Все пользователи почтовых сервисов от компании Google недавно получили важное системное сообщение, в котором идет речь об изменении политики конфиденциальности. С чего вдруг?

25 мая в Евросоюзе вступает в силу Генеральный регламент, принятый Европарламентом еще в 2016 году под названием General Data Protection Regulation (GDPR; 2016/679). У компаний было два года на приведение своей деятельности в соответствие с новой нормой.

Вступление Регламента в силу уже вызвало существенный резонанс. Несоответствие его требованиям сулит штрафы - до 4% годового оборота компаний или 20 млн евро, а применяется Регламент не только к компаниям из ЕС, но и к зарубежным фирмам, если они обрабатывают персональные данные физических лиц, находящихся в ЕС.

До принятия Регламента, с 1996 года в ЕС действовала Директива по защите персональных данных. Она была эффективна более 20 лет назад, сегодня ее положения далеки от цифровой реальности. В Евросоюзе решили разработать новый механизм защиты персональных данных, который нашел свое воплощение в GDPR.

Поясню, почему эти нововведения важны для украинского бизнеса. Регламент касается абсолютно всех компаний, которые так или иначе обрабатывают данные лиц, находящихся в ЕС. Кто это может быть?

1. Компании, которые поставляют свои товары либо услуги физическим лицам на территории ЕС. Например, онлайн-магазины, туроператоры, транспортные компании, которые находятся в Украине и обрабатывают данные резидентов ЕС.

2. Компании, которые проводят маркетинговые исследования, охватывающие потребителей из ЕС.

3. Компании, которые в процессе своей деятельности получают доступ к персональным данным субъектов в ЕС. Это могут быть любые украинские компании, которые, например, имеют доступ к данным сотрудников из ЕС. Этот пункт в Регламенте прямо не предусматривается, но следует из других его положений.

Введение экстерриториального принципа действия Регламента объясняется тем, что иначе невозможно защитить персональные данные физлиц, которые находятся на территории ЕС.

Теперь разберемся более детально, что же изменил Регламент в сфере сбора и обработки персональных данных.

Стоит обратить внимание на следующие нововведения.

1. Расширяется перечень персональных данных.

Персональные данные - это информация, на основании которой идентифицируется либо потенциально может быть идентифицирован человек. Таковыми могут быть имя, фамилия, адрес, паспортные данные, идентификационный код и пр. Регламент дополняет перечень, установленный Директивой, называя персональными данными также данные о местонахождении, онлайн-идентификаторы (IP-адреса, cookies).

2. Расширяются права физических лиц – субъектов персональных данных.

Основные права субъектов персональных данных (например, право доступа к данным о себе или право требовать прекращения обработки персональных данных) были предусмотрены еще Директивой. Регламент ввел, к примеру, такие права, как право на перенос данных (right of data portability). Благодаря ему субъект персональных данных может попросить передать свои персональные данные из одной организации в другую, например, при смене медицинского учреждения, в котором он обслуживается.

Регламент также вводит новое право - право быть забытым (right to be forgotten), что дает возможность субъекту требовать удаления данных о себе из всех баз данных компании. Важно отметить, что такое право не абсолютно и применяется только в прямо установленных случаях. Например, если обработка осуществляется по требованию закона, субъект не может реализовать свое право на забвение.

3. Появляются новые обязательства для компаний, которые собирают и обрабатывают персональные данные. Во-первых, компании по запросу ответственного регулятора должны доказать законность обработки данных. Во-вторых, они обязаны нести обязательство по защите персональных данных по умолчанию (by design and by default). А именно: компании поощряются к принятию технических и организационных мер на самых ранних этапах разработки процессов обработки таким образом, чтобы с самого начала защищать принципы конфиденциальности и защиты данных, такие как шифрование, анонимизация, токенизация. В-третьих, для компаний - нерезидентов ЕС появляется обязанность по назначению представителя в ЕС. Такой представитель является контактным лицом компании в ЕС по всем вопросам, возникающим в процессе обработки персональных данных. В-четвертых, для всех компаний, которые занимаются обработкой данных со специальным режимом – sensitive data (например, данных о здоровье) либо обработкой значительных объемов персональных данных, устанавливается обязанность назначить ответственного по защите персональных данных (Data Protection Officer).

4. Регламент детализирует, каким должно быть согласие на обработку персональных данных. Если Директива допускала возможность полагаться на неявное согласие в некоторых обстоятельствах, то Регламент устанавливает, что согласие должно быть дано четким утвердительным действием, означающим однозначное согласие субъекта на обработку персональных данных. Например, уведомление на сайте о том, что, пользуясь этим сайтом, посетитель автоматически дает согласие на сбор и обработку его персональных данных, не является согласием физического лица. Согласие должно быть выражено в активном действии, к примеру, письменным заявлением, в том числе электронным способом, или устно.

5. Отдельно описаны меры, которые обязан предпринять бизнес в случае утери либо несанкционированного доступа к персональным данным. Так, компания обязана уведомить контролирующий орган в течение 72 часов после инцидента, а в случаях, когда утечка данных является существенной, – проинформировать и физическое лицо, в отношении персональных данных которого произошел инцидент.

6. Расширение территории действия Регламента за пределы ЕС и введение нового режима штрафов, которые будут достигать 20 млн евро, или 4% от годового оборота всей группы, в которую входит компания.

Регламент устанавливает целый комплекс мер: технических, юридических, организационных. Для того чтобы соответствовать требованиям Регламента, недостаточно всего лишь обновить политики или внести правки в договоры с контрагентами.

Ведь для обработки персональных данных самым важнейшимм звеном является безопасность систем, в рамках которых происходят все процессы с персональными данными.

Среди технических аспектов, на которые стоит обратить внимание с целью соответствия требованиям GDPR, мы можем выделить два принципиальных момента. Первый состоит в том, что системы, в которых собираются и хранятся данные, должны обеспечить максимальную конфиденциальность и защиту от несанкционированных доступов. В системах должно использоваться шифрование. Второй предусматривает наличие технических решений по отношению к пользовательским интерфейсам, позволяющим реализовать права субъекта персональных данных и обязанности контроллера.

Важным также является тот факт, что обязанность доказать соответствие деятельности компании требованиям GDPR лежит на компании.

Подводя итоги, можно с уверенностью сказать, что сегодня никто не знает точно, как будет реализовываться GDPR, какие споры возникнут в процессе и какие разъяснения будут даны по каждому случаю. Но нужно четко понимать: к запуску GDPR должны быть готовы максимально все компании и государство.

Виктория Свиридова, менеджер юридической группы налогово-юридического департамента Делойт в Украине