Как в России действует регламент по защите данных GDPR

GDPR и 152-ФЗ: точки соприкосновения и основные отличия

Регламент по защите данных GDPR во многом схож со 152-ФЗ. Нормативы похоже определяют персональные данные (ПДн), процесс обработки и принципы этой самой обработки. Есть сходства и по основным наборам требований к операторам (контроллерам и процессорам данных в GDPR). Основное, чем GDPR отличается от 152-ФЗ:

• Действуют особые правила получения согласия от лиц младше 16 лет.
• Согласно Регламенту не субъект имеет право запросить информацию по своим ПДн, а организация обязана предоставить информацию об обработке персональных данных в момент ее получения.
• Субъект ПДн имеет право на перенос своих данных к любой другой организации.
• За нарушение требований к хранению и обработке ПДн по регламенту накладываются штрафы в размере до 4% оборота (это ждет и российские компании по 152-ФЗ). Правда, с учетом санкций здесь есть сложности, учитывая обоюдный запрет на транзакции.
• Компании обязаны сообщить об утечке ПДн и в надзорный орган, и уведомить потерпевшую сторону (у нас уведомлять об утечке нужно РКН и ГосСОПКА).

Детально о требованиях регламента по защите данных GDPR

Регламент причисляет к персональным данным онлайн-идентификаторы и их комбинации. А это обширный перечень сведений, начиная от IP-адреса и заканчивая RFID. Следуя логике, к онлайн-идентификаторам GDPR относит и cookie, а это значит, что под действие регламента подпадают:

• таргетированная реклама, ориентированная на пользователей Европейского Союза,
• картографические сервисы и мобильные приложения, которые используют данные геолокации граждан ЕС для маркетинговых целей,
• статистические изыскания, опросы и любые другие поведенческие онлайн-исследования.

Также под действие требований GDPR подпадает бизнес, у которого:

• Товары и услуги предназначены для субъектов ПДн в ЕС. Достаточно даже намерения о сделке, о чем свидетельствует версия сайта на языке одной из стран Европейского Союза и возможность оплаты услуг/товаров в одной из национальных валют,
• Торговые, имиджевые, продуктовые рекламные кампании, ориентированы на пользователей стран Европейского Союза,
• Есть второй домен .com или eu, подтверждающий заинтересованность бизнеса в работе с аудиторией Еврозоны,
• Налажены трансграничные банковские переводы, оказываются туристические услуги на территории ЕС или для ее граждан, развиваются логистические цепочки и пр.,
• На сайте есть отдельные блоки или страницы с информацией для лиц из Европейского Союза,
• На сайте можно найти упоминание клиентов из стран EEA (European Economic Area) в портфолио, отзывах или блоке социальных доказательств,
• Есть предложения услуг по доставке товаров в страны Еврозоны.

Отдельное требование регламента по защите данных GDPR — назначение DPO или Data Protection Officer. Это не специалист по информационной безопасности и не юрист. Это совершенно новая роль: на уровне компании соблюдать права субъектов ПДн.

Еще одна особенность — к специальным ПДн GDPR относит те же данные, что и 152-ФЗ, за исключением информации о судимости и преступлениях. Здесь они вынесены в обособленную категорию.

Отдельные примеры действия GDPR в России

Допустим, гипотетический интернет-магазин товаров hand made продает украшения и предлагает доставку товаров по всему миру. На этапе оформления заказа нужно выбрать страну, в том числе и одну из стран ЕС, указать телефон, адрес, ФИО и другие данные клиента для отправки товара. Эти данные магазин (контролер) передает потом службе доставки (обработчику). Так вот, при отправлениях покупателям из стран ЕС, интернет-магазин становится контролером персональных данных и должен обращаться с ними в соответствии с требованиями GDPR.

Российское игровое приложение запрашивает у игроков данные по геолокации. В данном случае данные по геолокации будут считаться персональными данными, тем более, если приложение скачает гражданин Латвии или гражданин России начнет использовать его на территории ЕС. Исключение — если приложение изначально блокирует пользователей из Евросоюза по IP-адресам, а в Политике обработки ПДн явно сказано, что сервис не намерен обрабатывать ПДн европейцев, только россиян, граждан СНГ и Азии.

Если сайт исключительно на русском языке, европейскому суду будет очевидно — он не для граждан ЕС и не подпадает под нормы GDPR. Если на этот же сайт добавить автоматический перевод на все языки с учетом IP, можно говорить о том, что владелец ориентируется не только на аудиторию РФ, но и в на ЕС. Значит обязан выполнять требования GDPR.

Несмотря на довольно четкие условия определения территории действия GDPR, на практике получается много неочевидных ситуаций, когда требования расширяются в связи с контекстом деятельности организации.

Как соблюсти GDPR в России

Если у компании есть практика добросовестного соблюдения требований 152-ФЗ, ей проще докрутить систему соответствия до GDPR:

• Назначить DPO соответствующим документом.
• В доступной форме проинформировать субъектов обработки данных об их правах, целях, сроках хранения ПДн, включая порядок сбора cookie-файлов  и т.д.
• Разработать, документировать и сделать доступной информацию о порядке реагирования на обращения.
• Доработать согласие на обработку данных под требования GDPR (понятный язык, конкретные цели обработки) и обособить его от других соглашений. У GDPR и 152-Ф здесь очень четкая разница: если по российскому регламенту достаточно спросить у пользователя согласен он на обработку или нет, то GDPR требует для каждой cookie дать возможность пользователю согласиться или отказаться от обработки данных.
• Закрепить форму согласия там, где пользователь совершает активное действие. Вариант «если вы продолжаете пользоваться сервисом, вы соглашаетесь с условиями....» не подходит.
• Убедиться, что ПДн проходят обработку именно так, как указано в целях.
• Организовать и документировать учет деятельности по обработке ПДн.
• Оценить и приоритизировать бизнес-процессы с точки зрения ущерба из-за возможной утечки ПДн.
• Организовать и документировать процесс уведомления надзорного органа об утечке ПДн. С этим особенно сложно: у каждой из 28 стран ЕС свой надзорный орган и под него должен быть разработан свой процесс. Хотя бы потому, что у каждого из надзорных органов своя методика расчета штрафа.
• Внедрить технические и организационные меры безопасности, включая «псевдонимизацию и шифрование ПДн, способность обеспечить конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки, а также их способность восстанавливать доступность ПДн в случае возникновения физического или технического инцидента» (ст.32 GDPR).
• Внедрить процессы тестирования, оценки и измерение эффективности технических и организационных мер по обеспечению безопасности обработки.

Что будет, если проигнорировать требования GDPR в России

За нарушение требований регламента европейские регуляторы накладывают внушительные штрафы. Правда, для взыскания такого штрафа у компании должно быть юридическое лицо в Евросоюзе. Или иностранное юридическое лицо должно владеть российским бизнесом. В последнем случае, кстати, за нарушения российского бизнеса наказание понесет его иностранный владелец.

Если же у российского бизнеса нет юридического представительства или владельца в ЕС, европейскому надзорному органу довольно сложно взыскать штраф за нарушение GDPR. Хотя здесь вместо финансовых рисков на первый план выходят репутационные и коммерческие моменты. Европейские партнеры могут отказаться от работы с нарушителем, а сайт «штрафника» может быть заблокирован на территории ЕС. Кроме того, не каждая европейская компания готова рисковать сотрудничеством с российским партнером, если он не способен следовать требованиям законодательства. Так что если рынок Европы для вас важен, придется адаптировать бизнес к GDPR.