GDPR: главные правила защиты данных, которые касаются каждого

Что такое GDPR

GDPR (General Data Protection Regulation, или Общий регламент по защите данных) — это основной закон Европейского Союза о защите персональных данных, вступивший в силу 25 мая 2018 года.

Регламент по защите персональных данных — правовой фреймворк, направленный на:

• усиление защиты персональных данных граждан ЕС;
• унификацию законов о конфиденциальности среди всех государств Евросоюза;
• предоставление инструментов контроля физическим лицам над их личной информацией;
• установление строгих обязательств для организаций, обрабатывающих персональные данные.
• Далее разберем участников и основные определения Общего регламента по защите данных. 

Processor и Controller «Процессор» и «Контролер» (Processor и Controller)

В процессе обработки персональных данных (ПДн) выделяют «Контролеров»‎ и «Процессоров»‎. И те и другие несут ответственность за данные, которые они обрабатывают. И все же между ними есть некоторые различия — о них важно знать, чтобы верно определить свою роль.
«Контролер»‎ определяет цель обработки данных, в то время как «Процессор»‎ является тем, кто фактически обрабатывает (собирает) данные.

В ст. 25 Регламента указано, что «Контролер»‎ должен принимать технические и организационные меры, чтобы по умолчанию обрабатывались только те персональные данные, которые необходимы для конкретной цели. При этом он учитывает современное развитие техники, затраты на внедрение, характер, объем, контекст и цели обработки. А кроме того — потенциальные риски и опасности для прав и свобод физических лиц, возникающих при обработке ПДн. 

Такая обязанность распространяется на собранный массив персональных данных в части их обработки, срока хранения и доступа к ним. Цель этих мер — чтобы доступ к данным не был предоставлен третьим лицам без согласия самого человека. 

Согласно ст. 13, 14 GDPR «Процессор»обрабатывает данные, предоставляет пользователю сведения о цели обработки и категории обрабатываемых данных. А в ряде случаев — еще и информацию о «Контролере». Например, такое бывает, если от субъекта ПД не получены личные данные. Также собирающая данные сторона должна известить пользователя о том, будут ли его данные передаваться третьим лицам.

Ст. 28 Регламента говорит, что если «Процессор»обрабатывает персональные данные по поручению «Контролера», то это должно регулироваться специальным договором (data processing agreement). В этом документе должны быть прописаны:

• предмет и период, в течение которого осуществляется обработка;
• характер и цель обработки;
• тип персональных данных и категории субъектов данных;
• обязанности и права «Контролера»‎.

Перечислим некоторые положения, которые должен включать в себя данный договор. Предусматривается, что «Процессор»‎:

• обрабатывает персональные данные только на основании документально подтвержденных распоряжений «Контролера»‎. Это касается передачи персональных данных третьей стране или международной организации, если только этого не требует право Евросоюза или право государства-члена, которое применяется к «Процессору»‎. В таком случае последний должен проинформировать «‎Контролера»‎ об этих правовых требованиях до начала обработки. Исключение составляют лишь случаи, когда такое право запрещает подобное информирование по основаниям общественного интереса;
• гарантирует, что лица, уполномоченные обрабатывать персональные данные, взяли на себя обязательства соблюдать конфиденциальность, либо обязательства этих лиц соблюдать конфиденциальность, предусмотрены законом;
• предпринимает все меры по безопасности, изложенные в ст. 32 Регламента;
• по выбору «Контролера»‎, удаляет или возвращает все персональные данные «Контролеру»‎ по завершении предоставления услуг, связанных с обработкой, а также удаляет существующие копии, кроме случаев, когда право Евросоюза или право государства-члена требует хранения персональных данных и другие.

Consent (согласие)

«Контролер» должен в явном виде показать, что субъект данных дал согласие на обработку персональных данных. Если согласие было в письменной форме, то запрос должен быть представлен так, чтобы четко отличать его от других вопросов. Он должен быть в понятной и легкодоступной форме, написан ясным и простым языком. При этом, если какая-то часть такого заявления нарушает Регламент, она считается недействительной. 

