Вы резидент ес страны на которую распространяется gdpr что это
GDPR. Нужно ли его выполнять в России?
Что такое GDPR?
25 мая 2018 года вступил в силу Общий регламент по защите персональных данных Европейского союза (англ. General Data Protection Regulation, GDPR; далее – GDPR, Регламент). Многие считают, что GDPR распространяется только на европейские организации или компании, обрабатывающие персональные данные (ПДн) на территории Европейского союза. Но на самом деле Регламент является экстерриториальным и распространяется на организации, не находящиеся на территории Евросоюза.
В Регламенте, как и в Федеральном законе Российской Федерации №152-ФЗ «О персональных данных», используются понятия и подходы, сформулированные в Конвенции о защите физических лиц при автоматизированной обработке персональных данных.
Основной упор в Регламенте идет на защиту прав и свобод физических лиц при обработке их персональных данных.
Российские организации, попадающие под действие GDPR, оказываются «меж двух огней»: им требуется соответствовать как российскому законодательству, так и новому европейскому Регламенту. В этой статье мы постараемся раскрыть, кому в России нужно выполнять требования GDPR, зачем, и какие могут быть последствия их невыполнения.
На кого распространяется GDPR?
Согласно статье 3 Регламента, GDPR распространяется на:
1. Обработку ПДн в ходе деятельности оператора, либо обработчика (лица, которому оператор поручил обработку ПДн) на территории Европейского Союза (ЕС), вне зависимости от того, где производится обработка – на территории ЕС или за её пределами.
2. Обработку ПДн оператором или обработчиком, находящимся за пределами территории ЕС, если обработка связана с:
a. предложением товаров или услуг (платных или бесплатных) субъектам ПДн, находящимся на территории ЕС;
b. мониторингом действий (поведения, активности) субъектов ПДн на территории ЕС.
3. Обработку ПДн оператором, находящимся за пределами территории ЕС, если к нему применимо законодательство страны-члена ЕС в соответствии с международным публичным правом.
Если с операторами, очевидно попадающими под пункт 1 (нужно находиться на территории ЕС) и пункт 3 (дипломатические миссии и консульства стран-членов ЕС) всё более-менее ясно, то пункт 2 вызывает много вопросов, поскольку именно он определяет применимость GDPR к российским компаниям.
Для того, чтобы найти ответы на эти вопросы, помимо основного текста Регламента стоит также обратить внимание на то, что у GDPR есть преамбула, в которой раскрывается, чем руководствовался законодатель при установлении в GDPR описанных норм. В том числе в пункте 23 преамбулы говорится о том, как нам определить, что оператор (либо обработчик данных) предлагает товары или услуги лицам, находящимся на территории ЕС. Факторами, позволяющими установить направленность деятельности на территорию ЕС может считаться использование при предложении и продаже товаров или услуг языка либо валюты государства-члена ЕС, упоминание клиентов или пользователей, находящихся на территории ЕС. А в пункте 24 преамбулы говорится, что под мониторингом действий субъекта ПДн подразумевается отслеживание пользователей сети Интернет, включая возможное последующее создание профилей физических лиц, в частности, с целью анализа либо прогнозирования предпочтений, поведения и т.п.
При этом в статье 2 GDPR указано, что Регламент не применяется к деятельности, не попадающей под действие законодательства ЕС.
Из вышеуказанного можно определить следующие критерии непосредственной применимости GDPR к российской организации:
Также мы хотим обратить внимание, что следующие случаи, часто встречающиеся в материалах про GDPR, не являются критериями применимости Регламента:
Контроль за соблюдением GDPR в России и последствия невыполнения требований
В целях защиты прав субъектов ПДн в каждой из стран ЕС созданы государственные органы по защите прав субъектов ПДн (в тексте Регламента – Supervisory Authorities, в общей практике такие органы называются Data Protection Authorities (DPA)). В числе прочих, DPA наделены согласно ч.1 ст.58 GDPR следующими полномочиями:
GDPR не раскрывает процедуру контроля за соблюдением Регламента организациями, расположенными вне ЕС и не назначившими представителя, а также каким образом организации, расположенные вне ЕС, будут нести ответственность за нарушения правил обработки ПДн.
