GDPR – разбираем правила обработки персональных данных в Европе и штрафы за их нарушение

Правила GDPR: как следует обрабатывать персональные данные в ЕС 

Начиная с 2018 г. действует система, согласно которой установлены правила сбора и обработки личных данных граждан Европейского союза. Их выполнение повышает уровень защиты сведений, собираемых и обрабатываемых интернет-ресурсами. Что это за закон, нужно понимать не только европейским компаниям, но и тем, кто предоставляет различные услуги для резидентов Евросоюза. Подробнее о правилах GDPR расскажем в этом материале.

Основные определения: персональные данные, контролер, процессор

GDPR (расшифровывается как General Data Protection Regulation) — это свод из 99 статей, их цель: гарантировать защиту данных граждан Евросоюза. Правила предназначены для организаций, которые занимаются сбором и обработкой персональной информации.

Под термином персональные данные GDPR подразумевает сведения, которые идентифицируют личность. Их пользователи предоставляют для ресурса сами (ФИО, электронная почта, номер телефона, паспортные данные), также сюда входят сведения, собранные автоматически (данные о геолокации пользователя, устройстве, ОС, Cookies (метаданные)).

К ним относятся и поисковые запросы, сведения о посещенных сайтах и публикациях в соцсетях. Правила GDPR обязывают шифровать информацию о банковских картах. 

Контролёр — это физическое или юридическое лицо, определяющее цели и способы обработки получаемых им персональных данных.

Процессор — это физическое лицо или организация (например, программисты), выполняющая обработку персональных данных по поручению контролёра. 

Подробнее с определениями можно ознакомиться в статье 4 GDPR.

Какие компании должны внедрить GDPR?

GDPR распространяются на все компании, интернет-сайты, коммерческие и некоммерческие организации, которые обрабатывают личную информацию резидентов и граждан Евросоюза, вне зависимости от места нахождения и проживания. Даже если у компании нет представительства или филиала в Европе. Подробнее об этом - в статье 3 /2018 on the territorial scope of the GDPR. 

В Украине к таким организациям относятся:

• Софтверные компании, продающие программные продукты гражданам Европы.
• Компании-субподрядчики в обслуживании европейских компьютерных систем и баз данных.
• Коммерческие организации, обслуживающие граждан ЕС: гостиницы, ресторанные комплексы, санатории, туристические компании. 
• Финансовые организации, обслуживающие граждан ЕС: банки, венчурные фонды, валютные биржи.
• Логистические и транспортные компании оказывающие услуги резидентам ЕС.

В статье 13 Преамбулы Регламента GDPR закреплен пункт, который обязывает компании учреждать специальную должность DPO. Это внутренний сотрудник, который отвечает за сбор и хранение информации. Для малого и среднего бизнеса есть послабление: компании, в штате которых меньше 250 человек, могут не учреждать DPO. 

Пунктом 24 Преамбулы GDPR определены признаки, по которым можно установить намерение предоставлять услуги гражданам ЕС, среди них:

1. Использование языка государства-члена ЕС (для заказа) и денежной единицы.
2. Упоминание потребителей, которые находятся в ЕС (статья 23 Преамбулы GDPR). 
3. Обработка конфиденциальной информации лиц, пребывающих в ЕС, если это связано с мониторингом пользователей, совершающих действия в ЕС. 

Рассмотрим пример:

Украинская компания предоставляет услуги пользователям стран бывшего СНГ и Европы - информация на веб-ресурсе размещена на 4 языках, осуществляет международную доставку и использует способ оплаты картой, в выбранной пользователем валюте. Компания не проводит операции на территории ЕС, но ее клиентом может быть человек с европейским гражданством. Работа такой компании адаптирована не только для локальных клиентов, но и для международных покупателей, она занимается сбором и обработкой сведений о потребителях. Следовательно, подпадает под действие GDPR и обязана придерживаться правил сбора и обработки информации.

