GDPR - безопасность или опасность?

В мае 2018 года вступил в силу Европейский закон о защите данных GDPR. В настоящее время в Украине этот документ не ратифицирован, но его нормы затрагивают всех субъектов, находящихся или ведущих бизнес на территории ЕС.

Новый закон прежде всего направлен на усиление ответственности обработчиков персональной информации и ограничение беспорядочного сбора и размещения персональной информации вопреки этическим принципам.

Какие же ключевые аспекты GDPR и какое влияние он окажет на субъектов, в частности на бизнес?

Чьи интересы затрагивает данный нормативно-правовой документ?

Прежде всего GDPR затрагивает интересы компаний, работающих на рынке ЕС , которые прямо или косвенно собирают и обрабатывают персональные данные.

Регламент применяется, если контроллер данных (организация, которая собирает данные от резидентов ЕС), обработчик (организация, которая обрабатывает данные от имени контроллера данных, например, поставщики услуг), субъект данных (лицо) базируются в ЕС. К тому же местонахождение контроллера, обработчика и гражданство субъекта данных не имеет значения.

Например, украинская компания осуществляет продажу комплектующих частей для компьютеров в том числе на территории Европейского Союза. Для более эффективной коммуникации с европейскими клиентами, она открывает представительство в Латвии. Тогда данное представительство начинает собирать персональные данные своих клиентов, являющихся гражданами ЕС, а украинская компания должна принять меры для соответствия такой деятельности положением GDPR.

Другую категорию субъектов рассмотрим на следующем примере: Организация базируется в Украине и продает онлайн товары и услуги пользователям, в том числе пользователям с ЕС. Услуги предоставляются на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., ".De», «.nl» или «.co.uk»). При этом эта организация не осуществляет никаких операций непосредственно на территории ЕС, поэтому должна назначить своего представителя в государстве-члене, гражданами которого являются пользователи данной компании, для коммуникации с соответствующими надзорными органами.

Не следует обходить вниманием и обычных людей, находящихся на территории ЕС, например, туристов. Теперь надо очень внимательно следить за размещением памятных фото в публичном пространстве. Если на фото или видео, которое сделано на территории ЕС, будет находиться другое лицо, то для размещения такого фото нужно будет получить согласие этого лица на публикацию или размывать лица такого лица перед публикацией.

Защита персональных данных и согласие на их обработку

При передаче данных GDPR устанавливает строгие ограничения на перенос даных в места, расположенные за пределами Европейского Союза. А именно такая передача может состояться только в случае: принятие решения ЕС об адекватности (решение, что определенная страна имеет законы о защите данных, эквивалентные законам ЕС), существование соответствующих гарантий (например, контракты, включающие типичные положения ЕС о передаче персональных данных) , предоставление четкого информативного согласия на обработку персональных данных со стороны субъекта.

Под персональными данными понимается любая информация, относящаяся к идентифицированного или идентифицированному физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4) . Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.

Также устанавливаются требования по хранению личных данных пользователей в безопасности, используя в первую очередь такие меры как: псевдонимизация персональных данных (т.е. обработка персональных данных таким образом не может быть связана с конкретным субъектом данных без использования дополнительной информации), возможность своевременно восстановить доступность (и доступ к) персональных данных после физических или технических инцидентов, способность обеспечивать конфиденциальность, целостность и устойчивость систем обработки, добавление процессов для обеспечения регулярного тестирования и оценки технических и организационных мероприятий для обеспечения безопасности обработанных персональных данных. Поэтому, для обеспечения вышеуказанного, организации обязаны назначать в свой штат офицера по защите данных (DPO).

Штрафы

Организации, которые нарушают требования GDPR, могут быть оштрафованы до 4% годового глобального оборота или 20 миллионов евро (в зависимости от того, что больше). Такой максимальный штраф применяется в частности при отсутствии достаточного согласия клиента на обработку данных или нарушения сути концепции конфиденциальности. Также компания может быть оштрафована на 2% за отсутствие порядка уведомления контролирующего органа и субъектов данных о нарушениях. Важно отметить, что эти правила применяются как к контроллерам, так и к процессорам, то есть "clouds" не освобождаются от выполнения требований GDPR.

 

Адвокат Карелов К.Ю.
при участии Копейчиковой Т.В.