Субъект данных вправе отозвать согласие в любое время. Отзыв должен быть таким же простым, как и само согласие на обработку. 

Согласие на обработку данных по GDPR не требуется, если обработка необходима для исполнения договора или других законных обязательств, например, для выполнения услуг, или в связи с правовыми обязательствами организации, предусмотренными законом. Также согласие не нужно, если при обработке и передаче ПДн нарушаются основные права и свободы субъекта данных. 

Personal data (Персональные данные)

Само понятие «персональных данных» определяется статьей 4 GDPR.

Персональные данные — это информация, которая относится или определяет физическое лицо прямо либо косвенно. Это может быть имя, паспортные данные, информация о местоположении и сведения о каком-либо из специфическом признаке, например, вероисповедании, уровне дохода, самоидентификации и так далее‎.

Идентифицируемое физическое лицо — это лицо, которое может быть опознано прямо или косвенно, в том числе посредством ссылки на идентификатор. Таким идентификатором может быть имя, фамилия, данные о местоположении и другие данные, о которых мы говорили чуть выше.

Третьи стороны (Third countries)

Введение этого обозначения связано с тем, что обработка ПДн может выходить за пределы как организации, обрабатывающей данные (Процессор), так и за пределы самого государства.

GDPR позволяет передавать данные клиента третьим лицам при определенных условиях. Сторона, которой передают информацию, должна иметь соответствующий требованиям уровень защиты ПДн.

Уполномоченный по защите ПДн (Data Protection Officer)

Регламент по защите ПД устанавливает определенные механизмы внутреннего, субсидиарного контроля, за процессом обработки данных — Уполномоченного по защите.

Уполномоченный по защите должен обладать определенными профессиональными качествами. Например, он должен быть экспертом в сфере защиты данных и нормативной практики.

Data Protection Officer может быть сотрудником «Контролера»‎ или «Процессора»‎. Либо он может выполнять свои задачи на основании договора об оказании услуг. 

В каких случаях обязателен Уполномоченный по защите ПДн:

• обработку выполняет публичное учреждение или структура, за исключением судов, при исполнении своих поручений;
• основная деятельность «Контролера» или Процессора состоит в действиях по обработке, которые по своему характеру, объему и/или цели, требуют масштабного, регулярного и систематического мониторинга субъектов данных;
• основная деятельность «Контролера» или процессора заключается в широкомасштабной обработке особых категорий данных, согласно указанным в статье 9 и 10 персональным данным о наказуемости и нарушениях.

Сотрудник на этой должности следит, чтобы деятельность по обработке ПД соответствовала положениям GDPR. Это помогает предотвратить утечку данных.

За что он отвечает?

• Информирует и консультирует сотрудников «Контролера» или «Процессора», которые отвечают за обработку, об их обязанностях.
• Контролирует соблюдение Регламента и положений о защите данных, а также политику «Контролер»а или «Процессора» по защите персональных данных.
• Дает рекомендации по оценке воздействия на защиту данных и контролирует их выполнение.
• Сотрудничает с надзорным учреждением. Выступает в роли контактного лица по вопросам обработки, включая указанные в статье 36 предварительные консультации, и консультирует по другим вопросам.

Также Уполномоченный оценивает, соответствует ли процедура обработки ПДн правилам GDPR, и составляет рекомендации по улучшению процесса.

Основные задачи регламента GDPR

• Дать пользователям права (доступ, исправление, удаление, переносимость данных).
• Обязать компании получать явное согласие на сбор данных.
• Ввести жесткие штрафы за нарушения (до 20 млн € или 4% от глобального оборота).
• Обеспечить подотчетность: компании должны документально подтверждать соблюдение GDPR.
• Установить сроки уведомления об утечках (не позднее 72 часов).

GDPR не только защищает персональные данные, но и меняет подход бизнеса к данным

Задачи Регламента по защите персональных данных требуют соблюдения следующих принципов.

