Скрывать возраст станет проще. Почему мир говорит о GDPR и что об этом надо знать

Многие должны были заметить, что им на почту стали приходить уведомления от различных сервисов об измении правил обработки персональных данных.

Переживать не стоит — компании по всему миру обновляют свои системы защиты и обработки персональных данных.

Подтолкнул их на этот шаг не очередной вирус, уязвимость или скандал, а GDPR — General Data Protection Regulation. Это название нового регламента Евросоюза, который начинает действовать 25 мая 2018 года.

ЭП разбиралась, что это такое, как это повлияет на деятельность европейских компаний и жизнь европейцев и как зацепит Украину.

Что это?

GDPR — правовой акт, который должен усилить контроль над процессом сбора, обработки и передачи персональных данных резидентов и граждан ЕС на территории Европейского Союза и за его пределами.

Обновленные правила обработки персональных данных установлены Общим регламентом по защите данных.

Этот регламент будет действовать во всех 28 странах ЕС и заменит рамочную Директиву о защите персональных данных от 24 октября 1995 года.

Что поменяется?

Граждане ЕС получают полный контроль над своими персональными данными.

Например, гражданин не хочет, чтобы его коллеги знали, когда у него день рождения и сколько ему лет. Согласно новым правилам, он имеет право требовать от работодателя хранить эту информацию в тайне.

Со вступлением в силу новых правил ужесточается и ответственность за их нарушение. Штрафы достигают 20 млн евро или 4% годового глобального дохода компании в зависимости от того, что больше.

"Как будет применяться GDPR в отношении украинских компаний, пока никто не знает. Мы этого и не узнаем, пока не увидим первый тестовый пример", — отмечает адвокат, директор ЮК "Софоклеус и партнеры консалтинг" Алексия Овдиенко.

Кому стоит переживать?

ЕС принял акт для европейцев, но зацепит он каждого. Виной тому один из важных нюансов новой регуляторной политики — экстерриториальный принцип действия.

В связи с ним, GDPR применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС вне зависимости от их местонахождения.

Филиалы украинских компаний, находящиеся на территории ЕС, также должны соответствовать новым требованиям.

Даже если компания находится на территории Украины, но продает товары и услуги пользователям из стран ЕС онлайн, предоставляя их на локальных языках, в местных валютах или используя национальные домены верхнего уровня стран ЕС, она все равно подпадает под действие GDPR.

Да и в целом все организации, обрабатывающие персональные данные европейцев, подпадают под действие нового регламента.

Если европеец покупает билеты на поезд "Укрзалізниці", то УЗ подпадает под действие GDPR и обязана соблюдать новые европейские правила обработки персональных данных.

Условно говоря, под GDPR подпадает все, к чему прикасаются граждане Евросоюза.

И все?

Нет. Помимо обработки персональных данных, в GDPR используется понятие "мониторинг поведения субъектов данных". То есть под действие новых правил попадают организации, созданные за пределами ЕС, но "контролирующие" поведение жителей союза.

Под мониторингом поведения подразумевается любое отслеживание действий субъекта, например, сведения о посещении каких-либо мест.

"Сами действия должны происходить на территории ЕС. Не важно, будет такой субъект данных гражданином ЕС или украинцем в командировке", — отмечает партнер и соучредитель юридической фирмы Axon Partners Денис Береговой.

По его словам, сбор истории посещений определенных мероприятий или сайтов — мониторинг в понимании GDPR. Таким образом, любой международный сервис бронирования жилья подпадает под GDPR, в том числе из-за того, что мониторит активность пользователей.

Что является персональными данными?

Персональные данные — это любая информация, относящаяся к субъекту, по которой прямо или косвенно его можно определить.

Согласно самому документу, это один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности физического лица.

Сюда относятся: ФИО, номер телефона, адреса электронной почты и проживания, регистрационный номер и марка автомобиля, сведения о национальности, политических или религиозных взглядах, сексуальной ориентации, номере банковского счета, номере банковской карты и сроке ее действия, истории болезней, данные о группе крови, информация о членах семьи, фото, биометрические данные, паспортные данные, идентификационный код, подпись, информация об уровне личных доходов.

К персональным данным также относят информацию о местоположении, IP-адрес и даже онлайн-идентификатор.

Как могут обрабатывать данные?

Под обработкой персональных данных подразумеваются любые операции, которые выполняются с персональными данными, независимо от того, осуществляются они автоматическими средствами или любым другим способом.

Получение доступа к персональным данным, даже без сохранения их на каком-либо электронно-вычислительном устройстве, будет считаться обработкой, на которую распространяется действие регламента.

Обработка данных должна осуществляться по следующим правилам.

Первое. Данные должны обрабатываться законно, справедливо и прозрачно. Пользователь обязан получить информацию о целях, методах и объемах обработки его персональных данных в максимально доступной форме.

Второе. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией или онлайн-сервисом.

Третье. Нельзя собирать больше данных, чем необходимо для целей обработки.

Четвертое. Неточные личные данные должны быть удалены или исправлены по требованию пользователя.

Пятое. Личные данные должны храниться не дольше, чем это необходимо для целей обработки.

Шестое. При обработке данных компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Как отмечает партнер юридической фирмы Expatpro Платон Даниленко, для полного соответствия требованиям компаниям необходимо соединить технические и организационно-юридические средства, направленные на усиление защиты персональных данных.

Что это дает?

