gdpr что это такое действует ли оно в россии
Всё о GDPR для российских компаний
Страны Евросоюза приняли Регламент — General Data Protection Regulation, чтобы защитить личные данные граждан.
Постановление Евросоюза состоит из одиннадцати глав, которые включают:
Генеральный регламент Евросоюза не должен рассматриваться как препятствие для экономики. Международный документ служит инструментом укрепления доверия потребителей. Особенно — на фоне участившихся в последнее время скандалов, связанных с масштабными утечками баз данных.
Общий регламент по защите данных вступил в силу 25 апреля 2016 года. Однако до 25 мая 2018 г. вводился переходный период для подготовки компаний к работе в новых условиях.
Начиная с 25 мая 2018 года молчаливого согласия на операции с личными данными уже недостаточно. Регламент усложнил работу компаний, возложив на них ряд обязательств:
В то же время GDPR предоставил гражданам широкие привилегии в определении судьбы собственных личных данных.
Страны, на которые распространяется GDPR
Постановление Европарламента о защите персональных данных обязательно не только для стран Евросоюза.
Область применения постановления определена в первых статьях GDPR. Практически все отрасли и фирмы подчиняются действию правил, как только начинают взаимодействовать с приватными сведениями о людях, находящихся в ЕС.
Поэтому компании, которые не входят в ЕС, должны соблюдать GDPR при условии, что они в той или иной форме действуют в ЕС и обрабатывают соответствующие данные.
По этой причине Регламент должен расцениваться как актуальный правовой акт для компаний из США, Европы и Азии.
На кого распространяются положения GDPR
Соблюдение цифровой конфиденциальности обязательно для компании из любой страны мира, если она:
Новые правила относятся не только к крупным компаниям с многомиллионными оборотами, которые обрабатывают тысячи данных о клиентах. GDPR влияет на каждую компанию, независимо как от места нахождения, так и от размера капитала или иных характеристик.
Одно из важных нововведений заключается в том, что теперь каждая компания, которая обрабатывает данные от граждан ЕС, независимо от местоположения сервера, должна придерживаться строгих правил.
Любая компания, которая представлена в интернете и отслеживает поведение пользователей, размещает формы обратной связи с клиентами, отправляет рекламные электронные письма, заключает договоры, предлагает услуги или товары с реализацией на территории ЕС, обязана соблюдать новые требования.
По правилам GDPR новым условиям обязаны подчиняться не только коммерческие компании. В равной мере эта обязанность возложена на организации, которые не занимаются коммерцией, а также на органы государственной власти.
Соблюдение новых требований актуально и для владельцев сайтов, размещенных на европейских серверах или имеющих отношение к ЕС в любом виде.
Принципиальные условия по GDPR
Конфиденциальная информация может обрабатываться только в соответствии с принципами, утверждёнными Европарламентом:
Государство вправе установить меньший возраст для указанных целей, но не менее 13 лет.
Ответственность за соответствие требованиям GDPR несёт контролёр.
Права граждан
Политика Европейского Союза защищает основные права человека. В первую очередь, право на информационное самоопределение. Личная информация не может произвольно обрабатываться и должна строго охраняться от несанкционированного доступа.
Регламент закрепляет за пользователями:
При получении личной информации не от самого гражданина, контролёр обязан предоставить информацию субъекту в разумный срок, но не позднее месяца с момента получения.
Каждый может сделать запрос контролёру, чтобы узнать, обрабатываются ли его конфиденциальные данные, в каких целях и получить к ним доступ.
Персональные данные по GDPR
Персональные данные — это вся информация, которая позволяет идентифицировать личность:
Общие данные. Любая информация, которая относится к человеку: адрес, возраст, место рождения; номер телефона.
Физические характеристики лица. Пол; цвет и особенности кожи; цвет волос и глаз; рост, размер одежды.
Онлайн-данные. IP-адрес, данные о местонахождении, адрес электронной почты, данные аккаунта.
Идентификационные данные. Идентификационный номер налогоплательщика, номер водительского удостоверения; номер социального страхования; номер медицинской страховки; номер документа, удостоверяющего личность.
Характеристики собственности. Наличие автомобиля и номерные знаки; права на недвижимость; записи в земельной книге, регистрационные данные.
Банковские реквизиты. Номера счетов; банковских карт; данные о средствах на счёте; кредитная информация.