Законность, справедливость и прозрачность (lawfulness, fairness and transparency).
Обработка данных должна быть законной, справедливой и прозрачной для субъекта данных.

Ограничение цели (purpose limitation). Данные должны собираться и использоваться только для достижения конкретных, законных и заранее определенных целей. Обработка должна соответствовать этим целям по содержанию и объему, а сами данные подлежат уничтожению или обезличиванию, когда цель будет достигнута.

Минимизация данных (data minimisation). «Контролер» данных должен ограничить сбор персональной информации теми данными, которые важны и необходимы для достижения определенной цели. Он также должен хранить данные только в течение срока, необходимого для достижения этой цели.

Точность (accuracy). При обработке должны быть приняты все разумные меры, чтобы неточные ПД были удалены или исправлены. Этот принцип требует от организаций точности собираемых и обрабатываемых персональных данных. Если же обнаружится неточность, ее необходимо своевременно исправить или удалить.

Ограничение хранения (storage limitation). ПДн не должны храниться в форме, допускающей идентификацию субъектов данных, дольше, чем это необходимо для целей обработки ПДн.

Данные могут храниться дольше, если они будут обрабатываться исключительно для

Целостность и конфиденциальность (integrity and confidentiality). Необходимо обеспечить безопасность персональных данных. В том числе они должны быть защищены от несанкционированной или незаконной обработки, случайной утраты, уничтожения или повреждения, с использованием соответствующих технических или организационных мер.

Подотчетность (accountability). «Контролер» несет ответственность за соблюдение перечисленных выше принципов и должен быть в состоянии продемонстрировать его соблюдение.

Права субъекта ПДн

Исходя из ключевой идеи GDPR, рассмотрим, какие права есть у субъектов персональных данных:

Право на доступ

Это основное право. Оно позволяет человеку узнать, какие именно его данные собираются и как они используются. 

Право на доступ подразумевает возможность:

• получить подтверждение обработки — субъект данных вправе узнать, обрабатывает ли «Контролер» его персональные данные; 
• получить копию ПДн — «Контролер» обязан предоставить копию всех обрабатываемых данных субъекта;
• уточнить информацию о целях обработки — можно узнать, для каких конкретных целей используются данные;
• получить сведения об источниках данных — можно запросить сведения об источнике, из которого были получены персональные данные;
• ознакомиться с информацией о получателях данных — узнать, кому и куда были переданы данные;
• узнать сроки хранения — можно получить информацию о том, сколько времени хранятся персональные данные;
• запросить информацию об автоматизированных решениях — субъект может получить сведения о решениях, принимаемых на основе автоматизированной обработки, включая профилирование;
• можно также узнать о своих правах на исправление, удаление, ограничение обработки данных и подачу жалобы в надзорный орган. 

Право на исправление

Это право позволяет субъекту ПД направить запрос «Контролеру» на исправление или дополнение его ПД. «Контролер» должен без неоправданной задержки исправить предоставленные данные или дополнить их, если это необходимо для целей обработки. 

При внесении дополнений «Контролер» должен проверить, для каких целей обрабатываются данные, чтобы убедиться в полноте информации. 

Право на удаление (забвение)

Субъект ПДн имеет право требовать от «Контролера» удаления своих персональных данных. В свою очередь, «Контролер» обязан удалить персональные данные без неоправданной задержки при наличии следующих причин.

• Данные больше не нужны.
• Субъект данных отзывает согласие (и нет других законных оснований для обработки).
• Субъект данных возражает против обработки (и нет законных оснований, отказать в этом требовании).
• Незаконная обработка (ПДн были обработаны незаконно).
• Сбор в рамках предложения услуг (ПД были собраны в связи с предоставлением услуг информационного общества).
• Юридическое обязательство (ПДн должны быть удалены для соблюдения юридического обязательства в соответствии с законодательством Европейского Союза или государств-членов, которому подчиняется «Контролер»).