Больше прав

GDPR значительно расширяет права граждан и резидентов ЕС по контролю над их персональными данными.

Европейские пользователи смогут запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам данные раскрываются, период, в течение которого они будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления.

Также пользователь имеет право требовать прекращения обработки своих данных.

Кроме того, в GDPR предусмотрено "право на забвение", которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

Вдобавок пользователи получают право на перенесение данных. Его суть в том, что компании обязаны бесплатно предоставлять электронную копию персональных данных пользователя другой компании по требованию самого пользователя.

Например, субъект данных пользуется сервисом онлайн-просмотра фильмов "А". Если у него возникает желание сменить сервис на "Б", у него есть право перенести свои данных, например, список любимых фильмов и информацию о жанровых предпочтениях, с одного сервиса на другой.

Уведомления о нарушениях

Компании обязаны уведомлять регулирующие органы о любых нарушениях, связанных с персональными данными, в течение 72 часов после обнаружения такого нарушения.

Если бы GDPR начал действовать раньше, то после новости о сокрытии в течение года компанией Uber хакерского взлома и кражи персональных данных пользователей и водителей сервису пришлось бы заплатить крупную сумму.

Согласие на обработку

Согласно новым правилам, пользователь должен дать четкое согласие на обработку персональных данных. Молчание или бездействие знаком согласия не считаются.

Поля с поставленной галочкой рядом с принятием в пользовательском соглашении и другие обходные пути получения согласия использовать не рекомендуется, иначе компании может грозить штраф.

Согласие на обработку персональных данных не будет действительно, если у пользователя не было выбора или возможности без потерь отозвать свое согласие.

Цель обработки данных должна быть четко указана в договоре или пользовательском соглашении, а сам договор должен быть простым и понятным. Информация о порядке отзыва согласия на обработку данных должна быть открытой, иначе компании может грозить штраф.

Особая защита детей

Детские персональные данные находятся под особой защитой, поэтому согласие на их обработку должно быть дополнительно авторизовано родителями или законными представителями ребенка.

Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно — от 13 лет до 16 лет.

Назначение ответственного за защиту персональных данных

Компании, которые работают с большими объемами данных или обрабатывают чувствительные персональные данные, например, медицинские записи или сведения о судимости, должны назначить отдельного сотрудника по защите данных — Data Protection Officer, DPO, который будет контролировать соблюдение требований GDPR.

Назначать DPO не требуется, если обработка данных осуществляется эпизодически, в маленьких объемах и не касается специальных категорий персональных данных.

Как это повлияет на Украину?

На бизнес

Ни один украинский бизнес не застрахован от визита "случайного" гражданина ЕС.

Проблемы могут возникнуть даже у владельца киевского паба. Уже через несколько дней туда перед матчем Лиги чемпионов может заглянуть испанец и расплатиться картой. В тот же момент паб подпадает под действие нового регламента.

Чтобы определить, применим ли GDPR к бизнесу, нужно учитывать его специфику, а при наличии сомнений — проконсультироваться с юристами и специалистами в области персональных данных.

"Если GDPR применим, надо привести бизнес в соответствие с правилами — на уровне юридических документов и на техническом уровне. Следует разобраться, какие персональные данные собирает и обрабатывает компания, где они находятся, с какими сторонними продуктами взаимодействуют, куда дальше передаются, кто к ним имеет доступ", — отмечает Береговой.

По его словам, исходя из этого, нужно строить политики и процессы, по которым компания работает с персональными данными.

Отдельно стоит вопрос кибербезопасности — GDPR требует безопасного обращения с данными и быстрого реагирования на киберугрозы.

В целом для соблюдения GDPR от компаний потребуются модернизация внутренней системы сбора, обработки и передачи данных, усиление безопасности хранения данных и наличие квалифицированных сотрудников.

"Все это будет способствовать технологическому развитию компании, подпадающей под действие GDPR, модернизации ее системы IT-безопасности, внедрению новых технологий, что позволит защищать персональные данные не только граждан ЕС, но и украинцев", — отмечает Овдиенко.

Необходимость внедрения новых технологий повлечет за собой стремительное развитие украинских компаний.

"Появление на рынке новых технологий и продуктов положительно повлияет и на работу сектора государственного управления, деятельность которого в последнее время все более интенсивно переводится в электронный формат", — отмечает Овдиенко.

На пользователей

Обычные украинцы узнали о GDPR из всплывающих окон Gmail, Twitter и других иностранных сервисов, которые начали массово предупреждать об изменениях в политике конфиденциальности и новых инструментах управления сбором данных.

По утверждению Берегового, это тот случай, когда читать такие рассылки полезно. Почему?

Пользователь сможет более качественно контролировать, что происходит с его данными. К тому же, не исключено, что некоторые сервисы будут удалять все данные, если пользователь не пройдет по ссылке и не согласится с новыми политиками.

"Для нас, рядовых клиентов компаний, GDPR выгоден, ведь мы получаем больше контроля над нашими данными. Юристов заставили писать более понятные политики конфиденциальности.

Другое дело, что для многих сервисов GDPR значит лишь то, что теперь мы отдаем им свои данные более осознанно. Отказываться от их использования мы вряд ли станем, ведь цифровая экономика никуда не исчезнет", — отмечает Береговой.

В целом, по мнению экспертов, GDPR может положительно повлиять на технологическое развитие украинских компаний и на защиту персональных данных граждан Украины.