Общий регламент защиты данных или General Data Protection Regulation (GDPR) (EU) 2016/679 (далее – Регламент) – это обязательные для применения всеми странами-членами ЕС правила, в соответствии с которыми устанавливаются требования относительно усиления и унификации защиты персональных данных всех лиц на территории ЕС.
Еще до вступления в силу GDPR, до 25 мая 2018 года, невозможно было не заметить ажиотаж и заблаговременную активизацию в этом отношении как законодателей, так и бизнеса в целом. Регламент не имеет прямого отношения к украинскому законодательству, но может непосредственно касаться деятельности отечественных компаний, и не только IT, но и любого сектора экономики.
Это связано с тем, что согласно ст. 3 Регламент имеет экс-территориальное действие, то есть обязательно распространяется также на компании за пределами ЕС, получающие информацию из источника в странах-участницах ЕС. Кроме того, защита персональных данных не связана с гражданством в ЕС, поэтому касается любых субъектов, находящихся на момент обработки данных на территории Евросоюза. Нововведения особенно коснутся украинских компаний, имеющих постоянные представительства в Європе, – при передаче данных клиентов, сотрудников или партнеров материнской компании и дальнейшей их обработке. Это касается также отечественных компаний, контрагентами которых являются компании-резиденты ЕС или физические лица, реализующие им товары/оказывающие услуги в сети Интернет (если предусмотрена оплата в евро и описание товаров на європейских языках).
Компании, имеющие прямое или опосредованное отношение к информации из стран Содружества, для продолжения сотрудничества должны на момент вступления Регламента в действие осуществить мероприятия относительно усиления защиты персональных данных. Поэтому причина, по которой проверка соответствия требованиям GDPR необходима уже сейчас, проста: ни одна европейская компания не захочет вести с Вами дела под угрозой значительных штрафов за сотрудничество с «non-compliance company».
Под персональными данными в Регламенте понимают любые сведения, являющиеся собственностью физических лиц и позволяющие прямо или опосредованно идентифицировать это лицо (субъект данных), в том числе – имя, паспортные данные, данные банковских счетов, электронную почту, ІР-идентификатор, место нахождения и другие идентифицирующие физиологические, генетические, умственные, экономические и социально-культурные показатели.
Согласно GDPR, обработка персональных данных – это любая операция, осуществляемая с персональными данными, автоматически или любыми другими способами, в том числе – сбор, запись, сортировка, хранение, адаптация или изменение, получение, сверка, использование, раскрытие, распространение или любой вид публикации, группировки, блокирования, удаления или уничтожения.
В чем заключается прямое или опосредованное отношение компаний к данным?
Простыми словами, Регламент оперирует понятиями контролер и процессор. Их легко разграничить по критерию цели обработки персональных данных: контролер является лицом, определяющим цель сбора данных, способы обработки и защиты информации, и, соответственно, требования к таким лицам – болем жесткие; как правило, украинские компании выступают в качестве процессоров, поскольку получают доступ к данным по поручению контролера, самостоятельно не устанавливая цель их обработки. К примеру, мы неоднократно осуществляли юридическое сопровождение проектов, по которым европейские компании заказывали разработку программного обеспечения у наших айтишников. Для правильной настройки работы программы айтишники в обязательном порядке получают доступ к собранным заказчиком данным. Как мы уже отмечали, компания-заказчик является контролером, а украинская – процессором. Исходя из выше указаного и с учетом того, что документ все-таки имеет иностранное происхождение и его положения (возможно, лишь пока ещё) не содержат аналогов в законодательстве Украины, мы считаем употребление соответствующих понятий в переводе “оператор” и “обработчик” некорректными (в аспекте работы в рамках GDPR) и рекомендуем использовать оригинальную терминологию.
