Распечатать
Оценить статью
(Голосов: 13, Рейтинг: 4.69)
 (13 голосов)
Поделиться статьей
Алексей Балашов

Эксперт ЦИПИ

25 мая 2018 г. в Евросоюзе вступает в силу новый регламент по защите данных — General Data Protection Regulation (GDPR), который заменит собой старую Директиву от 1995 г. Это произведет революцию в области работы с данными и защиты персональных данных. Новый документ касается защиты персональных данных как граждан стран Европейского союза, так и граждан других стран, чьи данные обрабатываются на территории ЕС. Однако, учитывая общую цифровизацию общества, экстерриториальность GDPR и то, что бизнес с Европейским союзом ведут почти все страны мира, регламент так или иначе коснется очень многих.

Новый регламент ЕС значительно сильнее акцентирует внимание на защите прав субъекта персональных данных и расширяет возможности для управления личными данными. Игнорировать GDPR не получится ни у кого. Ни одна, даже самая маленькая компания, ничего не продающая в ЕС, не может быть уверена в том, что у одного из ее клиентов не окажется второго гражданства.

В статье приведены рекомендации, как подготовиться организациям и владельцам информационных ресурсов и сервисов в странах ЕАЭС к введению регламента. Во-первых, уже сейчас менять форму согласия на обработку персональных данных на свих сайтах. Во-вторых, оптимизировать сбор и обработку данных, оставив лишь действительно необходимое. В-третьих, провести ревизию договоров с европейскими контрагентами. В-четвертых, назначить официального представителя по защите персональных данных в ЕС или хотя бы выделить ответственного за это внутри компании.


25 мая 2018 г. в Евросоюзе вступает в силу новый регламент по защите данных — GDPR (General Data Protection Regulation), который заменит собой старую Директиву от 1995 г. Это произведет революцию в области работы с данными и защиты персональных данных.

Компаниям стран ЕАЭС стоит уже сейчас внимательно изучить требования нового европейского регламента, поскольку последствия в случае их нарушения серьезные.

Новый документ касается защиты персональных данных как граждан стран Европейского союза, так и граждан других стран, чьи данные обрабатываются на территории ЕС. Однако, учитывая общую цифровизацию общества, экстерриториальность GDPR и то, что бизнес с Европейским союзом ведут почти все страны мира, регламент так или иначе коснется очень многих.

Например, под действие нового регламента обязательно попадут энергетические и финансовые компании, операторы связи и сервисы бронирования, интернет-магазины и социальные сети. То есть все компании, имеющие отношения с гражданами стран ЕС и обрабатывающие их персональные данные. Если же компания имеет свою «дочку» в Европе, никаких поблажек ей ждать точно не придется.

Все галочки по умолчанию, получение согласия путем бездействия будут восприниматься как однозначное нарушение регламента.

И хотя в ноябре на VIII Международной конференции «Защита персональных данных» руководитель Роскомнадзора А. Жаров заявил, что требования GDPR не будут распространяться на российских операторов, осуществляющих деятельность на территории России, поскольку Россия не является участницей международных договоров с ЕС, Евразийскому экономическому союзу невозможно остаться в стороне от мировых тенденций в области защиты данных. Новый европейский регламент, несомненно, представляет собой самое прогрессивное и человекоориентированное законодательство в этой сфере. Сейчас в этом же направлении движутся китайские законодатели, гармонизируя свои нормы с европейскими. Странам ЕАЭС по отдельности и Союзу в целом не следует оставаться в стороне от мировых тенденций.

Таким образом, компаниям стран ЕАЭС стоит уже сейчас внимательно изучить требования нового европейского регламента, поскольку последствия в случае их нарушения серьезные: 20 млн долл. или 4% годового оборота компании.

Что нового вводит регламент

debaas5.jpg
itgovernance.co.uk

GDPR устанавливает следующие общие принципы при обработке персональных данных:

  • Законность, справедливость и прозрачность. Вся информация о сборе и обработке данных должна быть изложена максимально доступно и просто;
  • Целевой сбор данных. Данные должны быть использованы только с первоначально заявленной целью. Исключение составляют архивы, научные и исторические исследования, статистика, а также сбор данных в интересах общества;
  • Минимизация данных. Запрещено собирать избыточные для заявленных целей данные;
  • Точность. Неточные данные должны своевременно обновляться или же удаляться без задержек;
  • Ограничения хранения данных. Данные должны храниться в форме, не позволяющей идентифицировать пользователя после завершения срока, необходимого для первоначально озвученных целей;
  • Целостность и конфиденциальность. Оператор персональных данных обязан обеспечить надежную защиту от незаконной обработки, уничтожения и повреждения персональных данных.

Предлагая услуги на местных языках жителей ЕС, принимая оплату за них в евро, швейцарских франках, чешских кронах, польских злотых, предоставляя услуги на национальных доменах верхнего уровня стран ЕС, компания автоматически попадает под действия GDPR, поскольку, по логике Еврокомиссии, очевидно, работает с жителями Евросоюза.

Новый регламент ЕС значительно сильнее акцентирует внимание на защите прав субъекта персональных данных и расширяет возможности для управления личными данными.

Важно, что GDPR касается не только собранных персональных данных, но и мониторинга поведенческой активности субъекта данных (например, профилей в социальных сетях, геолокации и т.д.) для таргетирования и персонализации рекламы. Да и сам термин «персональные данные» расписан в регламенте подробнее. Теперь к личным данным пользователя однозначно отнесены IP-адреса, по принадлежности которых в российской правоприменительной практике существуют разногласия.

