператор обязан назначить лицо, ответственное за организацию обработки данных, в любом случае.
При перечислении мер по обеспечению безопасности в Федеральном законе «О персональных данных» упоминается учёт деятельности по обработке персональных данных. В свою очередь GDPR так же обязывает вести такой учёт в документированном виде, включая электронную форму. Обязательство не накладывается на организации с менее чем 250 сотрудниками, если те не производят обработку на постоянной основе, не обрабатывают в больших масштабах специальные категории или данные о судимостях, правонарушениях. По мнению автора, такой учёт желательно вести в любом случае.
Если компания является контролером, учёт должен содержать:
- данные о контролере, его представителе и офицере по защите данных (если таковые имеются);
- цели обработки;
- сведения о субъектах данных и категориях обрабатываемых персональных данных;
- информацию об иных получателях персональных данных;
- сроки удаления данных, если возможно;
- описание мер безопасности, если возможно.
Если компания является процессором, учёт должен содержать:
- данные о процессоре, контролере и, если возможно, его представителе и офицере по защите данных;
- сведения об обработке;
- информацию об иных получателях персональных данных;
- сроки удаления данных, если возможно;
- описание мер безопасности, если возможно.
Организация должна быть готова предоставить эти сведения в надзорный орган в любой момент.
Что есть сами персональные данные, то «как?», «почему?» и «зачем?» происходит их обработка, какие меры применяются для защиты информации, что может делать субъект и что обязан выполнять оператор – эти ключевые пункты схожи в Федеральном законе «О персональных данных» и GDPR. Но вот что делать, если всё-таки нежелательная утечка данных произошла, конкретно говорится только в GDPR. Так, если компания всё-таки допустила утечку персональных данных, то она обязана рассказать о ней в короткие сроки надзорному органу и самому субъекту, который понёс потери. В противном случае, на компанию будет наложен штраф. По GDPR надзорный орган назначается в каждой стране соответствующими нормативно-правовыми актами. Руководители этих надзорных органов образуют Европейский совет по защите данных.
И самое интересное: для усиления обязательности соблюдения норм GDPR вводит штрафы за любые нарушения. Размеры штрафов доходят до 20 миллионов евро или 4 % оборота денежных средств компании (выбирается наибольшая сумма). Но на деле – всё не так страшно. В случаях, когда нарушение незначительно, может быть объявлен просто выговор. Нематериальные санкции могут включать также запрет со стороны надзорного органа на обработку персональных данных (или их передачу контрагенту) до момента устранения нарушений.
Штраф, прежде всего должен иметь вразумляющий эффект, а значит, может широко варьироваться в пределах установленной суммы. Величина штрафа устанавливается в зависимости от характеристик самого нарушения:
- характер, тяжесть и продолжительность нарушения;
- умышленно или по неосторожности совершенно нарушение;
- меры по уменьшению ущерба;
- используемые меры по защите;
- прошлые нарушения;
- категории персональных данных, затронутые нарушением;
- то, каким образом стало известно о нарушении;
- иные отягчающие и смягчающие факторы.
То есть, например, рассмотренное ранее уведомление об утечке является важным фактором для того, чтобы смягчить наказание.
Подведем итоги
General Data Protection Regulation – это новый большой документ с длинной преамбулой и 99 статьями, толковать который каждый может по-своему. Но если компании не хочется попасть под многомиллионный штраф, нужно выполнять требования GDPR, и, конечно, не забывать о Федеральном законе «О персональных данных» и его подзаконных актах.
Если Вы российская компания, для начала надо определить, входит ли сфера деятельности организации в область применения GDPR.
Если входит, тогда первоочередные мероприятия, которые необходимо выполнить для приведения в соответствие новым требованиям, будут следующими:
- Определить, нужен ли представитель в ЕС. Назначить его в случае необходимости.
- Проверить доступность субъектам информации о процессе обработки (цели, сроки хранения, информация о правах субъекта данных и т.д.), а так же наличие выстроенных и документированных процессов реагирования на обращения субъектов персональных данных.
- Проверить согласие на обработку персональных данных на соответствие требованиям GDPR. Оно должно быть изложено на понятном языке, конкретно, содержать все цели обработки, находится отдельно от других условий/соглашений. Согласие даётся на основании активных действий, а не «по умолчанию» или бездействию. В случае необходимости, обновить его.
- Проверить обрабатываемые персональные данные на соответствие указанным целям обработки.
- Вести учёт всей деятельности по обработке персональных данных.
- Провести оценку Data protection impact assessment, т.е. определить степень важности каждого конкретного бизнес-процесса, связанного с обработкой персональных данных посредством оценки ущерба, нанесенного в период сбоя в работе.
- Проверить меры по обеспечению безопасности на соответствие требованиям GDPR. В случае необходимости, усовершенствовать их.
- Ввести выстроенные и документированные процессы уведомления о происшествии надзорного органа, желательно в течение 72 часов после обнаружения. Включать в уведомления сведения о характере утечки, сведения для обратной связи, возможные последствия, меры по устранению утечки. По возможности сообщать субъекту персональных данных, если есть риск для его прав и свобод и данные не были зашифрованы, в разумный срок.
- Быть готовыми предоставить доказательства правомерности деятельности по обработке ПДн.