2018/04/13 16:12:26

GDPR
General Data Protection Regulation
Регламент Евросоюза о персональных данных

Общеевропейский регламент о персональных данных предназначен для того, чтобы защитить конфиденциальность персональных данных граждан Евросоюза и контролировать то, каким образом компании и организации обрабатывают, хранят и используют эти данные. Таким образом, положение регламента применимо к любой компании любого размера вне зависимости от того, где она расположена и где произошло событие по передаче персональных данных.

Содержание

2016: Принят Общеевропейский регламент о персональных данных (GDPR)

В мае 2016 года в ЕС принят Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR) - замена Data Protection Directive (официально Директива 95/46 / EC о защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных)). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ)[1].

GDPR применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. Персональные данные согласно GDPR - это любая информация, относящаяся к физическому лицу или данные, которые могут прямо или косвенно идентифицировать этого человека. Например:

  • Имя, адрес электронной почты, адрес проживания, номер телефона;
  • Персональная информация (например, сексуальная ориентация, расовая принадлежность, политические пристрастия);
  • Банковские сведения;
  • IP-адрес компьютера, cookie ID.

Согласно новому закону потребители получат более широкий контроль над своими данными. Физические лица (ФЛ) получат следующие права:

  • Право доступа - знать, какая информация о них хранится и как она обрабатывается;
  • Право на исправление – вносить изменения в личные данные, если они являются неточными или неполными;
  • Право на забвение – удалить свои личные данные без необходимости указания конкретной причины;
  • Право на ограниченную обработку - блокировать или запрещать обработку своих персональных данных.
  • Право на перенос данных - сохранять и повторно использовать свои личные данные для собственных целей;
  • Право на возражение - возражать против использования персональных данных. Например, в целях маркетинга, научных и исторических исследований и т.д.

Критерии применимости GDPR

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Действие GDPR распространяется на обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС (например, российские юридические лица), в тех случаях, когда такая деятельность по обработке относится к:

  • предложению товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе;
  • отслеживанию их действий при условии, что таковые осуществляются в пределах ЕС.

Следует отметить, что в критериях отсутствует привязка к гражданству субъекта персональных данных. Под защиту GDPR попадают персональные данные (ПДн) всех субъектов в момент нахождения их внутри ЕС (включая граждан РФ).

Таким образом, потенциально под действие GDPR могут попасть следующие типы российских организаций:

  • Дочерние общества крупных российских холдингов (торговые предприятия компаний-экспортеров, дочерние банки крупных банковских групп и т.п.), находящиеся на территории ЕС.

  • Компании банковского и телекоммуникационного сектора. Мониторинг транзакций по банковской карте, а также анализ звонков субъекта ПДн (например, в рамках процессов по предотвращению мошеннической деятельности), находящегося на территории ЕС попадает под критерий «отслеживания действий».

  • Компании, предоставляющие услуги потребителям из ЕС (интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг). Критериями ориентированности на рынок ЕС могут служить: наличие веб-сайта на одном из официальных языков ЕС, возможность получения оплаты услуг в валюте ЕС, а также явное аффилированние услуг компании с партнерами из ЕС (например, наличие на веб-сайте российского интернет-магазина информации о сотрудничестве с локальными курьерскими службами доставки, работающими в ЕС).

Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн. евро или до 4% от годового оборота компании (в зависимости от того, какая сумма будет больше) - по итогам международного исследования, проведенного E&Y и IAPP (International Association of Privacy Professionals) в 2017 г.

Документ начинает действовать с 25 мая 2018 года, но целый ряд российских компаний, присутствующих на территории ЕС, уже приступил к приведению процессов обработки персональных данных в соответствие с GDPR.

Что будет, если предприятия России нарушат GDPR?

Данный регламент имеет экстерриториальный характер и под его действие подпадает любая компания, которая осуществляет обработку и хранение персональных данных резидентов и граждан Европейского союза. Если ваша компания подпадает под действие этого закона, то готовы ли вы к его вступлению в законную силу? Вероятность того, что ваша компания еще не готова, достаточно высока, т.к. даже в Евросоюзе почти 60% компаний заявили, что они не готовы внедрять изменения, которые требуются согласно новому законодательству о защите персональных данных. Согласно недавнему исследованию Forrester, огромное количество предприятий работают над своей адаптацией к новому регламенту, но только 22% из них рассчитывают привести свое предприятие в соответствие требованиям GDPR в 2018 году. Впрочем, и это может оказаться слишком поздно, потому что о вступлении 25 мая 2018 года в силу данного регламента было известно еще два года назад[2].

