Вплив GDPR на російських операторів персональних даних

Автор: Анастасія Заведенская, помічник аналітика, Аналітичний центр ТОВ «УЦСБ»
Рецензенти: Катерина Рубльова та Костянтин Самата, керівники напрямку, Аналітичний центр ТОВ «УЦСБ»

Компанія, що здійснює обробку персональних даних, вважається оператором. Швидше за все, у цієї компанії знають про Федеральний законі від 27.07.2006 №152-ФЗ «ПРО персональних даних» та його вимогах. А якщо у компанії є клієнти в Євросоюзі чи є бажання їх залучити? Або просто є сайт в мережі Інтернет з формами для заповнення користувачем? Тоді потрібно розуміти, що таке GDPR та його сферу дії.

Ще в 1995 році країнами Євросоюзу була прийнята Директива № 95/46/ЄС про захист прав приватних осіб при обробці персональних даних. Але все змінюється, і 25 травня 2018 року на її заміну прийшов Загальний регламент щодо захисту даних (англ. General Data Protection Regulation), прийнятий Європейським парламентом у квітні 2016 року, скорочено просто GDPR.

Застосування GDPR буде схвалено ще в трьох країнах Європейської асоціації вільної торгівлі (ЄАВТ), а точніше – в Ісландії, Ліхтенштейні, Норвегії, які не є членами ЄС. На сайті ЄАВТ (англ. EFTA) у статті про «Включення GDPR до Угоди про ЄЕЗ (англ. European Economic Area) і продовження застосування Директиви 95/46/EC» йдеться про те, що очікується прийняття GDPR Об’єднаним комітетом EEA (англ. EEA Joint Committee) і його вступ в силу в державах EEA EFTA в середині липня 2018 року. До тих пір Директива щодо захисту даних № 95/46/EC залишається застосовною в Угоді про ЄЕЗ, гарантуючи тим самим можливість безперешкодного поширення даних між державами EEA EFTA та державами – членами Євросоюзу.

До кого ж застосуємо GDPR?

Для початку потрібно зрозуміти, кому треба слідувати вимогам GDPR, а хто під його вимоги не потрапляє.

Рисунок 1 – Алгоритм визначення сфери дії GDPR

Виходячи з тексту документа, його вимоги застосовні не тільки до європейських організацій, але і до будь-яких компаній, що працюють з персональними даними громадян ЄС або осіб, які перебувають в ЄС (див. рис. 1). При цьому, не має значення місце розташування самої компанії.

Отже, якщо компанія зареєстрована в ЄС або, наприклад, у згаданих раніше Ісландії, Ліхтенштейні, Норвегії, то, незалежно від місця проведення самого процесу обробки, це однозначно GDPR.

Щоб зрозуміти надає організація послуги або товари особам, які перебувають в ЄС, буде достатньо навіть її намірів до пропозиції послуг/товарів. За GDPR намір стає очевидним, якщо на сайті компанії передбачено використання національної мови та валюти держави – члена Євросоюзу, можливе замовлення на цій мові. Чи є згадки про споживачів або користувачів, які знаходяться в Євросоюзі.

Хоча навіть якщо сайт повністю російською, і сама по собі його доступність особам ЄС не показує намірів, не можна бути впевненим на всі сто відсотків, що ніхто, перебуваючи в Євросоюзі, не скористається його послугами. Тому, рекомендується, в будь-якому випадку виконувати вимоги GDPR.

Ще одне цікаве та актуальне в контексті GDPR поняття – моніторинг. Під моніторингом у GDPR розуміється відстеження осіб в мережі Інтернет з подальшим застосуванням або потенційною можливістю застосування різних технологій обробки персональних даних для аналізу або прогнозування переваг, особистісних характеристик, особливостей поведінки. Тобто, якщо компанія приймає якісь дії по вивченню поведінки осіб, які перебувають в ЄС, в маркетингових цілях, для ведення статистики і т. д. – це і є моніторинг. Приміром, на сайті організації встановлена Яндекс Метрика, Google Analytics і т. п., значить потрібно застосовувати GDPR. Тому що, як вже говорилося, немає ніякої гарантії, що особа з ЄС не зайде на сайт, на якому застосовуються дані сервіси.