Ценностные суждения о личности. Характеристики, рекомендации, отзывы.
Приведённый перечень не полон. Однако и он позволяет понять, что к защищаемой информации относятся любые сведения, хоть как-то относящиеся к личности.
Состав персональных данных, принятый в Евросоюзе, значительно шире, чем, например, в России.
Как соответствовать требованиям?
Даже небольшой бизнес или веб-сайт, на котором предусмотрена регистрация или рассылка читателям бюллетеней, должен следовать GDPR, чтобы не нарушить европейское законодательство.
Чтобы соответствовать требованиям Регламента, компаниям необходимо придерживаться правил:
Другие сведения (e-mail — чтобы рассылать рекламу, дата рождения – для поздравительных писем) для исполнения договора не нужны.
Чтобы получить данные о личности, без которых выполнить обязательства нельзя, согласие клиента не требуется.
Сбор необязательных для договора сведений возможен только в согласия клиента.
На обработку персональных данных, которые не предусмотрены трудовым контрактом, требуется согласие.
Ответственность за невыполнение GDPR
С мая 2018 года к началу 2020 года было выявлено 160 тысяч нарушений и взыскано штрафов на сумму 114 млн евро.
В 2020 году компании продолжают нести экономические потери в виде штрафов из-за невыполнения Регламента:
Ещё около трёхсот компаний оштрафованы в 2020 году на разные суммы.
Штрафы — не единственный вид наказания за нарушения. В арсенале надзорных органов, таких как ICO (Управление комиссара по информации), имеются и другие процедуры:
Вывод
Генеральный регламент стандартизирует деятельность компаний, которые предлагают онлайн-услуги, обрабатывают данные посетителей веб-сайта или данные зарегистрированных пользователей.
Положение компаний, которые не учитывают в деятельности обновлённые правила сбора конфиденциальной информации, находится под угрозой. Ответственность за нарушения может оказаться компании не по силам и разрушить бизнес.
Только включение правил GDPR в рабочие процессы позволит организации стабильно продолжать предпринимательскую деятельность.
Информация о GDPR на русском языке
GDPR (General Data Protection Regulation)
Основные цели GDPR
Основные термины
Права граждан
GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:
Персональные данные
Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).
Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.
То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.
Примеры персональных данных:
А также особо охраняемые данные:
Принципы обработки данных по GDPR
Сфера действия GDPR
Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).
Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.
Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).
Соответствие требованиям GDPR
Несоблюдение норм GDPR
Утечка персональных данных
Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.
Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.
GDPR. Нужно ли его выполнять в России?
Что такое GDPR?
25 мая 2018 года вступил в силу Общий регламент по защите персональных данных Европейского союза (англ. General Data Protection Regulation, GDPR; далее – GDPR, Регламент). Многие считают, что GDPR распространяется только на европейские организации или компании, обрабатывающие персональные данные (ПДн) на территории Европейского союза. Но на самом деле Регламент является экстерриториальным и распространяется на организации, не находящиеся на территории Евросоюза.
В Регламенте, как и в Федеральном законе Российской Федерации №152-ФЗ «О персональных данных», используются понятия и подходы, сформулированные в Конвенции о защите физических лиц при автоматизированной обработке персональных данных.
Основной упор в Регламенте идет на защиту прав и свобод физических лиц при обработке их персональных данных.
Российские организации, попадающие под действие GDPR, оказываются «меж двух огней»: им требуется соответствовать как российскому законодательству, так и новому европейскому Регламенту. В этой статье мы постараемся раскрыть, кому в России нужно выполнять требования GDPR, зачем, и какие могут быть последствия их невыполнения.
На кого распространяется GDPR?
Согласно статье 3 Регламента, GDPR распространяется на:
1. Обработку ПДн в ходе деятельности оператора, либо обработчика (лица, которому оператор поручил обработку ПДн) на территории Европейского Союза (ЕС), вне зависимости от того, где производится обработка – на территории ЕС или за её пределами.
2. Обработку ПДн оператором или обработчиком, находящимся за пределами территории ЕС, если обработка связана с:
a. предложением товаров или услуг (платных или бесплатных) субъектам ПДн, находящимся на территории ЕС;
b. мониторингом действий (поведения, активности) субъектов ПДн на территории ЕС.