GDPR: что это такое и почему следует обратить на него внимание?

Если ваша компания обрабатывает данные граждан и резидентов Евросоюза, то вам следует позаботиться о соответствии требованиям регламента. Но почему? Потому что вне зависимости от того, где расположено ваше предприятие, вы должны соответствовать требованиям GDPR. Очевидно, что многие компании не знают о том, какой глобальный охват имеет данный регламент, причем его действие распространяется не только на компании из Евросоюза. На самом деле, 43% ИТ-специалистов в США не верят, что GDPR как-то повлияет на работу их предприятия.

GDPR предоставляет физическим лицам расширенные права для контроля и доступа к своим персональным данным. В свою очередь, компании несут дополнительную ответственность за защиту этих данных. Среди основных нововведений отметим требование на получение явного и активного согласия физического лица на обработку, хранение и использование его персональных данных (информирование пользователя уже не достаточно: он именно должен предоставить свое согласие). Существует также требование уведомлять надзорные органы о нарушениях конфиденциальности и целостности персональных данных в течение 72 часов с того момента, как предприятию стало известно об инциденте. Кроме того, GDPR содержит новые права, такие как:

  • право на забвение - пользователь может требовать от предприятия удаления своих персональных данных при определенных обстоятельствах: если отозвано согласие, если перестала существовать причина, по которой ранее эти персональные данные передавались и т.д.
  • право на переносимость – пользователи имеют право требовать от предприятия, которое хранит его персональные данные, предоставить ему копию этих данных для переноса в другую организацию.

Несмотря на требования GDPR к компаниям усилить контроль персональных данных, некоторые компании, сильно связанные с вопросами персональных данных (например, в сфере связи или розничной торговли), наименее подготовлены к вступлению в силу данного регламента. По данным Forrester, всего лишь 27% компаний заявили, что они полностью соответствуют требованиям GDPR, а многие признались, что они начали внедрять изменения на своих предприятиях только лишь в результате «давления со стороны своих клиентов».


Риски не соответствия требованиям GDPR

Нарушение требований GDPR может иметь различные последствия:

  • Экономические: Эти, наиболее обсуждаемые последствия больше всего волнуют представителей компаний, т.к. власти смогут назначать штрафы размером до 20 миллионов евро или 4% от годового оборота компании. Очевидно, что размер штрафов будет зависеть от многих факторов, таких как суть нарушения, его степень серьезности и продолжительность (например, сколько людей пострадали от нарушения и какой ущерб им был причинен), были ли эти нарушения вызваны неосторожностью или они были сознательны, имеются ли у предприятия другие случаи нарушения регламента и пр.

Наиболее серьезные штрафы будут налагаться на компании, которые не соблюдают основные принципы обработки персональных данных и нарушают права пользователей или передают персональные данные третьим странам или международным организациям, которые не могут обеспечить должного уровня их защиты.

В дополнение к этим административным штрафам, компании также могут столкнуться с дополнительными финансовыми последствиями в результате судебных требований от физических лиц по компенсации ущерба в результате того, что конфиденциальность и целостность их персональных данных были нарушены.

  • Репутационные: Несоблюдение требований GDPR может привести к общественному порицанию таких компаний. Более высокая степень прозрачности, которая требуется в соответствии с этим регламентом, и требование уведомлять надзорные органы о нарушениях персональных данных может привлечь еще больше внимания к вашей компании – в обществе будет складываться негативное мнение о вашей компании, которая не способна защитить их персональные данные. Недостаток доверия и негативное общественное мнение может серьезно сказаться на успехе вашей компании – эти последствия могут быть даже более разрушительными, чем финансовые штрафы.
  • Коммерческие: Неспособность показать, что ваша компания соблюдает требования законодательства может привести к тому, что вы потеряете клиентов и столкнетесь с проблемами при заключении договоров с другими компаниями. Клиенты не желают подвергать риску свои персональные данные, если ваш конкурент соответствует требованиям GDPR и способен защитить их данные. Это также может повлиять и на деловую активность предприятия: многие компании могут не захотеть быть вашим партнером и делиться информацией о своих клиентах с вашей компанией, которая может подвергнуть ее серьезному риску.

См. также

Примечания