Кто подпадает под действие GDPR?
Регламент имеет транстерриториальное действие и обязывает выполнять свои нормы также субъектов, находящихся за пределами ЕС. Под действие Регламента подпадают компании всего мира, обрабатывающие европейские персональные данные в ходе предложения товаров или услуг (как возмездных, так и безвозмездных) или мониторинга субъектов данных в ЕС либо имеющие организационную единицу (например, филиал, представительство) в ЕС.
Обработкой персональных данных считается любое действие над информацией, которая идентифицирует или позволяет идентифицировать конкретное физическое лицо, а также над информацией, которая описывает это лицо: фамилия, имя, отчество, реквизиты личных документов, номер телефона, адрес электронной почты и место жительства, сведения о здоровье, работе, семье, отношениях, привычках и предпочтениях, учетные записи в социальных сетях и др.
Справочно.
Обработка персональных данных также включает сбор, запись, организацию, систематизацию (структурирование), накопление, хранение, обновление или изменение, извлечение, согласование, использование, разглашение посредством пересылки, распространение или иной вид предоставления доступа, совмещение или комбинирование, сокращение, удаление или уничтожение информации.
Следовательно, под действие Регламента подпадают белорусские компании, которые обрабатывают такую информацию о физических лицах, находящихся на территории ЕС. Например:
- IT-компании, ориентирующие свои программные продукты как на весь мир, так и на граждан одной или нескольких стран ЕС (производители мобильных приложений, онлайновых игр и других сервисов);
- Онлайн-магазины, в чью целевую аудиторию входят потребители из ЕС;
- Транспортные компании (авиалинии, международные автобусные и железнодорожные перевозчики);
- Туристические компании, предлагающие услуги европейским клиентам;
- Гостиницы и хостелы, принимающие иностранных туристов;
- Медицинские клиники, обслуживающие пациентов из ЕС.
В чем заключается система обеспечения соблюдения норм Регламента?
Самый безопасный способ избежать жестких санкций по GDPR — это беспрекословно соблюдать его требования, причем реально, а не формально: Регламент не просто установил нормы обращения с персональными данными, но и ввел систему обеспечения соблюдения этих норм. В частности:
- в отсутствие убедительных доказательств следования Регламенту презюмируется, что компания его нарушает;
- под угрозой серьезных санкций на заказчиков обработки персональных данных возложена обязанность проверять своих подрядчиков на предмет того, следуют ли они Регламенту;
- на определенные компании возлагается обязанность назначить независимого инспектора по защите персональных данных (Data protection officer (DPO)), осуществляющего внутренний надзор за обработкой личной информации;
- компаниям, находящимся вне ЕС, потребуется назначить представителя в ЕС.
В Регламенте закреплены и другие обеспечительные меры, которые не позволят ускользнуть от выполнения требований GDPR на практике.
Каковы основные принципы защиты персональных данных?
В отсутствие Закона «О персональных данных» в Беларуси концепция защиты персональных данных зачастую непонятна как широкой публике, так и профессиональным юристам. Поэтому будет вполне уместно процитировать Бьёрна Поульсена*, который с помощью метафоры «одолжить машину» иллюстрировал основные принципы защиты персональных данных согласно GDPR:
* Poulsen B. GDPR is not complicated. Авторство оспаривается Moyn Uddin.
- «Если хочешь одолжить что-то, вежливо попроси. Например, машину друга. То же самое касается персональной информации». Персональные данные по-прежнему принадлежат лицу даже после того, как оно передало их для обработки. Обработка (в том числе сбор и хранение) данных должна вестись на законных основаниях: на базе контракта, информированного согласия, требования закона и еще нескольких прямо прописанных в законодательстве оснований (ст. 5 GDPR).
- «Скажи, зачем ты хочешь ее использовать: поездка в Италию и обратно или просто съездить на работу». Прозрачность обработки данных означает, что гражданин имеет право знать, какой информацией о нем владеют, для какой цели, как, где и с привлечением каких третьих лиц ее обрабатывают и др. (ст. 12 GDPR).
- «Не используй ее для чего-то еще. Не участвуй в гонках и не сдавай ее напрокат кому-то». Обработка данных ограничена целью, на основании которой обрабатывается информация. Например, получив контакты для заключения договора, нельзя использовать их для рассылки рекламных материалов, не имея соответствующего согласия.