При этом новый европейский регламент различает понятия контролера данных (data controller) и процессора данных (data processor). Первый как руководитель процесса несет большую ответственность, чем второй как исполнитель (облачное хранилище, программа обработки).

Что нужно учитывать уже сейчас?

Что важно уже сейчас учитывать компаниям ЕАЭС при работе с персональными данными граждан стран ЕС? Например, то, что теперь об утечке данных в течение 72 часов необходимо уведомлять регулирующие органы (в ЕС создан новый единый регулятор — European Data Protection Board, EDPB). Но самое главное — теперь для сбора данных необходимо активное согласие пользователя. Это значит, что все галочки по умолчанию, получение согласия путем бездействия будут восприниматься как однозначное нарушение регламента.

debaas5.jpg
trustarc.com

Кроме того, GDPR вводит требование введения ответственного за защиту персональных данных в компаниях, регулярно и систематически собирающих и обрабатывающих персональные данные. И хотя в большинстве организаций ответственными могут стать прошедшие необходимую подготовку кадровики, в крупных компаниях рекомендуется привлечь узких специалистов по защите персональных данных.

В целом же новый регламент ЕС значительно сильнее акцентирует внимание на защите прав субъекта персональных данных и расширяет возможности для управления личными данными (запрашивать место и цель обработки, факты передачи третьим лицам, исправление и немедленное удаление информации).

Игнорировать GDPR не получится ни у кого. Ни одна, даже самая маленькая компания, ничего не продающая в ЕС, не может быть уверена в том, что у одного из ее клиентов не окажется второго гражданства — одной из европейских стран. Пока что санкции в этом случае наступят лишь в случае расширения бизнеса и его выхода на европейский рынок. Однако после складывания правоприменительной практики по GDPR, после ожидаемых переговоров между EDPB и национальными регуляторами за пределами ЕС, нарушение вроде бы чуждых европейских норм неизбежно обернется проблемами.

Однако есть и хорошие новости для бизнеса: принцип переносимости данных. Теперь при смене поставщика услуги клиент имеет право потребовать перенести собранные и обработанные данные новому контрагенту. На практике это означает нивелирование преимущества интернет-гигантов, которого они достигли за счет имеющихся баз и накопленных петабайтах информации о пользователях.

Новый регламент может вызвать поддержку в части защиты прав человека, возможности управлять своими данными и т. д. Но применение такого серьезного и строгого документа на практике пока вызывает много вопросов. Самый сложный из которых — блокчейн. Как будет работать GDPR в случае с распределенным реестром, пока совсем непонятно.

Игнорировать GDPR не получится ни у кого. Ни одна, даже самая маленькая компания, ничего не продающая в ЕС, не может быть уверена в том, что у одного из ее клиентов не окажется второго гражданства.

Пока правоприменение нового регламента будет уточняться созданной Рабочей группой по защите физических лиц при обработке персональных данных (Data Protection Working Party, WP29), а Европейский суд справедливости (European Court of Justice) создаст прецеденты и выработает практику решений по инцидентам. ЕАЭС же следует начать готовиться к введению новых правил ведения бизнеса в ЕС уже сейчас.

Как подготовиться странам ЕАЭС?

Что можно порекомендовать компаниям?

Во-первых, уже сейчас менять форму согласия на обработку персональных данных на свих сайтах. Во-вторых, оптимизировать сбор и обработку данных, оставив лишь действительно необходимое. Иными словами, меньше собирать. В-третьих, провести ревизию договоров с европейскими контрагентами. В-четвертых, назначить официального представителя по защите персональных данных в ЕС или хотя бы выделить ответственного за это внутри компании.

Применение такого серьезного и строгого документа на практике пока вызывает много вопросов.

Что касается регуляторов стран — членов ЕАЭС и Департамента информационных технологий ЕЭК, то в преддверии переговоров по соблюдении норм GDPR с ЕЭК, следует подготовиться к разрешению спорных вопросов, касающихся применимости нового регламента в тех или иных случаях.

В среднесрочной же перспективе у профильного департамента ЕЭК появилась возможность взять инициативу в свои руки и перехватить повестку. Нормы защиты персональных данных субъектов будут, несомненно, двигаться в сторону большего соблюдения прав пользователей, неприкосновенности личных данных и права на управление ими. То есть по пути, столь четко обозначенному в GDPR. Уже сегодня рабочая группа, состоящая из представителей регуляторов стран — членов ЕАЭС должна на площадке ЕЭК вести разработку новых норм по защите данных, гармонизированных как внутри ЕАЭС, так и с GDPR. Это не только упростит ведение бизнеса, сняв двойное обременение (которое наступит с 25 мая), но и позволит ЕАЭС не отставать в сфере защиты прав личности в столь быстро меняющемся мире.

Оценить статью
(Голосов: 13, Рейтинг: 4.69)
 (13 голосов)
Поделиться статьей

Прошедший опрос

  1. Какие угрозы для окружающей среды, на ваш взгляд, являются наиболее важными для России сегодня? Отметьте не более трех пунктов
    Увеличение количества мусора  
     228 (66.67%)
    Вырубка лесов  
     214 (62.57%)
    Загрязнение воды  
     186 (54.39%)
    Загрязнение воздуха  
     153 (44.74%)
    Проблема захоронения ядерных отходов  
     106 (30.99%)
    Истощение полезных ископаемых  
     90 (26.32%)
    Глобальное потепление  
     83 (24.27%)
    Сокращение биоразнообразия  
     77 (22.51%)
    Звуковое загрязнение  
     25 (7.31%)
Бизнесу
Исследователям
Учащимся