Чем страшны новые европейские правила обработки персональных данных (GDPR)?

25 мая в ЕС заработают новые правила обработки персональных данных. Называются они «Общим регламентом по защите данных». Или кратко: GDPR. Этот регламент придёт на смену рамочной Директиве о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Одно из главных отличий нового документа — экстерриториальность, то есть он действует не только в странах ЕС, но и на все компании и организации, обрабатывающие данные граждан Союза.

Что это такое?

GDPR — это документ, где прописаны основные нормативы по работе с персональными данными граждан ЕС и защите.

В нём, например, указано, что персональными данными субъекта являются любые данные человека, по которым, прямо или косвенно, можно узнать этого гражданина. В документе прописан довольно длинный перечень этих данных.

Среди них есть имя, данные о местоположении, личный ID человека, и определённые онлайн-идентификаторы. Вот последнее тут — самое интересное. По сути, это данные, что остаются от пользователя после посещения любого интернет-ресурса, включая cookie, айпишники и т.д.

Также появляется группа особых или конфиденциальных персональных данных. Сюда входит информация о состоянии здоровья, генетические и биометрические данные, информация о расовом и этническом происхождении, сексуальных предпочтениях; политические, религиозные и философские взгляды и т.д..

Что со всем этим делать?

Новый регламент значительно расширяет права субъекта персональных данных, то бишь, обычного гражданина ЕС.

Во-первых, пользователь может запросить любую информацию, связанную с его личными данными. Например, узнать, какие третьи стороны имеют к ней доступ, или время обработки его данных. Также он вправе узнать, откуда организация получила его данные или потребовать прекратить обработку его персональных данных.

Во-вторых, известное «Право на забвение» прописывается и в GDPR: любой пользователь имеет право потребовать удалить о себе всю инфу, если это не противоречит свободе слова и/или общественным интересам.

В-третьих, субъект персональных данных вправе потребовать предоставить свои данные третье стороне. Эта штука называется «Правом на переносимость данных» и в подобных регламентах появляется впервые.

На основе этого в GDPR сформулированы шесть принципов обработки персональных данных.

1. «Законность, справедливость и прозрачность»: пользователь должен понимать цели, методы и объёмы обработки персональных данных.
2. «Ограничение цели»: данные должны собираться только для обозначенных компанией целей. Например, интернет-магазин «всё для домашних пивоваров» собирает данные о возрасте только для того, чтобы понять, что его клиенты — совершеннолетние.
3. «Минимизация данных»: данные не должны собираться сверх нормы. Например, интернет-магазину не зачем знать, откуда покупатель родом.
4. «Точность»: по требованию пользователя неточные и недостоверные сведения о нём должны быть удалены.
5. «Ограничение хранения»: личные данные пользователя не должны храниться дольше, чем того требует цель их хранения. Например, в документе подчёркивается, что архивизация, несущая историческую ценность, позволяет хранить личные данные продолжительное время.
6. «Целостность и конфиденциальность»: компании, хранящие данные пользователей, должны обеспечить их защиту.

Регламент прописывает и процедуру согласия пользователя на обработку данных. И тут появляется интересный пункт: если у пользователя не было выбора, то это не считается согласием. Стоящие по умолчанию галочки согласия на обработку персональных данных тоже не котируются.

Согласие ребёнка на обработку его персональных данных должно сопровождаться согласием родителей. Каждая из стран ЕС по-своему определяет возраст родительской авторизации: где-то это до 13 лет, а где-то — до 16.

Также организации, подпадающие под действие GDPR, должны уведомлять регулятор о взломе персональных данных не позднее чем через 72 часа после того, как стало известно о проникновении.

Кто попадает под действие GDPR?

В документе прописаны определения субъекта личных данных — это непосредственно гражданин ЕС, чьи данные обрабатываются. А вот субъектов обработки персональных данных тут целых два:

• Controller — лицо, определяющее цели и средства обработки персональных данных;
• Processor — это оператор. От имени контролирующего лица он осуществляет обработку персональных данных.

Под действие GDPR попадают различные субъекты обработки персональных данных, если они работают с гражданами ЕС.

Грубо говоря, у вас есть интернет-магазин. Часть ваших покупателей находится в странах ЕС. Туда вы осуществляете доставку. Помимо этого, ваш сайт базируется на локальных доменах высшего уровня (Польша — .pl, Чехия — .cz и т.д.), вы принимаете местную валюту и у вас сайт на языке граждан ЕС. В этом случае вам необходимо пересмотреть свою политику обработки персональных данных.

Скорее всего, вам придётся назначить в Европе Data Protection Officer (DPO) — лицо, ответственное за защиту данных. Это лицо может быть привлечено к ответственности за нарушения контролирующего лица.

Или вы являетесь хозяином отеля или гостиницы в городе, где будут проходить матчи Чемпионата мира по футболу. Вы работаете с персональными данными своих гостей, а среди них могут оказаться и граждане ЕС.

Всё это означает, что вы обрабатываете персональные данные граждан ЕС, а значит GDPR — регламент, о котором вам нужно беспокоиться.

Чем грозит нарушение директивы?

Штрафами. Суммы самые разные. От 10 до 20 млн. евро (или от 2 до 4% от глобального дохода компании). Всё зависит от вида нарушения. Также может быть сделан выговор, если контролирующий орган посчитает, что нарушения незначительны.

Если вы не уверены, подпадает ли деятельность вашей организации под действие GDPR, мы рекомендуем вам проконсультироваться с юристами и предпринять все необходимые требования.