Согласно Регламента, контролер и процессор могут назначить ответственных за обработку данных лиц – офицеров. Роль офицера в целом сводится к информированию и консультированию контролера/оператора относительно требований, относящихся к ним, а также к проверке состояния выполнения этих требований. Недостаточно осведомленные в новых требованиях медиа-ресурсы часто больше спекулируют данной нормой, чем понимают реальное содержание и объем ее использования, поскольку обязательным назначение так называемых офицеров является только относительно данных при условии, что:
а) обработка осуществляется публичным органом или организацией, за исключением судов;
б) основные виды деятельности оператора или процессора состоят из операций по обработке, требующих постоянного, систематического и широкомасштабного мониторинга субъектов данных;
в) основные виды деятельности контролера или оператора заключаются в широкомасштабной обработке чувствительных категорий данных (например, конфиденциальных данных о состоянии здоровья, этническом происхождении, уровне личных доходов) в соответствии со ст. 9 Регламента и персональных данных о судимостях и криминальных преступлениях (ст. 10 Регламента).
Кроме того, если украинская компания выступает в качестве контролера, то есть производит обработку данных европейських клиентов, то она обязана назначить своего представителя в ЕС, который будет выступать в качестве посредника между контролирующими органами ЕС и контролером в вопросах соблюдения правил GDPR. Обычно такое назначение осущестляется путем подписания договора с компанией-резидентом стран Союза.
Что касается обработки персональных данных, то Регламентом в этом отношении урегулированы многие нюансы. Например, информация о целях, способах и объемах обработки данных должна быть открытой; объем собранной информации не может бать больше и шире необходимого для достижения цели ее обработки; данные должны использоваться исключительно в тех целях, в каких и были собраны; личные данные должны храниться не дольше срока, необходимого для достижения целей обработки информации и тому подобное.
Регламентом устанавливаются также правила передачи персональных данных за пределы ЕС, в другие страны. Правомерная передача возможна в двух вариантах:
-
- Имеется решение Еврокомиссии о надлежащем обеспечении конкретной страной необходимого уровня защиты экспортных данных. В настоящее ремя приняты такие решения относительно Андорры, Аргентины, Гернси, Израиля, Канады, Новой Зеландии, Острова Мен, Уругвая, Швейцарии и Фарерских островов.
- Обработчик данных может подтвердить наличие гарантий защиты экспортных персональных данных. Чаще всего таким подтверждением яляются стандартные договора на обработку данных (Data Processing Agreement) между процессором и контролером, содержащие требования относительно осуществления необходимых технических и организационных мер. Соответствие уровня защиты может также подтверждаться Сертификатом соответствия (имеющим добровольный характер), однако процедура сертификации согласно GDPR еще не разработана, а потому на практике не реализуется. В случае необходимости привлечения к обработке независимых субпроцессоров (проще говоря, подрядчиков для выполнения проекта), процессор должен получить письменное разрешение контролера и, кроме того, подписать с ним идентичный с основным DPA.
Регламентом устанавливаются и права субъектов данных обращения в суд с требованиями о взыскании денежной компенсации с лиц, нарушающих их права, производя обработку данных неподобающим образом или выходя за законные пределы. Появилось также «право на забвение»: каждый субъект данных может требовать у компании раскрытия имеющейся о нем информации, удаления такой информации или перенесения ее (data portability).
За невыполнение требований Регламента ЕС установлена ответственность. Но если с контролирующим органом на территории ЕС все более-менее понятно, то остается открытым вопрос, как будет осуществляться взыскание с украинской компании через представителя в ЕС, являющегося, например, контролером. Однако такая неурегулированность все равно не должна давать оснований для того, чтобы позволить себе «расслабиться», ведь европейская компания в таком случае сама откажется от сотрудничества. Соласно GDPR, размеры санкций должны быть «эффективными, пропорциональными и сдерживающими»: максимальный размер штрафа установлен в размере 4% годового мирового оборота предприятия или 20 миллионов евро – в зависимости от того, что больше; минимальный – в размере 2% годового мирового оборота предприятия или 10 миллионов евро, также в зависимости от того, что больше.