Право на ограничение обработки

Субъект данных вправе получить от «Контролера» ограничение обработки, когда применяется одно из следующих условий:

• точность персональных данных оспаривается субъектом данных в течение периода, который позволяет «Контролеру» проверить точность ПДн; 
• обработка является незаконной, и субъект данных возражает против удаления персональных данных, а вместо этого просит ограничить их использование;
• «Контролеру» больше не требуются персональные данные для целей обработки, но они нужны субъекту данных для защиты правовых требований;
• субъект данных подал возражение против обработки. 

Право на переносимость данных

Субъект ПДн имеет право получать предоставленные им персональные данные в структурированном, общеупотребимым и машиночитаемом формате и передавать их другому «Контролеру» без помех со стороны прежнего «Контролера», если обработка основана на согласии или договоре и осуществляется автоматизированными средствами. 

При этом субъект данных может потребовать прямой передачи данных другому «Контролеру» при технической возможности. 

Право на возражение

Это право субъекта ПДн возразить против обработки, основанное на законных интересах или на выполнении задачи в общественных интересах, включая научные, исторические исследования и статистику.

Например, субъект данных может возразить против обработки ПДн для прямого маркетинга в любое время. В этом случае его данные больше не должны обрабатываться для этих целей.

Право не быть объектом автоматизированного принятия решений

GDPR гарантирует людям не подвергаться решениям, принимаемым только алгоритмами без участия человека, например, при назначении кредита, принятии на работу или рассмотрении заявки на пособие.

Право на обжалование

Согласно GDPR, любой гражданин ЕС, чьи персональные данные были нарушены, имеет право подать жалобу в надзорный орган и получить компенсацию за материальный или нематериальный ущерб от «Контролера» или обработчика данных. 

Жалобу можно подать в надзорный орган государства, где находится место жительства, работы или предполагаемого нарушения. 

Как же определить, на какой территории реализуются права субъектов ПД

Регламент применяется в государствах Европейского союза. Это 27 стран — членов ЕС и стран Европейской экономической зоны, включая Исландию, Норвегию и Лихтенштейн. Кроме того, он действует и в других странах, где организации обрабатывают ПДн граждан ЕС. 

Таким образом, компания попадает под действие GDPR, если она адаптирует товары или услуги под нужды жителей ЕС. Например, на национальных доменах, в местных валютах или на местных языках, в интернете проводится мониторинг поведения пользователей из ЕС и прочее. 

При экстерриториальном применении регламента GDPR требуются определенные меры, которые помогут соблюдать описанные выше принципы и права граждан.

Внутри организаций, которые обязаны соблюдать GDPR, рекомендуется проводить регулярные аудиты, вести учет операций по обработке ПД (если в компании работает более 250 сотрудников), подготовить локальные нормативно-правовые акты как для сотрудников, так и для потенциальных и действующих клиентов. Локальные нормативно-правовые акты должны соответствовать регламенту о защите персональных данных.

Среди таких документов можно выделить «Политику конфиденциальности», DPIA, SCC и другие.

Privacy Notice (Политика конфиденциальности)
Согласно GDPR, организации обязаны предоставлять пользователям уведомление о конфиденциальности, которое:

• составлено кратко, понятно, понятно и легко доступно;
• написано понятным и простым языком, особенно если информация адресована ребенку;
• доставлено своевременно;
• предоставлено бесплатно.

Data Protection Impact Assessment (DPIA)

Оценка воздействия на защиту данных (DPIA) — это процесс, который помогает организациям выявлять, оценивать и минимизировать риски для прав и свобод физических лиц, которые могут возникнуть в результате планируемой обработки персональных данных. 

Этот документ является обязательным, если обработка, особенно с использованием новых технологий, может привести к высокому риску для физических лиц. DPIA является ключевым инструментом подтверждения соответствия требованиям GDPR и может предотвратить применение мер принудительного характера, включая наложение значительных штрафов.

Standard Contractual Clauses (SCC)

Стандартные договорные условия (СДУ) — это одобренные ЕС, заранее прописанные положения договоров, которые призваны обеспечить защиту персональных данных, эквивалентную GDPR, при передаче за пределы Европейской экономической зоны (ЕЭЗ). 