Важливо знати, що організація зобов’язана призначити собі представника в ЄС, коли виконується хоча б одна з умов:

  1. обробка відбувається постійно;
  2. обробляються у великих розмірах спеціальні категорії персональних даних;
  3. обробляються персональні дані, пов’язані з судимостями або злочинами;
  4. існує високий ризик порушення прав і свобод людини.

За GDPR спеціальні категорії персональних даних, визначені аналогічно російському законодавству. За винятком того факту, що дані про судимості і правопорушення винесені окремо, із зобов’язанням контролю їх обробки офіційним органом або за дозволом законодавством держави.

Представником може стати фізична або юридична особа, яка спеціально уповноважена на підставі відповідних документів. Представник повинен бути розташований в країні ЄС, в якій знаходяться суб’єкти даних. Його завдання від імені компанії взаємодіяти з владою ЄС і громадянами, виконувати вказівки компанії. Він точно так само притягується до відповідальності за порушення.

Читайте також  Як включити світлу тему Google Chrome при темної теми Windows 10

Наприклад, російська компанія, яка не має дочірніх підприємств у Фінляндії, постійно надає свої послуги її громадянам. Значить, компанія зобов’язана призначити представника, що офіційно знаходиться у Фінляндії. Якщо ж дочірнє підприємство є, тоді його можна призначити представником.

Виходить, що General Data Protection Regulation має досить широке охоплення і, якщо з компаніями Євросоюзу все досить логічно, то інші країни теж «потрапили під роздачу». Стає зрозуміло, що російські організації, клієнтоорієнтований на Євросоюз, також повинні дотримуватися вимоги GDPR.

Припустимо, невелика російська компанія має інтернет-магазин, а їх товар купляє громадянин Латвії. Отже, на цей інтернет-магазин поширюються вимоги GDPR, так як в ньому будуть оброблятися персональних даних громадянина ЄС. Якщо сайт цієї компанії спочатку має англомовну версію і виставляє ціни у валюті згідно державі користувача, значить, він теж потрапляє у сферу дії GDPR. Та й в будь-якому випадку, якщо компанія не працює особисто з кожним клієнтом, не можна знати точно, звідки клієнт. Це означає, що навіть повністю російський сайт маленької компанії потрібно підготувати до виконання вимог GDPR.

Список компаній, на які поширюється GDPR, можна продовжувати довго, але поки немає правозастосовчої практики, на думку автора, потрібно аналізувати, на кого спрямовані дії компанії і з ким вона взаємодіє.

Які ролі пропонує GDPR?

Як і будь-які процеси, обробка даних має дві сторони – той, чиї дані обробляються, тобто суб’єкт персональних даних, і той, хто обробляє ці дані. Зупинимося детальніше на другому. У GDPR вводяться поняття контролера (англ. data controller) і процесора (англ. data processor).

Розберемося з цими термінами, спираючись на GDPR і роз’яснення, що наведені на сайті Європейської комісії.

Контролер, згідно з пунктом (7) статті 4 GDPR, це особи, фізичні або юридичні, різні органи та агенції, які визначають, з якою метою і якими засобами обробляються дані.

Уся відповідальність за виконання вимог щодо обробки і захисту персональних даних покладається на контролера. Контролер повинен бути здатний підтвердити дотримання вимог.

Виходить, якщо компанія вирішує «навіщо?» і «як?» обробляються персональні дані, то це контролер даних. Співробітники компанії, що займаються обробкою, роблять це в якості контролера даних.

Якщо компанія разом з однією чи кількома організаціями спільно визначає «навіщо?» і «як?» обробляються персональні дані, то її можна назвати спільним контролером (англ. joint controller). Спільні контролери укладають угоду, в якій викладаються обов’язки по дотриманню вимог GDPR. Головні аспекти цієї угоди потрібно передати особам, чиї дані обробляються.