Как же подготовиться к работе в соотетствии с GDPR?
- Провести анализ деятельности компании с персональными данными.
Необходимо осуществить GDPR-check (аудит): установить, к каким персональным данным имеет доступ компания, где они хранятся, какие используются процессы обработки данных.
В соотетствии с Регламентом произвести оценку уровня влияния осуществляемых сбора/обработки информации на права и свободы субъектов данных (Data Privacy Impact Assessment – DPIA).
- Разработать политику обращения с персональными данными.
Процесс использования данных должен включать сбор, обработку, хранение, защиту и уничтожение данных. Необходимо принять условия концепции проектируемой конфиденциальности и конфиденциальности по умолчанию, так называемые privacy by design и privacy by default. Согласно концепции privacy by design – организация должна учитывать риски, связанные с персональными данными, на всех этапах процесса обработки данных (при проектировании дизайна процесса обработки, формировании функциональных требований к IT-системам, при настройке механизмов безопасности в IT-системах и средствах защиты, при передаче данных в архивное хранение и при их уничтожении). Концепция privacy by default предполагает, что компания в рамках четко сформулированных целей должна обрабатывать минимально необходимый и достаточный состав данных.
- Навести порядок в юридических документах.
Необходимо разработать положение о политике информационной безопасности и договора, включающие пункты об обработке данных, о способах предоставления согласия на обработку данных, а также содержащие разъяснения относительно политики обработки данных компанией на собственных веб-страницах.
- Навести порядок в программном обеспечении.
Для повышения уровня автоматизации при приведении IT-процессов в соответствие с требованиями GDPR следует обратить внимание на решение класса Data Governance. Наличие полной и актуальной информации о данных, о местах их размещения, о методах обработки и правах доступа поможет в практической реализации требований законодательства.
Пока не сформировалась четкая практика приведения процессов обработки данных в компаниях в соответствие с требованиями GDPR, отдельно следует обратить особое внимание на требования по сбору согласований на обработку и налаживание каналов взаимодействия с субъектами персональных данных. В соответствии с требованиями GDPR простой клик в окошке «Ознакомлен, продолжить» и десятистраничные правила уже не подходят: извещение должно быть осуществлено таким образом, чтобы, во-первых, каждый посетитель его действительно заметил, и, во-вторых, чтобы оно было максимально простым, коротким и понятным. Уже сейчас почти на каждом зарубежном ресурсе при первом же визите на веб-страницу у Вас появится всплывающее окно примерно такого содержания: «Уважаемый пользователь. С целью корректной работы сайт собирает Ваши метаданные (cookie, данные об IP-адресе и о местонахождении). Продолжая просмотр сайта, Вы соглашаетесь на использование Ваших данных».
- Провести соответствующую работу с сотрудниками.
Стоит убедиться, что каждый ознакомлен с существованием GDPR и его требованиями, чтобы предотвратить случайную потерю флешки с архиважными данными (наши приветствия работникам аэропорта Хитроу).
Невыполнение новых законодательных положений Европейского Содружества чревато не только санкциями, но и значительной потерей не только потенциальных, но и уже имеющихся клиентов и партнеров. Более того, существует мнение, согласно которого очень скоро требования Регламента станут новым глобальным мировым стандартом.
Поэтому мы настойчиво рекомендуем обратиться к юристам для проведения GDPR-check!
Полезные ссылки по теме:
- GDPR-portal: https://www.eugdpr.org/
- Разъяснение Еврокомиссии относительно применения Регламента: https://ec.europa.eu/commission/sites/beta – political/files/data – protection – communication – com.2018.43.3 en.pdf
- Инструкция https ://ico.org .uk/media/1624219/preparing – for – the – gdpr – 12 – steps.pdf
Автор – юрист Мария Шулякивська