Мы провели с DPA стран ЕС ряд интервью по вопросам контроля за соблюдением GDPR вне ЕС. Ответы были различными, но в целом ясности не появилось. Один из представителей DPA сделал оговорку, что такие случаи будут регулироваться во взаимодействии с DPA стран нахождения оператора либо обработчика. Сегодняшняя геополитическая ситуация и позиция руководителя Роскомнадзора А. Жарова по вопросу необходимости соответствия российских организаций GDPR вносят некоторые сомнения, что попытки такой кооперации DPA стран ЕС с Роскомнадзором будут продуктивны.
Хочется обратить внимание, что указанные в GDPR многомиллионные штрафы, которыми больше всего пугают операторов – это верхняя планка. GDPR говорит о том, что налагаемые штрафы (и иные санкции) должны быть соразмерны нарушению, эффективны и предупреждающими повторные нарушения. Конкретные размеры штрафов будут определяться индивидуально, с учетом большого количества факторов. Многомиллионный штраф может быть наложен на организацию в том случае, если она сознательно и злостно нарушала права субъектов, тщательно это скрывая и получая от такой обработки ПДн высокую прибыль.
Наиболее вероятным (но не единственным) и существенным последствием невыполнения GDPR для российских организаций, не имеющих представительств либо дочерних организаций на территории ЕС (а также назначенного представителя по вопросам обработки ПДн), является не штраф, а блокирование сайта организации на территории ЕС либо отдельных государств-членов ЕС. Несмотря на то, что возможность блокирования сайта не прописана напрямую в GDPR, она представляется закономерным способом ограничения обработки ПДн в целях предупреждения повторных нарушений, в особенности при отсутствии иных возможностей влияния на оператора.
Зачем российским организациям соответствовать GDPR?
Выполнение GDPR имеет и иные преимущества для организаций помимо очевидной возможности избежать возможных санкций со стороны DPA ЕС.
Прежде всего это повышение общего уровня ИБ и управления данными в организации. Зачастую в процессе приведения к соответствию требованиям по защите ПДн организация впервые создает реестр существующих у нее бизнес-процессов, понимает имеющиеся потоки данных, создает схему сети, описывает существующую систему защиты информации. Эти действия становятся фундаментом для защиты не только ПДн, но и иных видов конфиденциальной информации, а также для оптимизации бизнес-процессов.
Если организация обрабатывает ПДн, переданные ей контрагентом, попадающим под действия GDPR, контрагент будет требовать от нее соответствия требованиям GDPR, предъявляемым к обработчикам ПДн. Соответствие GDPR позволит сервис-провайдеру расширить доступный рынок предоставления услуг на территорию ЕС, а также предоставлять услуги тем российским организациям, которые попадают под требования GDPR.
Требование об обязательном соответствии GDPR может исходить от головной компании при применимости GDPR к организациям группы компаний, с которыми российская организация обменивается ПДн. Но в таком случае целесообразно, во-первых, уточнить, действительно ли обрабатываются ПДн лиц, находящихся на территории ЕС, а во-вторых, если они обрабатываются, распространять требования Регламента на те процессы, в которых производится обработка таких ПДн, а не на всю организацию.
GDPR устанавливает необходимость соблюдения многочисленных прав субъектов ПДн и обеспечения прозрачности обработки ПДн для субъектов. По сравнению с ФЗ «О персональных данных» GDPR более подробно разъясняет, как информировать субъектов ПДн об обработке их ПДн, а также о том, как они могут реализовывать свои права в отношении этой обработки. Отражение этих вопросов обработки ПДн в Политике обработки ПДн, а также при сборе информации об обработке ПДн, позволяет повысить прозрачность деятельности организации и обеспечить большее доверие со стороны всех субъектов ПДн.
Резюме
Если ваша организация расположена в России – это ещё не значит, что GDPR к ней не применим. Проверить применимость требований Регламента к вашей организации можно с помощью указанных выше критериев.
Регламент вступил в силу только что, и по данным компании Symantec 80% организаций в ЕС не соответствуют требованиям GDPR. Каким образом к российской организации в связи с нарушениями GDPR могут быть применены санкции со стороны ЕС, пока неясно, но тем не менее, к Регламенту стоит относиться серьезно.
В завершение хотим отметить, что с большой вероятностью в скором времени для единообразия с европейским законодательством в российском законодательстве об обработке ПДн появятся формулировки, схожие с требованиями GDPR.