Процесор (обробника), відповідно до пункту (8) статті 4 GDPR, це особи, фізичні або юридичні, різні органи та агенції, які займаються обробкою персональних даних за дорученням контролера.

Виходить, процесор має право проводити обробку персональних даних лише від імені контролера. Процесором обробки даних, наприклад, може бути стороння компанія, залучена для проведення обробки даних.

Організація може бути контролером даних або процесором даних, або і тим, і іншим одночасно.

У Федеральному законі від 27.07.2006 р. №152-ФЗ «ПРО персональних даних» існує поняття оператора, що аналогічно контролерові, а процесор аналогічний особі, яка здійснює обробку персональних даних за дорученням оператора.

GDPR і № 152-ФЗ «ПРО персональні дані». Загальне і відмінності

В будь-якому нормативно-правовому документі використовуються свої норми дефініції, розглянемо їх і порівняємо.

Персональні дані, відповідно до статті 3 Федерального закону «Про персональні дані», є будь-яка інформація, яка прямо або побічно дозволяє визначити фізична особа. У пункті (1) статті 4 GDРR наводиться аналогічне визначення, за винятком того, що замість слова «визначити» використовується «ідентифікувати».

Терміни подібні, але GDPR більш докладно говорить про інформацію, що відноситься до персональних даних. Звідки отримуємо, що відомості, що дозволяють визначити особу суб’єкта даних, є персональними даними. Неважливо, чи можна за них безпосередньо ідентифікувати суб’єкт чи потрібно застосування спеціальних засобів або програм.

У GDPR є наступний перелік персональних даних:

  1. Ім’я;
  2. Ідентифікаційний номер;
  3. Дані про місцезнаходження;
  4. Онлайн-ідентифікатор;
  5. Комбінація ідентифікаторів/показників.

Складніше з онлайн-ідентифікаторами. До них можна віднести IP-адреси, куки і т. п. IP-адресу, наприклад, може привести до певної людиніи, яка виходила в мережу Інтернет, а може просто показати точку доступу до мережі, тобто в ряді випадків може бути використаний для визначення особи лише у сукупності з іншими даними. Належить IP-адреса до персональних даних – питання спірне і залежить від контексту ситуації. Але раз GDPR загострює свою увагу на онлайн-ідентифікатори, рекомендується захищати їх теж.

Читайте також  Windows 10 без активації — як довго можна використовувати і які є обмеження

Принципи та умови обробки викладені в статтях 5, 6 Федерального закону «Про персональні дані» та в статтях 5,6 GDPR.

Закон про персональні дані РФ містить 7 принципів обробки, а GDPR — 6. Всі принципи порівнянні, за винятком того, що в російському законодавстві зроблено уточнення про заборону об’єднання баз даних, створених для несумісних цілей. Важливим доповненням до принципів в GDPR є принцип транспарентності/прозорості. А саме, будь-які відомості та повідомлення, пов’язані з обробкою персональних даних, були легко доступні суб’єкту і зрозумілі для його розуміння, тобто використовувався чіткий і простий мову. Крім того, GDPR визначає безпеку персональних даних, як принцип [п. (f), ст. 5, GDPR,], а у нас це швидше підноситься, як обов’язок.

Умови, при яких обробка є правомірною, так само порівнянні. При цьому, GDPR дозволяє державам вводити свої вимоги до обробки.

Стаття 9 Федерального закону «Про персональних даних» та Стаття 7 GDPR описують згода суб’єкта на твір обробки персональних даних. Обидва документи говорять про конкретності, інформованості і свідомості. Важливо, що GDPR зобов’язує, щоб згода була складена мовою зрозумілою і доступною. Згода на обробку даних має бути винесеного окремо від інших умов і угод. У нього повинні бути включені всі цілі обробки. Процес відкликання згоди має бути точно так само простий, як і його отримання – це як поставити «галочку» і прибрати її.