Компании включают эти положения в договоры между экспортером данных (в ЕЭЗ) и импортером (в третьей стране), чтобы обеспечить правовую основу для передачи данных и возложить на импортера ответственность за соблюдение стандартов защиты данных, аналогичных стандартам GDPR.

Legitimate Interest Assessment (LIA)

LIA или оценка законных интересов — упрощенная оценка рисков, которую организация проводит для подтверждения законности обработки персональных данных в соответствии с GDPR. LIA определяет цели обработки ПДн, выгоды для организации и людей, а также оценивает, не наносят ли они ущерб правам и свободам субъектов данных, и документирует эти выводы.

Помимо документального обеспечения соблюдения норм GDPR, требуются и технические. Например, используется шифрование — способ защиты данных при передаче и один из способов обеспечения сохранности хранимых персональных данных. Оно также снижает риск злоупотреблений внутри компании, поскольку доступ к ним предоставляется только уполномоченным лицам, имеющим соответствующий ключ.

Какие штрафы предусматривает GDPR 

Нарушение требований GDPR приводит к наложению штрафов. Размер зависит от ряда факторов, в том числе от наличия прошлых нарушений, а также от того, какие действия предпринял «Контролер» или обработчик для уменьшения ущерба.

• До 10 миллионов евро или, в случае с предприятием, до 2% от всего глобального оборота за предыдущий финансовый год, в зависимости от того, что больше. Такой штраф предусмотрен за нарушения обработки персональных данных детей, игнорирование требований к защите данных при проектировании систем, проблемы с отчетными записями и уведомлением об утечках, а также нарушения, связанные с офицером по защите данных (DPO).
• До 20 миллионов евро или, в случае с предприятием, до 4% от общего годового оборота за предыдущий финансовый год, в зависимости от того, что больше. Такой штраф можно получить за несоблюдение принципов обработки данных, отсутствие или неправомерное получение согласия на обработку, нарушение прав субъектов данных, а также утечки конфиденциальных или специальных категорий данных, таких как биометрия. 

Так нужно ли соблюдать GDPR в России и какие еще есть законы

GDPR обязателен к исполнению российскими компаниями, если обрабатываются ПДн граждан Евросоюза, даже если у компании нет филиалов в ЕС. Так, организации, предлагающие товары и услуги на рынках ЕС, а также сайтах, на которые заходят жители ЕС, считаются «Контролерами» и обработчиками по GDPR.

Несмотря на общие цели и схожесть в определении персональных данных, у этих документов есть и различия. Например, в GDPR есть «Контролеры» и «Процессоры», а в 152-ФЗ — «Оператор». Еще GDPR предусматривает более высокие штрафы за нарушения и уведомительный порядок в случае утечки данных как надзорный орган, так и субъекта данных, а по ФЗ-152 уведомляется лишь надзорный орган.

Согласно регламенту о защите данных (GDPR), компании в своих регламентах должны также четко указывать, каким образом они собирают персональные данные в маркетинговых целях. Это означает, что при их сборе необходимо запрашивать конкретное разрешение, а также указывать потребителям вескую причину для получения информации.

Маркетинг играет важную роль в развитии и продвижении организаций. При выходе на рынок ЕС особое внимание требуется уделять разработке, поддержке и соответствии нормам GDPR.

Что можно в маркетинговых проектах по правилам GDPR

• Собирать и обрабатывать данные только с четкого, информированного и добровольного согласия пользователя, который понимает, какие данные и для чего собирают. 
• Прозрачно и однозначно описывать в политике конфиденциальности методы сбора и обработки данных. 
• Собирать только те данные, которые действительно необходимы для конкретной маркетинговой цели, и не более того. 
• Хранить данные не дольше, чем это необходимо для заявленных целей, и своевременно удалять или анонимизировать. 
• Дать возможность пользователям получить доступ к своим данным, с возможностью исправить их или удалить, а также запретить их обработку для определенных целей. 
• Принять меры для защиты данных от несанкционированной обработки, повреждения или удаления, например, используя шифрование. ё

Что нельзя делать в рамках GDPR

• Собирать и использовать ПД для маркетинга без предварительного согласия пользователя. 
• Собирать данные, не объяснив пользователю, для каких конкретных маркетинговых целей они будут использованы. 
• Собирать больше персональных данных, чем требуется для достижения заявленной цели. 
• Отказывать пользователям в их праве на доступ, исправление или удаление своих данных. 
• Передавать данные третьим лицам без согласия или без соблюдения принципов безопасности. 