«Игнорировать GDPR будет сложно всем»: что нужно знать о новом регламенте
Исполнительный директор Digital Contact
25 мая вступает в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными в Европейском союзе.
Ольга Кутейникова, исполнительный директор Digital Contact, отвечает на шесть самых распространенных вопросов о GDPR.
1. Что такое GDPR
Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.
Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.
Принципы GDPR:
2. Кого коснется
GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.
3. Почему мне это нужно знать
Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.
4. Что грозит тем, кто не выполняет требования
За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.
Тест: узнай, сможешь ли ты грамотно выйти на рынок в другой стране
Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.
5. Что нужно сделать прямо сейчас
Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.
Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.
6. Где почитать больше по теме
Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.
GDPR: принципиальные нововведения
25 мая вступил в силу Регламент № 2016/679 Европейского Парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных/ЕС» (коротко – General Data Protection Regulation, GDPR; далее – Регламент), заменивший собой действовавшую с 1995 г. Директиву ЕС № 95/46/EC. Регламент принят в рамках реализации европейской стратегии «Единого цифрового рынка» (см. сообщение Европейской комиссии № COM/2015/0192 A Digital Single Market Strategy for Europe) и является частью крупной реформы европейского права, направленной на его гармонизацию в условиях цифровой экономики.
Основные принципы обработки персональных данных существенно не изменились. К ним относятся:
Вместе с тем Регламент содержит ряд принципиальных нововведений, ключевые из которых:
1. Прямо закреплена обязанность оператора соблюдать принципы privacy by design и privacy by default как при разработке новых технологий и продуктов, так и в процессе обработки данных. Первый принцип предполагает обязательное внедрение организационных и технических мер, разумно достаточных для обеспечения безопасности персональных данных. Согласно второму принципу, организационные и технические меры должны обеспечивать минимизацию обработки данных: по объему, времени, способам обработки и доступности третьим лицам.
2. У операторов появилась прямая обязанность проводить предварительную оценку влияния на защиту данных (data protection impact assessment) в отношении тех операций с данными, которые могут повлечь существенные риски нарушения прав субъектов персональных данных.
3. У субъектов персональных данных появилось право на перенос данных (data portability right), позволяющее субъектам получить от оператора свои персональные данные в структурированном и общепринятом формате для передачи другому оператору или, при наличии технической возможности, требовать передачи указанных данных напрямую новому оператору. Прямо закреплено право субъекта персональных данных на забвение (right to be forgotten).
4. У операторов появилась обязанность уведомлять надзорный орган и субъекта персональных данных о случаях нарушения безопасности данных.
5. Предусмотрено более строгое регулирование профайлинга (profiling) и процедур принятия решений в отношении субъекта персональных данных на основании автоматической обработки его данных, а также обработки персональных данных детей.
6. Установлен механизм «одного окна» (one-stop-shop), позволяющий надзорному органу страны, в которой расположен головной офис оператора, осуществлять общую координацию контрольных мероприятий в отношении оператора, осуществляющего трансграничную обработку данных.
7. Отменена процедура уведомления надзорных органов об обработке персональных данных и вместо этого введена обязанность оператора вести внутренний учет всех процессов обработки данных и, при необходимости, предоставлять соответствующие записи надзорным органам.
8. Для органов публичной власти и организаций, чья основная деятельность связана с систематической обработкой больших объемов персональных данных либо с обработкой специальных категорий персональных данных, установлена обязанность назначить уполномоченного по защите данных (data protection officer – DPO). Такое лицо должно обладать соответствующей квалификацией, быть в курсе всех связанных с обработкой персональных данных процессов в организации, напрямую отчитываться перед топ-менеджментом компании и осуществлять взаимодействие с надзорными органами.
9. Наконец, одно из наиболее значимых нововведений касается штрафов за нарушение Регламента. За нарушение ряда ключевых требований (например, за нарушение основных принципов или обработку данных без согласия субъекта) предусмотрен штраф в размере до 20 млн евро или 4% годового оборота за предшествующий год в зависимости от того, какая сумма выше. За иные нарушения размер максимального штрафа в два раза ниже – до 10 млн евро или 2% оборота соответственно.