Принципы GDPR

Регламент по защите персональных данных GDPR основан на 6 принципах, которые регулируют работу. Закреплено в статье 5 Регламента.

1. Законность и прозрачность.

Ресурс соответствует европейскому законодательству и публично уведомляет пользователя о сборе информации на сайте Политикой конфиденциальности (Privacy Policy). Обработка возможна только по соглашению пользователя.

2. Конкретные цели. 

Организация объясняет, с какой целью собирается информация, как собранные сведения будут использоваться в дальнейшем.  

3. Минимум сведений. 

Сбор и обработка персональных данных производится только для коммерческой деятельности и заявленных целей компании. 

4. Точные и обновленные данные.

Принцип гарантирует правдивость данных. Компания обеспечивает удаление и исправление некорректной информации. 

5. Ограниченные сроки хранения. 

Продолжительность хранения информации соответствует времени выполнения задачи. Как только цель достигнута, информация удаляется. 

6. Конфиденциальность и безопасность. 

Компания защищает данные от незаконной обработки и случайной потери. Если произошла утечка, клиент уведомляется об этом в 3-дневный срок.

Ответственность

GDPR ввел четкое разграничение видов наказаний и штрафных санкций за нарушение правил обработки и хранения персональных данных. Статья 83 Регламента GDPR. 

Сумма штрафа зависит от нанесенного ущерба, числа пострадавших, степени виновности компании. Отдельно рассматривается вопрос умышленности или неосторожности. 

В каких случаях применяется штраф до 2% годового оборота или до 10 млн евро: 

1. Обработка данных ребенка, который не достиг возраста 16 лет. Такая обработка законна, если согласие дал родитель или лицо, обладающее родительскими правами, или с его одобрения (статья 8 GDPR). 

2. Обработка и хранение сведений, которые не требуются для идентификации пользователя (статья 11 GDPR).

3. Нарушение технического шифрования информации (статья 25 Регламента). 

4. Отсутствие соглашения между контроллерами персональных данных (статья 26 GDPR). 

5. Отсутствие представителя DPO в ЕС для компаний, которые занимаются регулярной обработкой Big Data европейцев (статья 27 GDPR). 

6. При нарушении процедуры обработки данных разработчиками компании получателя конфиденциальной информации (статьи 28 и 29 GDPR).

7. Отсутствие Политики обработки, которая содержит контактную информацию ресурса, описание категорий персональных данных, цель обработки, сведения о возможной передаче информации третьим лицам, планируемую дату удаления, сведения об организационных и технических мерах безопасности (статья 30 Регламента).

8. Отказ контролёра, процессора либо представителя от сотрудничества с надзорным органом (статья 31 GDPR). 

9. Нарушение организационных мер безопасности по обработке и сбору информации (статья 32 Регламента):

     а. конфиденциальность, целостность, доступность сервисов, которые обрабатывают данные;

     б. техническое шифрование конфиденциальных данных;

     в. доступ к персональной информации, если возникает технический или физический инцидент;

     г. тестирование и оценка мероприятий, которые обеспечивают безопасность процесса обработки информации. 

10. Неуведомление надзорного органа о нарушении безопасности персональных сведений. Контролёр должен поставить в известность об этом надзорный орган не позднее 3 суток после выявления нарушения (статья 33 GDPR). 

11. Неуведомление пользователя о нарушении правил безопасности конфиденциальной информации (статья 34 GDPR).

12. Отсутствие оценки риска потери данных, Gap Assessment (статья 35 Регламента). 

13. Контролёр должен уведомить, если обработка данных может стать причиной возникновения риска для нарушения прав физических лиц. Перед обработкой данных он должен проконсультироваться с надзорным органом (статья 35, статья 36 GDPR).

14. Контролёр и процессор обязаны назначить инспектора, ответственного за защиту конфиденциальной информации и оказывать ему поддержку (статьи 37, 38, 39 Регламента).