3. Обработку ПДн оператором, находящимся за пределами территории ЕС, если к нему применимо законодательство страны-члена ЕС в соответствии с международным публичным правом.
Если с операторами, очевидно попадающими под пункт 1 (нужно находиться на территории ЕС) и пункт 3 (дипломатические миссии и консульства стран-членов ЕС) всё более-менее ясно, то пункт 2 вызывает много вопросов, поскольку именно он определяет применимость GDPR к российским компаниям.
Для того, чтобы найти ответы на эти вопросы, помимо основного текста Регламента стоит также обратить внимание на то, что у GDPR есть преамбула, в которой раскрывается, чем руководствовался законодатель при установлении в GDPR описанных норм. В том числе в пункте 23 преамбулы говорится о том, как нам определить, что оператор (либо обработчик данных) предлагает товары или услуги лицам, находящимся на территории ЕС. Факторами, позволяющими установить направленность деятельности на территорию ЕС может считаться использование при предложении и продаже товаров или услуг языка либо валюты государства-члена ЕС, упоминание клиентов или пользователей, находящихся на территории ЕС. А в пункте 24 преамбулы говорится, что под мониторингом действий субъекта ПДн подразумевается отслеживание пользователей сети Интернет, включая возможное последующее создание профилей физических лиц, в частности, с целью анализа либо прогнозирования предпочтений, поведения и т.п.
При этом в статье 2 GDPR указано, что Регламент не применяется к деятельности, не попадающей под действие законодательства ЕС.
Из вышеуказанного можно определить следующие критерии непосредственной применимости GDPR к российской организации:
Также мы хотим обратить внимание, что следующие случаи, часто встречающиеся в материалах про GDPR, не являются критериями применимости Регламента:
Контроль за соблюдением GDPR в России и последствия невыполнения требований
В целях защиты прав субъектов ПДн в каждой из стран ЕС созданы государственные органы по защите прав субъектов ПДн (в тексте Регламента – Supervisory Authorities, в общей практике такие органы называются Data Protection Authorities (DPA)). В числе прочих, DPA наделены согласно ч.1 ст.58 GDPR следующими полномочиями:
GDPR не раскрывает процедуру контроля за соблюдением Регламента организациями, расположенными вне ЕС и не назначившими представителя, а также каким образом организации, расположенные вне ЕС, будут нести ответственность за нарушения правил обработки ПДн.
Мы провели с DPA стран ЕС ряд интервью по вопросам контроля за соблюдением GDPR вне ЕС. Ответы были различными, но в целом ясности не появилось. Один из представителей DPA сделал оговорку, что такие случаи будут регулироваться во взаимодействии с DPA стран нахождения оператора либо обработчика. Сегодняшняя геополитическая ситуация и позиция руководителя Роскомнадзора А. Жарова по вопросу необходимости соответствия российских организаций GDPR вносят некоторые сомнения, что попытки такой кооперации DPA стран ЕС с Роскомнадзором будут продуктивны.
Хочется обратить внимание, что указанные в GDPR многомиллионные штрафы, которыми больше всего пугают операторов – это верхняя планка. GDPR говорит о том, что налагаемые штрафы (и иные санкции) должны быть соразмерны нарушению, эффективны и предупреждающими повторные нарушения. Конкретные размеры штрафов будут определяться индивидуально, с учетом большого количества факторов. Многомиллионный штраф может быть наложен на организацию в том случае, если она сознательно и злостно нарушала права субъектов, тщательно это скрывая и получая от такой обработки ПДн высокую прибыль.
Наиболее вероятным (но не единственным) и существенным последствием невыполнения GDPR для российских организаций, не имеющих представительств либо дочерних организаций на территории ЕС (а также назначенного представителя по вопросам обработки ПДн), является не штраф, а блокирование сайта организации на территории ЕС либо отдельных государств-членов ЕС. Несмотря на то, что возможность блокирования сайта не прописана напрямую в GDPR, она представляется закономерным способом ограничения обработки ПДн в целях предупреждения повторных нарушений, в особенности при отсутствии иных возможностей влияния на оператора.
Зачем российским организациям соответствовать GDPR?
Выполнение GDPR имеет и иные преимущества для организаций помимо очевидной возможности избежать возможных санкций со стороны DPA ЕС.