Несмотря на то что Регламент, в отличие от утратившей силу Директивы, обладает прямым действием на территории ЕС, новое регулирование, как и прежде, содержит большое количество оценочных категорий и норм-принципов, предполагающих их последующее развитие и конкретизацию в национальном регулировании, правоприменительной практике надзорных органов и судов.
В этом прослеживается естественное стремление органов власти ЕС сделать регулирование более гибким и способным подстраиваться под меняющиеся условия оборота. Вместе с тем такой подход создает правовую неопределенность и вызывает у бизнеса разумные опасения относительно рисков применения к ним упомянутых санкций.
При этом Регламент носит экстерриториальный характер и распространяет свое действие не только на европейские компании и граждан ЕС. Так, к российским организациям Регламент может применяться в случаях, когда они обрабатывают персональные данные:
Указанные критерии являются настолько широкими, что под действие Регламента может подпадать, к примеру, российская организация, имеющая сайт на английском языке с формами обратной связи или сайт, отслеживающий поведение пользователей с помощью файлов-cookie.
По общему правилу, компании не из ЕС, на которых распространяется действие Регламента, обязаны назначить представителя в ЕС для взаимодействия с надзорными органами. Данная обязанность не касается компаний, обрабатывающих персональные данные лиц, находящихся в ЕС, не на постоянной основе, а эпизодически, при условии, что не обрабатываются специальные категории персональных данных и риск нанесения вреда правам и законным интересам соответствующих субъектов маловероятен.
Для российских граждан вступление в силу Регламента означает, что теперь они наравне с гражданами ЕС вправе требовать от операторов, подпадающих под действие Регламента, соблюдения соответствующих прав, включая право на забвение и право на перенос данных.
В заключение хотелось бы отметить, что при разработке действующего российского законодательства о персональных данных за основу была взята именно Директива ЕС 1995 г., в связи с чем наше регулирование во многом схоже с европейским. Учитывая, что глобальные процессы, послужившие причиной разработки нового регулирования, в той или иной степени актуальны для всех юрисдикций без исключения, весьма вероятно, что в случае успеха нового Регламента российское регулирование в сфере персональных данных пойдет по тому же пути. Этому будет способствовать и то обстоятельство, что уже сейчас многие российские компании вынуждены соблюдать требования Регламента, и аналогичные изменения в российском регулировании уже не будут для них чем-то неожиданным.
Всё о GDPR для российских компаний
Страны Евросоюза приняли Регламент — General Data Protection Regulation, чтобы защитить личные данные граждан.
Постановление Евросоюза состоит из одиннадцати глав, которые включают:
Генеральный регламент Евросоюза не должен рассматриваться как препятствие для экономики. Международный документ служит инструментом укрепления доверия потребителей. Особенно — на фоне участившихся в последнее время скандалов, связанных с масштабными утечками баз данных.
Общий регламент по защите данных вступил в силу 25 апреля 2016 года. Однако до 25 мая 2018 г. вводился переходный период для подготовки компаний к работе в новых условиях.
Начиная с 25 мая 2018 года молчаливого согласия на операции с личными данными уже недостаточно. Регламент усложнил работу компаний, возложив на них ряд обязательств:
В то же время GDPR предоставил гражданам широкие привилегии в определении судьбы собственных личных данных.
Страны, на которые распространяется GDPR
Постановление Европарламента о защите персональных данных обязательно не только для стран Евросоюза.
Область применения постановления определена в первых статьях GDPR. Практически все отрасли и фирмы подчиняются действию правил, как только начинают взаимодействовать с приватными сведениями о людях, находящихся в ЕС.
Поэтому компании, которые не входят в ЕС, должны соблюдать GDPR при условии, что они в той или иной форме действуют в ЕС и обрабатывают соответствующие данные.
По этой причине Регламент должен расцениваться как актуальный правовой акт для компаний из США, Европы и Азии.
На кого распространяются положения GDPR
Соблюдение цифровой конфиденциальности обязательно для компании из любой страны мира, если она:
Новые правила относятся не только к крупным компаниям с многомиллионными оборотами, которые обрабатывают тысячи данных о клиентах. GDPR влияет на каждую компанию, независимо как от места нахождения, так и от размера капитала или иных характеристик.
Одно из важных нововведений заключается в том, что теперь каждая компания, которая обрабатывает данные от граждан ЕС, независимо от местоположения сервера, должна придерживаться строгих правил.