15. Отсутствие механизмов сертификации защиты сведений при обработке, а также печатей и маркировочных знаков (статья 42 GDPR).

В каких случаях применяется штраф до 4% годового оборота или до 20 млн евро:

1. Нарушение принципов, по которым осуществляются сбор и обработка конфиденциальной информации (статья 5, статья 6 Регламента GDPR). Нарушение условий, по которым пользователь дал согласие на сбор информации. Контролёр должен предоставить контролирующим органам подтвержденное согласие пользователей в Политике конфиденциальности (статья 7 GDPR).

2. Обработка конфиденциальной информации об этнической или расовой принадлежности, политических взглядах, философских или религиозных убеждениях, членстве в профсоюзах, биометрических или генетических данных, сведений, касающихся половой жизни или здоровья (статья 9 Регламента).

3. Нарушения в Политике конфиденциальности: обработчик должен указывать контактную информацию, цель обработки, юридическое обоснование, информацию о передаче данных третьим лицам (статья 13 GDPR). 

4. Нарушение доступа пользователя к данным. Пользователь имеет право знать, какая информация собрана, сроки ее хранения, получателя и обработчика, цели сбора. Должны быть обеспечены права: на подачу жалобы и получение копии информации; на исправление и удаление; на возражение против обработки на основании личных причин; на передачу данных другому контролёру (статьи 15-22 Регламента).

5. Передача конфиденциальной информации в третьи страны, которые признаны Еврокомиссией непригодными к хранению информации граждан ЕС (статья 45 GDPR).

6. Нарушение передачи данных третьей стране. Договор о хранении, защите и неразглашении информации, сертифицированный механизм защиты и обработки данных (статья 46 GDPR).

Помимо экономических факторов будет нанесен удар по репутации компании, деятельность официально будет признана непрозрачной и неискренней. Клиенты будут уведомлены о допущенных нарушениях, что приведет к потере доверия. 

Порядок передачи данных в международные организации или третьи страны

Правила GDPR распространяются на территории стран, входящих в Европейскую экономическую зону. В качестве третьих стран Регламент определяет государства, которые не входят в состав Евросоюза. Ответственность при работе третьих стран с конфиденциальной информацией распространяется на организации вне зависимости от их регистрации и местонахождения. 

Передача данных за пределы ЕС возможна только при условии соблюдения организацией Регламента GDPR:

1. На основании решения Еврокомиссии возможна передача данных в случае, если третья сторона обеспечивает должный уровень защиты сведений. Показатели необходимого уровня защиты: правомерность, соблюдение прав и свобод человека, наличие надзорного органа, контролирующего защиту данных, международные обязательства. После проверки уровня защиты, обеспечиваемого третьей страной, Еврокомиссия разрешает передачу и обработку, предусматривает механизм проверки защиты информации каждые 4 года (статья 45 Регламента GDPR). 

2. При передаче персональных данных в некоторые страны не требуется дополнительное разрешение. Перечень: Швейцария, Андорра, Новая Зеландия, Аргентина, Израиль, Уругвай, Япония, Джерси, Фарерские острова, Гернси, Канада, остров Мэн, частично Соединенные Штаты Америки (уровни защиты отображены на карте).

3. Передача конфиденциальной информации в международные организации или третьи страны на основании гарантии контролёра или процессора. Например: если филиалы одной компании расположены и в стране ЕС, и в третьей стране, и данные обрабатываются в двух странах (список гарантий и требований).

Украины нет в списке стран с достаточным уровнем защиты, поэтому передача данных возможна только тем организациям и компаниям, которые пройдут проверку Европейской комиссии на основании достаточности защиты (требования описаны в статье 45 Регламента). Также передача допускается в случае, если филиал компании находится в Европе и дает гарантии сохранности данных при обработке третьей страной. 