Прежде всего это повышение общего уровня ИБ и управления данными в организации. Зачастую в процессе приведения к соответствию требованиям по защите ПДн организация впервые создает реестр существующих у нее бизнес-процессов, понимает имеющиеся потоки данных, создает схему сети, описывает существующую систему защиты информации. Эти действия становятся фундаментом для защиты не только ПДн, но и иных видов конфиденциальной информации, а также для оптимизации бизнес-процессов.
Если организация обрабатывает ПДн, переданные ей контрагентом, попадающим под действия GDPR, контрагент будет требовать от нее соответствия требованиям GDPR, предъявляемым к обработчикам ПДн. Соответствие GDPR позволит сервис-провайдеру расширить доступный рынок предоставления услуг на территорию ЕС, а также предоставлять услуги тем российским организациям, которые попадают под требования GDPR.
Требование об обязательном соответствии GDPR может исходить от головной компании при применимости GDPR к организациям группы компаний, с которыми российская организация обменивается ПДн. Но в таком случае целесообразно, во-первых, уточнить, действительно ли обрабатываются ПДн лиц, находящихся на территории ЕС, а во-вторых, если они обрабатываются, распространять требования Регламента на те процессы, в которых производится обработка таких ПДн, а не на всю организацию.
GDPR устанавливает необходимость соблюдения многочисленных прав субъектов ПДн и обеспечения прозрачности обработки ПДн для субъектов. По сравнению с ФЗ «О персональных данных» GDPR более подробно разъясняет, как информировать субъектов ПДн об обработке их ПДн, а также о том, как они могут реализовывать свои права в отношении этой обработки. Отражение этих вопросов обработки ПДн в Политике обработки ПДн, а также при сборе информации об обработке ПДн, позволяет повысить прозрачность деятельности организации и обеспечить большее доверие со стороны всех субъектов ПДн.
Резюме
Если ваша организация расположена в России – это ещё не значит, что GDPR к ней не применим. Проверить применимость требований Регламента к вашей организации можно с помощью указанных выше критериев.
Регламент вступил в силу только что, и по данным компании Symantec 80% организаций в ЕС не соответствуют требованиям GDPR. Каким образом к российской организации в связи с нарушениями GDPR могут быть применены санкции со стороны ЕС, пока неясно, но тем не менее, к Регламенту стоит относиться серьезно.
В завершение хотим отметить, что с большой вероятностью в скором времени для единообразия с европейским законодательством в российском законодательстве об обработке ПДн появятся формулировки, схожие с требованиями GDPR.
Общий регламент по защите данных (GDPR): что нужно знать российским онлайн-продавцам
25 мая 2018 года начал действовать Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), новый закон о защите персональных данных всех граждан Европейского союза.
Даже если вы продаете только по России, нельзя быть уверенным, что в ваш не попадет гражданин Евросоюза. Он вводит свой email при покупке или подписывается на рассылку, и вы тут же попадаете под действие регламента. Тем, кто не соблюдает правила, грозит штраф до 20 миллионов евро или от 2 до 4% годового глобального дохода компании.
Рассказываем, что делать, чтобы не было проблем с GDPR. Требования регламента могут меняться в зависимости от бизнеса, если вы уже продаёте свои товары в Европу, проконсультируйтесь с юристом.
Как работает GDPR
Общий регламент по защите данных дает гражданам Европейского союза право полностью контролировать данные, которые собирают и другие
Теперь при сборе персональных данных европейцев компания обязана получить на это явное разрешение от пользователей, предоставить информацию о собранных данных, исправить, удалить их и ограничивать к ним доступ по первому требованию пользователя.
Что понимают под личными данными в GDPR?
Любая информация, с помощью которой можно напрямую или косвенно идентифицировать человека: имя, email, дата рождения, пол, возраст, место жительства, Если вы собираете данные, которые относятся к личной, профессиональной или общественной жизни человека, вы должны соблюдать требования GDPR.
Как GDPR повлияет на мой бизнес?
Вы несете полную ответственность за личные данные граждан ЕС, которые они вам предоставляют, а также обязаны обеспечить им возможность контролировать то, как эта информация используется.