Любая компания, которая представлена в интернете и отслеживает поведение пользователей, размещает формы обратной связи с клиентами, отправляет рекламные электронные письма, заключает договоры, предлагает услуги или товары с реализацией на территории ЕС, обязана соблюдать новые требования.
По правилам GDPR новым условиям обязаны подчиняться не только коммерческие компании. В равной мере эта обязанность возложена на организации, которые не занимаются коммерцией, а также на органы государственной власти.
Соблюдение новых требований актуально и для владельцев сайтов, размещенных на европейских серверах или имеющих отношение к ЕС в любом виде.
Принципиальные условия по GDPR
Конфиденциальная информация может обрабатываться только в соответствии с принципами, утверждёнными Европарламентом:
Государство вправе установить меньший возраст для указанных целей, но не менее 13 лет.
Ответственность за соответствие требованиям GDPR несёт контролёр.
Права граждан
Политика Европейского Союза защищает основные права человека. В первую очередь, право на информационное самоопределение. Личная информация не может произвольно обрабатываться и должна строго охраняться от несанкционированного доступа.
Регламент закрепляет за пользователями:
При получении личной информации не от самого гражданина, контролёр обязан предоставить информацию субъекту в разумный срок, но не позднее месяца с момента получения.
Каждый может сделать запрос контролёру, чтобы узнать, обрабатываются ли его конфиденциальные данные, в каких целях и получить к ним доступ.
Персональные данные по GDPR
Персональные данные — это вся информация, которая позволяет идентифицировать личность:
Общие данные. Любая информация, которая относится к человеку: адрес, возраст, место рождения; номер телефона.
Физические характеристики лица. Пол; цвет и особенности кожи; цвет волос и глаз; рост, размер одежды.
Онлайн-данные. IP-адрес, данные о местонахождении, адрес электронной почты, данные аккаунта.
Идентификационные данные. Идентификационный номер налогоплательщика, номер водительского удостоверения; номер социального страхования; номер медицинской страховки; номер документа, удостоверяющего личность.
Характеристики собственности. Наличие автомобиля и номерные знаки; права на недвижимость; записи в земельной книге, регистрационные данные.
Банковские реквизиты. Номера счетов; банковских карт; данные о средствах на счёте; кредитная информация.
Ценностные суждения о личности. Характеристики, рекомендации, отзывы.
Приведённый перечень не полон. Однако и он позволяет понять, что к защищаемой информации относятся любые сведения, хоть как-то относящиеся к личности.
Состав персональных данных, принятый в Евросоюзе, значительно шире, чем, например, в России.
Как соответствовать требованиям?
Даже небольшой бизнес или веб-сайт, на котором предусмотрена регистрация или рассылка читателям бюллетеней, должен следовать GDPR, чтобы не нарушить европейское законодательство.
Чтобы соответствовать требованиям Регламента, компаниям необходимо придерживаться правил:
Другие сведения (e-mail — чтобы рассылать рекламу, дата рождения – для поздравительных писем) для исполнения договора не нужны.
Чтобы получить данные о личности, без которых выполнить обязательства нельзя, согласие клиента не требуется.
Сбор необязательных для договора сведений возможен только в согласия клиента.
На обработку персональных данных, которые не предусмотрены трудовым контрактом, требуется согласие.
Ответственность за невыполнение GDPR
С мая 2018 года к началу 2020 года было выявлено 160 тысяч нарушений и взыскано штрафов на сумму 114 млн евро.
В 2020 году компании продолжают нести экономические потери в виде штрафов из-за невыполнения Регламента:
Ещё около трёхсот компаний оштрафованы в 2020 году на разные суммы.
Штрафы — не единственный вид наказания за нарушения. В арсенале надзорных органов, таких как ICO (Управление комиссара по информации), имеются и другие процедуры:
Вывод
Генеральный регламент стандартизирует деятельность компаний, которые предлагают онлайн-услуги, обрабатывают данные посетителей веб-сайта или данные зарегистрированных пользователей.
Положение компаний, которые не учитывают в деятельности обновлённые правила сбора конфиденциальной информации, находится под угрозой. Ответственность за нарушения может оказаться компании не по силам и разрушить бизнес.
Только включение правил GDPR в рабочие процессы позволит организации стабильно продолжать предпринимательскую деятельность.