- «Заботься о ней. Оберегай ее надлежащим образом и не позволяй ее угнать». Оператор данных обязан обеспечить их информационную безопасность, а именно их конфиденциальность, целостность и доступность. Это не только технические меры вроде антивирусов, шифрования, межсетевых экранов, установки патчей, анализа логов, но и организационные меры вроде определения должностных обязанностей, учета и классификации данных, скрининга и обучения сотрудников. Как показывает практика, в большинстве случаев персональные данные легче и дешевле изначально не собирать или как можно скорее уничтожить, нежели на протяжении длительного времени поддерживать их информационную безопасность.
- «Если ты ее потерял или не уберег от повреждения…, тогда плати». За нарушение правил защиты персональных данных предусмотрена административная, гражданско-правовая, а в некоторых случаях и уголовная ответственность.
Какие санкции предусмотрены за нарушение правил защиты персональных данных?
Статья 83 Регламента устанавливает два вида штрафов в зависимости от серьезности нарушений.
Представляющими наибольшую угрозу считаются нарушения основных принципов обработки персональных данных, нарушения прав субъектов данных, несоблюдение правил трансграничной передачи персональных данных, а также невыполнение предписаний надзорного органа. Эти действия наказываются самым высоким административным штрафом в размере до 20 млн евро, а в отношении компаний — до 4 % от общего годового мирового оборота за предыдущий финансовый год, в зависимости от того, что выше.
Под данный состав подпадают такие распространенные действия, как:
- сбор персональных данных в большем объеме, чем минимально необходимо для достижения конкретной заявленной цели обработки;
- передача данных третьему лицу без получения согласия субъекта данных или без надлежащего договора, иного законного основания;
- непредставление в течение месяца точной и исчерпывающей информации субъекту данных по его запросу;
- хранение персональных данных после того, как заявленная цель для их обработки была достигнута. Например, хранение почтового адреса и телефона потребителя длительное время после доставки товара.
Нарушения вроде несоблюдения подхода «проектируемой приватности» и «приватности по умолчанию» при разработке программного обеспечения, несвоевременного уведомления надзорного органа и субъектов данных о произошедшей утечке персональных данных, невыполнение стандартов информационной безопасности и другие действия, которые нарушают обеспечивающие нормы Регламента, влекут наложение административного штрафа в размере до 10 млн евро, а в отношении компании — до 2 % от общего годового мирового оборота за предыдущий финансовый год, в зависимости от того, что выше. Таким образом, предприятие заплатит штраф до 10 млн евро, если, например:
- оно разработало ПО, обрабатывающее персональные данные, не предусмотрев в нем решений, обеспечивающих приватность пользователей (например, шифрования, псевдонимизации и др.);
- его сотрудник потерял устройство с незашифрованной базой, содержащей персональные данные;
- произошла утечка персональных данных, но предприятие в течение 72 часов не уведомило об этом надзорный орган в ЕС и др.
Справочно.
Двадцатимиллионный штраф согласно GDPR — это предел ответственности для большинства компаний из Беларуси. Нижнего предела не установлено. Согласно Регламенту при назначении штрафа и определении его размера надзорные органы из ЕС руководствуются принципами эффективности, соразмерности и сдерживающего эффекта.
Какие обстоятельства учитываются при наложении административного штрафа?
При решении вопроса о наложении административного взыскания и установлении его размера в каждом отдельном случае принимаются во внимание:
- характер, тяжесть и продолжительность нарушения с учетом характера, объема или цели обработки, количества пострадавших субъектов данных и размера причиненного им вреда;
- преднамеренный или непреднамеренный характер нарушения;
- любые действия, предпринятые для уменьшения ущерба, причиненного субъектами данных;
- другие меры согласно п. 1 ст. 83 GDPR.
Взыскание штрафа будет происходить по общим нормам международного права. Если решение о взыскании останется невыполненным, учредителям неплательщика стоит серьезно обеспокоиться. Вместе с тем административный штраф — не единственное средство воздействия. Запрет на передачу персональных данных компании, находящейся в третьей стране (абзац J п. 2 ст. 58 GDPR), может оказаться еще более суровой мерой. Гипотетически если такая мера применяется к предприятию-монополисту в области почтовых услуг в стране за пределами ЕС, то целое государство может де-факто лишиться почтовой связи с ЕС.
P.S. Проверьте свои юридические знания и пройдите наш ежемесячный тест!