Виходить, що згода має бути не двозначною, а точною – «Я згоден…». Включити В перелік конкретних цілей обробки. Так само не можна використовувати, наприклад, чекбокси з установкою згоди за замовчуванням. Це суперечить свободі дачі згоди. І оператору завжди потрібно бути готовим підтвердити, що суб’єкт свою згоду дав.

Одне з головних відмінностей GDPR в тому, що він встановлює особливі правила для дачі згоди на надання послуг інформаційного суспільства неповнолітнім. Якщо у обробці персональних даних задіяна дитина, якій виповнилося 16 років, то вона законна. За дітей, які не досягли 16 років, згода повинна давати особа, яка здійснює відповідні функції чи функції опікуна.

Обидва розглянутих документа досить широко описують права суб’єкта даних. І там, і там особи можуть отримати свої дані та інформацію про те, як вони обробляються, можуть виправити, видалити відомості про себе. Головне, що по Федеральному закону «Про персональні дані» інформацію про обробку персональних даних суб’єкт при зборі даних може отримати на свій запит. А за GDPR — організація зобов’язана надати всю інформацію про обробку в момент отримання персональних даних. GDPR описує видалення і зміну інформації, як право суб’єкта, а російський закон, як обов’язок оператора. Суб’єкт персональних даних завжди може відкликати свою згоду на обробку і вимагати видалення даних, що його стосуються.

Ще одна важлива відмінність GDPR полягає в тому, що виділяється окреме право на перенесення своїх даних. Компанія, діюча в рамках GDPR, повинна розуміти, що при запиті суб’єктом інформації, наданої ним раніше, вони зобов’язані надавати її безперешкодно. GDPR однозначно дає зрозуміти, що ці дані мають бути структуровані і мати машиночитаємий формат. Також за запитом користувача організація повинна передати його дані будь-якій іншій організації. Все це є новим для правових вимог.

У GDPR є окремий розділ про Офіцера по захисту даних (англ. Data protection officer). Ця роль аналогічна особі, призначеному відповідальним за організацію обробки персональних даних, з російського закону. За GDPR, якщо організація виробляє постійний моніторинг суб’єктів або обробляє у великому масштабі спеціальні категорії, то вона зобов’язана призначити Офіцера по захисту даних. Інакше призначення робиться на розсуд організації або на підставі законів її держави. По Федеральному закону «Про персональних дані» оператор зобов’язаний призначити особу, відповідальну за організацію обробки даних, в будь-якому випадку.

При перерахуванні заходів щодо забезпечення безпеки у Федеральному законі «Про персональні дані» згадується облік діяльності по обробці персональних даних. У свою чергу GDPR так само зобов’язує вести такий облік у документованому вигляді, включаючи електронну форму. Зобов’язання не накладається на організації з менш ніж 250 працівниками, якщо ті не роблять обробку на постійній основі, не обробляють у великих масштабах спеціальні категорії або дані про судимості, правопорушення. На думку автора, такий облік бажано вести в будь-якому випадку.

Читайте також  Моє розчарування в софті

Якщо компанія є контролером, облік повинен містити:

  1. дані про контролера, його представника та офіцера по захисту даних (якщо такі є);
  2. цілі обробки;
  3. відомості про суб’єктів даних і категоріях оброблюваних персональних даних;
  4. інформацію про інших одержувачів персональних даних;
  5. терміни видалення даних, якщо можливо;
  6. опис заходів безпеки, якщо можливо.

Якщо компанія є процесором, облік повинен містити:

  1. дані про процесор, контролері і, якщо можливо, його представника та офіцера щодо захисту даних;
  2. відомості про обробку;
  3. інформацію про інших одержувачів персональних даних;
  4. терміни видалення даних, якщо можливо;
  5. опис заходів безпеки, якщо можливо.

Організація повинна бути готова надати ці відомості в наглядовий орган в будь-який момент.