Нарушение GDPR может стоить вам целое состояние (до 20 миллионов евро или 4% от годового мирового оборота компании). С другой стороны, практика исполнения решений ЕС в РФ развита не очень хорошо. Если Комиссия ЕС наложит штраф на российскую компанию, возможно до его реального исполнения не дойдёт. Но на территории ЕС работа будет затруднена.
Нельзя быть уверенным на 100%, что ни один гражданин ЕС не зайдет на ваш сайт или мобильное приложение. Поэтому стоит позаботиться о таком способе сбора и хранения личных данных, который удовлетворяет требование регламента. Есть вероятность, что другие страны (в том числе Россия) в будущем придут к тем же правилам. В этом случае вы уже будете готовы.
Как соответствовать GDPR
Если у вас есть клиенты из ЕС, проконсультируйтесь с юристом. Если таких клиентов пока нет, но вы не хотите переживать GDPR, выполните наши рекомендации:
Сообщите сотрудникам об изменениях
Разошлите всем эту статью и проинструктируйте каждого, кто связан с личными данными.
Проверьте досконально, какие данные вы собираете
Вы должны записать все до мелочей: как данные покупателей поступают в вашу организацию, как используются и как покидают её. Документируйте:
Это необходимо, чтобы понять, кто несет ответственность за данные покупателей на каждой стадии. Ревизия информации поможет вам оценить все риски, связанные с потоком данных.
Обновите свою Политику конфиденциальности
Регламент обязывает написать Политику конфиденциальности простым и понятным языком и дать доступ к ней на вашем сайте.
Документ должен быть обязательно, а вот объяснить его смысл покупателям можно разными способами, например, с помощью видео:
Интересный подход к обновлению Политики конфиденциальности от ASOS: видео, в котором объясняется, какие данные покупателей используются и зачем
Вот что нужно написать в Политике конфиденциальности, чтобы она соответствовала GDPR (распишите все как можно подробнее):
Вы должны уведомить покупателей обо всех изменениях в Политике конфиденциальности (например, с помощью рассылки). Не забывайте сообщать об обновлении документа и вашим сотрудникам.
Получите явное согласие покупателей на сбор и обработку их данных
На странице подписки на рассылку, в корзине разместите форму с галочкой. В ней должно быть четко прописано, на что пользователи дают согласие, и кому они его дают.
Нельзя ставить галочку в форме по умолчанию, пользователь должен кликнуть на неё сам.
Регистрируя почтовый ящик на Яндексе, пользователь видит, на что дает согласие, и должен поставить эту галочку сам
Чтобы добавить форму согласия в используйте инструкцию.
Дайте пользователям возможность получать доступ к своим персональным данным, изменять и удалять их
В соответствии с GDPR, вы должны предоставить клиентам копию их личных данных, которые храните. Это касается не только но и всех сервисов, которые вы используете. Например, сервис почтовой или смс рассылки.
Данные клиентов своего вы можете найти в панели управления. В случае дополнительных вопросов от пользователей Эквид предоставит вам информацию, которую хранит.
У вас должна быть возможность быстро исправить неточные данные клиента и позволить клиентам обновлять свои предпочтения обмена данными. Например, отписаться от вашей рассылки должно быть легко. Добавьте ссылку «Отписаться» в каждое ваше письмо. Оперативно реагируйте на прямые запросы: если клиент просит вас обновить свою фамилию или email в вашей почтовой базе, вы должны сделать это в течение 30 дней.
Если пользователь просит удалить его данные, по GDPR вы также обязаны это сделать.
Обеспечьте безопасность данных
Данные пользователей, которые хранятся в Эквиде, защищены. Вам не нужно о них беспокоиться. Однако, есть несколько мер предосторожности:
Пользуйтесь услугами только тех сервисов и сторонних приложений, которые соответствуют требованиям GDPR. Если вам стало известно об утечке персональных данных, сообщите об этом своим клиентам в течение 72 часов.
Как Эквид подготовился к GDPR
Эквид собирает, хранит, обрабатывает и делится личными данными, основываясь на рекомендациях GDPR. Для соблюдения регламенты мы сделали следующее:
Если вы используете надежные облачные сервисы, как Эквид, соответствовать GDPR будет проще. Тем, кто полагается на внутренние серверы или заказное программное обеспечение, придется самим организовывать весь процесс хранения данных.
Мы постарались привести Эквид в полное соответствие GDPR, чтобы помочь вам подготовить свой к переменам.