Исходя из вышеизложенного, организации должны соблюдать GDPR, если есть хоть один из признаков:

• обрабатываются персональные данные физических лиц, проживающих в ЕС, независимо от их гражданства;
• предлагаются товары или услуги лицам, находящимся в ЕС, в том числе через интернет;
• отслеживается поведение пользователей из ЕС в интернете, например, с помощью анализа данных для прогнозирования предпочтений;
• если сайт, приложение или сервис адаптирован для европейских пользователей. Например, есть языковые версии на европейских языках, цены указаны в европейских валютах, предлагается доставка в страны ЕС;
• если есть филиал или любое другое подразделение (establishment) на территории ЕС, это автоматически подпадает под действие GDPR.

Чтобы соответствовать Общему регламенту по защите данных (GDPR), необходимо создать основу для соблюдения принципов защиты данных, проводить аудит данных, обеспечивать законную обработку, защищать персональные данные, обеспечивать прозрачность с помощью четких политик конфиденциальности, гарантировать права пользователей на данные, обучать персонал и поддерживать текущие программы соблюдения требований с документированными процедурами и регулярными проверками.
Разработайте надежную систему для получения, регистрации и управления согласием, гарантируя, что оно будет информированным, конкретным и недвусмысленным. Будет плюсом также регулярно информировать и обучать всех сотрудников требованиям GDPR и их роли в защите данных.

Популярные вопросы по работе с GDPR

С чего начать внедрение GDPR?
Начните с аудита персональных данных: какие именно данные вы собираете, где и как они хранятся, кто имеет к ним доступ. Затем определите цели обработки, обновите политику конфиденциальности и настройте процессы для соблюдения принципов GDPR.

Какие процессы нужно изменить?
Чаще всего корректировки касаются сбора согласий пользователей, обработки запросов на удаление или исправление данных, хранения логов и работы подрядчиков. Также важно документировать все действия с персональными данными.

Нужно ли обучать сотрудников?
Да, обучение обязательно. Сотрудники должны понимать, что такое персональные данные, как их обрабатывать безопасно и что делать при утечке. Простые инструкции и регулярные тренинги помогают минимизировать риски нарушения GDPR.

Реализуется ли GDPR в Selectel

Вероятно, может возникнуть вопрос, как реализуется GDPR в Selectel? Наша инфраструктура соответствует как 152-ФЗ, так и требованиям международных законов и стандартов, в том числе GDPR. Мы регулярно проходим аудиты безопасности с привлечением экспертов, чтобы подтвердить все статусы безопасности.

Если требуется организовать соответствие GDPR, можно использовать серверные мощности Selectel, но организационно-правовые меры будут в вашей зоне ответственности.

Заключение

Внедрение GDPR стало поворотным моментом в сфере защиты персональных данных. Документ установил новые стандарты прозрачности и ответственности для бизнеса. Он не только усилил права пользователей, но и заставил компании пересмотреть подходы к обработке информации, сделав конфиденциальность приоритетом.

Несмотря на сложность соответствия, соблюдение GDPR — это не просто юридическая обязанность, а возможность укрепить доверие клиентов и избежать репутационных и финансовых рисков. Защита данных становится ключевым конкурентным преимуществом, а GDPR — ориентиром для глобальных практик защиты ПД.

С развитием технологий (например, ИИ и Big Data) требования к безопасности данных будут ужесточаться, и GDPR может послужить основой для новых регуляций по всему миру.