Що є самі персональні дані, то «як?», «чому?» і «навіщо?» відбувається їх обробка, які заходи застосовуються для захисту інформації, що може робити суб’єкт і що зобов’язаний виконувати оператор – ці ключові пункти схожі у Федеральному законі «Про персональні дані» та GDPR. Але ось що робити, якщо все-таки небажаний витік даних стався, конкретно йдеться тільки в GDPR. Так, якщо компанія все-таки допустила витік персональних даних, то вона зобов’язана розповісти про неї в короткі терміни наглядовому органу і самому суб’єкту, який поніс втрати. В іншому випадку, на компанію буде накладено штраф. За GDPR наглядовий орган призначається в кожній країні відповідними нормативно-правовими актами. Керівники цих наглядових органів утворюють Європейська рада із захисту даних.

І найцікавіше: для посилення обов’язковості дотримання норм GDPR вводить штрафи за будь-які порушення. Розміри штрафів доходять до 20 мільйонів євро або 4 % обороту грошових засобів компанії (вибирається найбільша сума). Але насправді все не так страшно. У випадках, коли порушення незначне, може бути оголошений просто догану. Нематеріальні санкції можуть включати також заборона з боку наглядового органу на обробку персональних даних (або їх передачу контрагенту) до моменту усунення порушень.

Штраф, перш за все повинен мати повчальний ефект, а значить, може широко варіюватися в межах встановленої суми. Розмір штрафу встановлюється в залежності від характеристик самого порушення:

  1. характер, тяжкість і тривалість порушення;
  2. навмисне або по необережності абсолютно порушення;
  3. заходи щодо зменшення збитків;
  4. використовуються заходи захисту;
  5. минулі порушення;
  6. категорії персональних даних, порушені порушенням;
  7. те, яким чином стало відомо про порушення;
  8. інші обтяжуючі і пом’якшувальні фактори.

Тобто, наприклад, розглянуте раніше повідомлення про витік є важливим фактором для того, щоб пом’якшити покарання.

Підіб’ємо підсумки

General Data Protection Regulation – це новий великий документ з довгої преамбули та статтями 99, тлумачити який кожен може по-своєму. Але якщо компанії не хочеться потрапити під багатомільйонний штраф, потрібно виконувати вимоги GDPR.

Якщо Ви російська компанія, для початку треба визначити, чи входить сфера діяльності організації в область застосування GDPR.

Якщо входить, тоді першочергові заходи, які необхідно виконати для приведення у відповідність новим вимогам, будуть наступними:

Визначити, чи потрібен представник у ЄС. Призначити його в разі необхідності.
Перевірити доступність суб’єктам інформації про процес обробки (цілі, строки зберігання, інформація про права суб’єкта даних тощо), а так само наявність побудованих і документованих процесів реагування на звернення суб’єктів персональних даних.
Перевірити згоду на обробку персональних даних на відповідність вимогам GDPR. Воно має бути викладене зрозумілою мовою, конкретно, містити всі цілі обробки, знаходиться окремо від інших умов/угод. Згода дається на підставі активних дій, а не «за замовчуванням» або бездіяльності. У разі необхідності, оновити його.

Перевірити обробляються персональні дані на відповідність зазначеним цілям обробки.
Вести облік всієї діяльності з обробки персональних даних.

Провести оцінку Data protection impact assessment, тобто визначити ступінь важливості кожного конкретного бізнес-процесу, пов’язаного з обробкою персональних даних допомогою оцінки збитку, нанесеного в період збою в роботі.

Перевірити заходи щодо забезпечення безпеки на відповідність вимогам GDPR. У разі необхідності, удосконалити їх.

Ввести збудовані і документовані процеси повідомлення про подію наглядового органу, бажано протягом 72 годин після виявлення. Включати в повідомлення відомості про характер витоку, відомості для зворотного зв’язку, можливі наслідки, заходи щодо усунення витоку. По можливості повідомляти суб’єкта персональних даних, якщо є ризик для його прав і свобод і дані не були зашифровані, в розумний термін.

Бути готовими надати докази правомірності діяльності по обробці ПДн.

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *