GDPR: главный, но не единственный?
Изучая регулирование в сфере персональных данных ЕС, приходится разбираться не только в Регламенте, но и знакомиться с иными правовыми актами.
В Регламенте предусмотрено 40 пунктов, которые отдельные страны ЕС при необходимости могут наполнять своей национальной спецификой. Многие государства — члены ЕС пользуются такой возможностью, в результате чего появляются новые законодательные акты на уровне стран, действующие на национальном уровне (на территории страны, принявшей их).
GDPR — первый и основной документ в рамках Европейской реформы защиты персональных данных.
Вторым документом является Полицейская директива, направленная на защиту персональных данных во время расследования уголовных дел и осуществления правосудия (принята одновременно с Регламентом).
Третьим документом выступает Регламент ЕС о защите приватности и электронной коммуникации (ePrivacy regulation). Он разрабатывается и будет касаться еmail-маркетинга, деятельности мобильных операторов, Интернета вещей.
Помимо общеевропейских актов и национальных законов продолжают действовать многочисленные прецеденты European Court of Justice, руководства и разъяснения European Data Protection Board и Article 29 Working Party, а также национальных надзорных органов стран ЕС.
Справочно.
Регламент официально опубликован на 24 языках Европейского союза. Официальный перевод на русский отсутствует.
Сам Регламент претерпел небольшие изменения: с момента принятия он прошел корректировки на предмет единства и соответствия юридических терминов при переводе на языки государств — членов ЕС.
GDPR — 1 год: что показала практика?
К субъектам хозяйствования пришло осознание, что Регламент вступил в силу и действует, его необходимо исполнять, а надзорные органы активно выписывают штрафы. При этом размеры штрафов достаточно велики для бизнеса (например, компания Google была оштрафована на 50 млн долл. США).
За год действия норм Регламента практика показала, что наиболее распространенными основаниями для применения штрафных санкций яв-ляются:
— нарушение принципа прозрачности (выражается в неуведомлении пользователей о наличии персональных данных (далее — ПД) в компании, о правовых основаниях и целях использования, о способах их обработки, о сроках хранения);
— нарушение принципов минимизации и ограничения хранения, то есть сбор и обработка большего объема данных, чем нужно для цели, а также их хранение дольше необходимого;
— нарушение целостности и конфиденциальности при работе с ПД (недостаточная степень защиты данных, в том числе от несанкционированных изменений).
Отметим, что в поле зрения надзорных органов не только европейские компании, но и компании из стран Африки, Азии, Восточной Европы, которые имеют доступ к данным европейских пользователей.
Тенденция в поведении компаний в настоящее время — не привлекать к себе внимание, «замаскировавшись» под соответствующий Регламенту бизнес с помощью политики приватности, однако ее размещения на сайте недостаточно для выполнения требований Регламента.
С какими проблемами сталкиваются компании?
Стоит обратить внимание, что даже крупные компании сталкиваются с определенными трудностями, несмотря на своевременную подготовку к требованиям Регламента.
Основной причиной является недостаточность ресурсов, так как выстраивание всех бизнес-процессов для соответствия Регламенту — затратный процесс. Речь о финансировании обучения сотрудников, обеспечения информационной безопасности, анализа движения данных, менеджмента данных и др.
Кто на белорусском рынке внедряет у себя GDPR?
Наиболее активны в выстраивании процессов соответствия GDPR крупные компании (банковский сектор, кредитно-финансовые учреждения, IT-сектор), которые адекватно оценивают риски и понимают необходимость принятия внутренних мер (инструктаж сотрудников и их обучение, настраивание бизнес-процессов, аудит рисков).
Белорусские компании, работающие на рынок ЕС и оказывающие услуги европейским гражданам в сфере перевозок, образования, медицины, фармацевтики, IT, производства и торговли, подпадают под действие Регламента и должны ему соответствовать.
Так как белорусские IT-компании имеют сформировавшуюся базу клиентов, пользователей, контрагентов из стран ЕС и базируют свои продукты на использовании персональных данных, то это касается их в первую очередь.
Несмотря на техническую подкованность в работе с ПД, IT-компании также столкнулись с трудностями в сфере аудита и учета данных по правилам GDPR.
При разработке приложений IT-компании понимают, что соответствие Регламенту — не тренд, а необходимость для дальнейшей жизнеспособности разрабатываемых продуктов. Пользователи больше не доверяют безоговорочно и по умолчанию приложениям, ожидая, что к ПД будут относиться с уважением, с учетом их пользовательского интереса.
Многие потребители останавливаются в шаге от скачивания, удаляют сомнительные приложения, внимательно относятся к запрашиваемой личной информации. Это ведет к репутационным и финансовым издержкам.
Таким образом, речь идет о двойной нагрузке для компаний:
— штрафных санкциях при невыполнении требований GDPR;
— финансовых издержках (вследствие потерь пользователей и рынка для продукта (приложения)).
Справочно.
Due diligence — независимая и объективная оценка объекта инвестирования, включающая в себя оценку рисков и всестороннее исследование деятельности компании.
При разработке приложения (продукта) необходимо изначально запроектировать определенный функционал, обеспечивающий приватность. В противном случае продукт не имеет будущего: пользователь несет повышенные риски, а над разработчиком нависает угроза штрафа до 10 000 000 евро за нарушение ст. 25 Регламента. Также в процессе due diligence («должной осмотрительности») при приобретении нового продукта, поглощении новой компании оцениваются риски и возможные негативные последствия. Теперь к критериям оценки относится и соответствие Регламенту.
Трансграничная передача данных: не все так просто?
Регламент установил барьер для передачи данных в страны, не обеспечивающие достаточной защиты персональных данных (Республика Беларусь признается таковой Еврокомиссией).
Справочно.
Трансграничная передача данных по регламенту подразумевает передачу европейских персональных данных за пределы или за пределами ЕС, например, от немецкой компании белорусской, от белорусской — украинской и т.д.
Безопасность ПД должна быть обеспечена не только первоначальным получателем, но и подрядчиками, которым открываются такие данные (сервисы, хостеры, облачные сервисы). С такими подрядчиками белорусские компании, работающие с данными европейских пользователей, оформляют специальный договор, после чего стороны договора подпадают под действие Регламента и контроль европейских надзорных органов.
Следует отметить, что если у отечественной компании есть доступ к серверам или сетям в ЕС, содержащим ПД, то также имеет место трансграничная передача данных в Республику Беларусь. То есть для трансграничной передачи данных не требуется отправки данных на сервер белорусской компании, достаточно просто доступа к иностранным серверам.
А это значит, что автоматически белорусский субъект хозяйствования подпадает под действие Регламента и необходимо принять соответствующие меры (обучить сотрудников, «связать» их соглашением о неразглашении информации, провести инструктаж, разделить полномочия и обеспечить закрепление за каждым логинов и паролей для идентификации сотрудников при их работе с данными и т.п.).
Справочно.
Standard сontractual сauses (стандартные контрактные условия) — это типовой договор об обработке европейских ПД за рубежом, утверждаемый Европейской комиссией.
Учимся на чужих ошибках и штрафах?
Обратите внимание на наиболее распространенные нарушения на примере кейсов:
Указанные нарушения являются универсальными и могут быть присущи любой компании, в том числе и белорусской. Поэтому рекомендуем придерживаться основных правил при работе с ПД:
— собирайте данные только на законном основании (в Регламенте их 6: контракт, согласие, легитимный интерес, требование закона, жизненный интерес, публичный интерес);
— информируйте людей о судьбе их данных;
— не собирайте данных больше, чем нужно компании для заявленной цели;
— удаляйте данные сразу после достижения цели их обработки;
— защищайте ПД надлежащим образом;
— не замалчивайте об утечке ПД, а своевременно сообщайте пользователям (через email-рассылку либо иным способом) и в надзорные органы (в течение 72 часов через web-форму на сайте надзорного органа).
Справочно.
С актуальной информацией о нарушениях и штрафах можно ознакомиться по ссылке: enforcementtracker.com
Отметим, что наиболее активные надзорные органы в Германии, Франции, Великобритании, Испании, Чехии, Швеции, Польше, Ирландии, а лидером по сумме выписанных штрафов стал французский CNIL.
Дополнительно по теме:
Воронкевич С. Работаем по правилам GDPR: при чем здесь белорусские компании?
Воронкевич С. GDPR: что нужно знать белорусским компаниям?
Мачихин С. Правильно внедряем DLP-систему: как обеспечить защиту информации и не нарушить права работников
