25 мая 2018 года в силу вступил новый регламент Европейского парламента, касающийся защиты персональных данных (ПД) граждан ЕС – General Data Protection Regulation (GDPR). Особенность документа заключается в том, что его действие не лимитировано рамками Европейского союза. Новый регламент требует надежно защищать персональные данные граждан ЕС без привязки к стране, на территории которой они хранятся.
Это говорит о том, что Украина напрямую не попадает под действие законодательства ЕС, но если в вашей базе найдется хоть один европеец, то соблюдать новые правила придется. Что конкретно стоит за аббревиатурой GDPR и как это отразится на украинских предпринимателях, рассмотрим ниже.
Что предписывает регламент GDPR и на кого он распространяется?
Основа электронного маркетинга – анализ больших объемов данных о потребителях. Чтобы отследить предпочтения пользователей, сайты сохраняют файлы cookie, социальные сети распознают лица на фотографиях, а посты предлагают на основе прошлых просмотров, операторы сотовой связи ведут учет звонков и записывают телефонные разговоры и пр. Благодаря сбору такой информации удается создавать релевантные предложения и получать высокую отдачу. Однако обработка должна осуществляться законно.
Что касается украинских предпринимателей, то GDPR распространяется на три класса организаций:
зарегистрированные на территории Европейского союза компании, которые могут обрабатывать персональные данные европейцев, независимо от расположения головного офиса;
компании, которые осуществляют мониторинг виртуальных действий граждан ЕС (дата-центры). Их деятельность заключается в изучении поведения пользователей в Интернете, обработке персональных данных с целью прогнозирования потребительских вкусов и пр.;
и, наконец, есть еще самая большая группа компаний, основанных не в ЕС, но которые также имеют отношение к обработке персональных данных граждан Евросоюза в рамках реализации товаров и услуг. В своем большинстве это интернет-магазины, которые напрямую продают свои товары европейцам в мультилингва-формате, принимающие евро в качестве оплаты, с веб-сайтами с доменами верхнего уровня государств-членов ЕС. Кроме того, под действие GDPR попадают онлайн-сервисы, которые предоставляют услуги доставки в страны ЕС, а также использующие таргетированную рекламу, направленную на их граждан.
Украинские предприниматели должны понять, что регламент применяется не только к тем компаниям, которые были учреждены на территории Евросоюза, но и к тем, кто просто работает на европейском рынке. При этом GDPR не вынуждает организации внедрять какие-либо конкретные методы защиты данных. Каждая компания вправе выбирать их самостоятельно. Главное, чтобы при этом был обеспечен конечный результат – надежная защита персональных данных граждан Евросоюза.
Особенности обработки персональных данных согласно регламенту GDPR
Основные принципы обработки данных в соответствии с GDPR таковы:
обработка персональных данных должна осуществляться на законных основаниях, справедливо и прозрачно. Компании должны максимально просто и доступно информировать пользователей о методах, целях и объемах обрабатываемых данных;
информация о пользователях должна собираться и использоваться только в заявленных компанией целях;
запрещено собирать персональные данные в объеме, превышающем необходимый для целей обработки;
пользователь имеет право потребовать исправить или удалить неточные данные о себе;
хранить любые данные допускается только на тот срок и в том формате, которые позволяют идентифицировать человека в заявленных целях обработки;
компания, которая осуществляет обработку персональных данных, обязана гарантировать их защиту от незаконного или несанкционированного доступа, а также повреждения или уничтожения.
Что касается согласия пользователя на обработку персональных данных, то оно должно быть выражено в форме утверждения или четких активных действий. Если пользователь не имеет возможности отозвать свое согласие без ущерба для себя, то оно будет считаться недействительным. Особого внимания требует получение согласия на обработку персональных данных ребенка, которое должно быть авторизовано родителями или другими законными представителями. Определение данной возрастной категории зависит от государства ЕС (до 13-16 лет).
Изменения касаются и сроков выявления нарушений. Если они были обнаружены компанией, то об этом необходимо сообщить в течение 72 часов регулирующим органам. При задержках подачи сведений или попытках скрыть факт утечки информации штрафные санкции неизбежны.
Что дает GDPR пользователям?
Получив расширенные права в рамках GDPR, граждане, а также резиденты ЕС имеют возможность:
запрашивать подтверждение факта обработки их персональных данных;
получать информацию о периоде, месте и цели сбора информации, а также о ее категории;
получать сведения о третьих сторонах, которым предоставляются персональные данные;
уточнять источник и требовать вносить правки или прекращать обработку данных.
Одно из новшеств GDPR – получение пользователями права на перенос личных данных. В соответствии с регламентом, компания по запросу пользователя обязана бесплатно передать его личные данные другой организации. Так, например, пользователь может передать свои предпочтения покупок, историю своих запросов и другую информацию.
Что делать украинским предпринимателям после принятия регламента GDPR?
Конечно же, один из самых насущных вопросов о GDPR касается того, какие штрафы и санкции предусмотрены за нарушение принятого регламента. Многие пользователи готовились к этому моменту всерьез, поэтому после 25 мая 2018 года на ряд крупнейших мировых компаний обрушился шквал судебных исков на миллионы евро. Как считает адвокат United Lex Джейсон Стрэйт (Jason Straight), полностью соответствует новым требованиям GDPR лишь незначительная часть даже европейских организаций.
Ведь, как правило, компании извлекают максимум информации о пользователях для последующего возможного (!) анализа. А это значит, что в рамках GDPR придется удалить лишние данные, оставив лишь те, которые будут необходимы для решения текущих задач. Но самое главное, что может привести к серьезным проблемам, это право пользователей из ЕС на запросы доступа к персональным данным для удаления, исправления или переноса информации в любом удобном формате. При этом данные могут храниться на разных серверах и в различных форматах. Это говорит о том, что для эффективной обработки запросов придется создавать внутреннюю инфраструктуру.
Кроме того, персональные данные – достаточно абстрактная категория. Если с именами, электронной почтой, номерами телефонов и геоданными все понятно, то остаются еще двусмысленные данные в виде непрямых отсылок, которые также должна будет предоставить компания. Это говорит о том, что переход на GDPR – болезненная процедура даже для многих европейских предприятий, где изначально существовали достаточно жесткие законы о неприкосновенности частной жизни. В Украине же ситуация складывается по-другому. И если ваш бизнес так или иначе связан с гражданами Евросоюза, то стоит предпринять меры, чтобы не попасть под удар:
проведите анализ деятельности компании и выясните, имеет ли она отношение к персональным данным граждан ЕС. Если такое пересечение имеется, то стоит в обязательном порядке оценить риски. Если же ведется непосредственный сбор и контроль данных – увеличьте свою ответственность в разы. Вам придется либо привести свою деятельность в соответствие с GDPR или же прекратить ее на территории ЕС;
проведите диагностику процесса сбора, обработки и хранения персональных данных;
пересмотрите существующее согласие на обработку персональных данных, а также процедуру его получения и регистрации;
проанализируйте наличие процедур выявления нарушений и их расследования;
оцените возможные риски при передаче персональных данных третьим лицам;
определите необходимость назначения комиссара по вопросам защиты персональных данных и представителя компании в ЕС (прямое требование GDPR).
Помимо решения технических и юридических вопросов, важно также повышать осведомленность в данном вопросе среди сотрудников своей компании. Не стоит недооценивать риски и потенциальный урон от штрафов (они могут достигать €20 млн или 4% годового дохода), которые может получить компания за нарушение регламента GDPR.