Рекомендации IT-юристов

Чтобы соблюдать правила использования персональных данных граждан Евросоюза, компания должна выполнить следующие условия: 

1. Открыто заявляйте об информации, которую собираете при посещении сайта пользователем;

2. Собирайте сведения исключительно по личному согласию пользователя. Если цели или способы сбора информации меняются, уведомляйте пользователей об этом;

3. Собирайте данные только с целью взаимодействия и предоставления запрашиваемых услуг клиенту;

4. Храните собранную информацию в личном аккаунте пользователя;

5. Предоставьте пользователю доступ к аккаунту, возможность просматривать, вносить изменения либо удалять информацию;

6. Храните личную и пользовательскую информацию только на протяжении использования сервиса клиентом;

7. Шифруйте платежные сведения в соответствии с сертификатами безопасности;

8. Не устраивайте «холодных» рассылок и не приобретайте базы e-mail адресов;

9. Предоставляйте возможность отписаться от рассылок и других типов оповещений;

10. Гарантируйте сохранность информации; 

11. Не запрашивайте дополнительную информацию, которая не требуется для идентификации;

12. Не передавайте сведения третьим лицам.

Выполнение этих требований обеспечивает соблюдение принципов GDPR, законную и честную работу, гарантирует конфиденциальность и безопасность клиенту. 

Главное требование GDPR: Политика конфиденциальности

Подводя итоги статьи, дадим ответ на основной вопрос. Для того чтобы соответствовать правилам GDPR, необходимо разместить на веб-ресурсе, который собирает информацию о пользователях, Политику конфиденциальности. 

Политика публикуется на первой странице сайта, так, чтобы с условиями ознакомились еще до регистрации. На сайте создается специальная форма, заполнив которую, пользователь дает согласие на сбор и обработку личных данных. Информация о том, на что соглашается пользователь, должна быть доступна и написана без юридических штампов, чтобы каждый человек понимал условия использования ресурса и свои права.

Политика конфиденциальности — это правила хранения и использования персональной информации, которую собирает компания или организация. Единого шаблона написания политики нет, она пишется под каждый сайт компании или приложение, учитывая особенности и цели продукта, бизнес-процессы, внутренние принципы безопасности. 

Перечень данных, которые необходимо указать в политике конфиденциальности:

• основание и цель сбора персональной информации;
• список данных, которые обрабатываются и источники, включая Cookies;
• информация о компании или организации, которая обрабатывает данные (наименование компании, адрес, контакты);
• сведения о третьих лицах, которым доступна информация;
• сроки хранения, способы изменить либо удалить личные данные;
• меры и способы защиты получаемых сведений. 

Главное требование GDPR: Политика конфиденциальности

В соответствии с требованиями правил GDPR ключевая роль отводится Политике конфиденциальности, которая должна быть размещена на веб-ресурсах, собирающих данные - на первой странице, так, чтобы с ней можно было ознакомиться еще до регистрации. Желательно наличие на сайте специальной формы, заполнив которую, пользователь дает согласие на сбор личных данных.

Хотя единого шаблона не существует, в ней обязательно должны быть изложены некоторые моменты:

• перечень обрабатываемых данных и их источники (включая Cookies); 
• основание и цель сбора персональных данных;
• наименование компании, адрес, контактные данные;
• информация о том, кто обрабатывает личные данные;
• сведения о третьих лицах, у которых есть доступ к информации;
• сроки хранения персональных данных;
• меры, предпринимаемые для защиты получаемых сведений.  

Политики конфиденциальности нельзя недооценивать, за сбор и тем более несанкционированную передачу конфиденциальных сведений третьим лицам, владельцы, в соответствии с правилами GDPR, несут административную, материальную и репутационную ответственность. Поэтому в Политике конфиденциальности необходимо указать, какие меры принимаются во избежание утечки информации. 

За наличие и содержание Политики конфиденциальности отвечает владелец сайта, поэтому не стоит копировать ее с других ресурсов, а лучше составить в индивидуальном порядке, предварительно проконсультировавшись с юристами.