25 мая 2018 года вступил в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными. Правда, вступил он в Европейском союзе и распространяется, в первую очередь, на государства, которые являются его членами. Однако GDPR в России также будет иметь большое значение, ведь он имеет экстерриториальное действие. Особую роль GDPR играет для тех компаний, которые собирают и обрабатывают данные европейцев. В соответствии с регламентом компании, собирающие и обрабатывающие персональные сведения против воли и разрешения их владельца, будут ждать многомиллионные штрафы.
Новый континентальный регламент по защите данных — General Data Protection Regulation (GDPR) — вступил в силу в Евросоюзе 25 мая. Хотя генеральный регламент о защите персональных данных (GDPR) был разработан и принят Европейским парламентом и Советом ЕС в апреле 2016 года. Регламент вступил в силу после двухлетнего переходного периода.
Документ дает право и инструменты гражданам 28 стран ЕС для полного контроля над своими персональными данными. Казалось бы, при чем здесь Россия, которая не только не входит в ЕС, но и имеет со многими странами Европы напряженные отношения? Действуют санкции и контрсанкции, поэтому соответствие GDPR, по идее, должно волновать мало компаний. Но это только в теории. Оказывается, общий регламент по защите данных GDPR затрагивает многие российские организации, а также граждан. Разберемся, с чем это связано.
Что главное в регламенте GDPR
Согласно правилам, пользователи теперь вправе получить от компании — поставщика товаров или услуг подробные сведения о том, какие именно данные она собирает, в какой форме они используются, кто имеет к ним доступ, сколько времени хранятся на серверах, а также используются ли эти данные для автоматического составления профиля пользователей. По первому запросу пользователя всю эту информацию компания будет обязана предоставить в течение месяца — бесплатно и в удобном формате.
Согласно документу, интернет-ресурсы должны спрашивать согласие на сбор персональной информации. При этом регламент прямо запрещает собирать некоторые виды персональных данных, в том числе сведения о расовой или этнической принадлежности, политических взглядах, исповедуемой религии, членстве в профсоюзах, состоянии здоровья и сексуальной ориентации.
Нормы регламента являются экстерриториальными — то есть они распространяются на любых операторов, обрабатывающих персональные данные как в странах — членах ЕС, так и за пределами союза, а также на компании, предоставляющие товары и услуги европейцам, включая российские.
Интересно, что правом знать, как именно будут использоваться информация, которую пользователи представляют о себе в сети, наделяются все люди, находящиеся на территории Европы — в том числе иностранцы, приехавшие в европейские страны на отдых.
Что такое GDPR?
Регламент о защите персональных данных граждан ЕС похож на российский Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных». Оба документа предусматривают:
- Прозрачность сбора персональных данных: организации и граждане-операторы обязаны собирать данные на законных основаниях, с согласия их владельцев и объяснять, как планируют их использовать.
- Ограничение цели сбора данных: персональные даные граждан можно собирать и хранить только в строго установленных и озвученных владельцу целях.
- Ограничение объема персональных данных заявленными целями.
- Управление данными и возможность их отзыва владельцем. Гражданин имеет право запрашивать у оператора, какими сведениями о нем он располагает, а также потребовать удалить всю эту информацию.
- Безопасность использования и хранения: собранную о гражданах информацию нельзя передавать третьим лицам. Оператор обязан обеспечить защищенность хранения, без возможности утечки. Раскрывать данные без согласия их владельцев запрещено.
- Ограничение сроков хранения и обработки заявленными целями.
Но в ЕС пошли немного дальше РФ: в GDPR персональные данные являются объектом контроля со стороны уполномоченных органов. По регламенту для каждого обработчика может быть назначен отдельный контролер, который взаимодействует с оператором-обработчиком. Именно эти два субъекта должны обеспечить необходимые средства для обеспечения постоянной конфиденциальности и своевременного восстановления доступа к персональным данным в случае природного или технического инцидента. Кроме того, в их обязанности входит уведомлять надзорные органы об утечке персданных в течение 3 суток с момента выявления такой утечки, а также информировать об этом субъект данных. В российском законе такой обязанности у операторов нет, они просто обязаны самостоятельно и быстро устранить утечку. Кроме того, в ЕС обработчики данных должны отчитываться об их хранении и использовании.
При этом раньше в ЕС действовала директива N 95/46/ЕС «О защите физических лиц при обработке персданных и о их свободном обращении», на смену которой и пришел GDPR. Его главное отличие от упраздненной директивы состоит в экстерриториальности и наднациональности, то есть если раньше все ограничивалось границами ЕС, то теперь требования должны фактически соблюдаться по всему миру, в том числе и в России.
Кого в РФ коснутся требования GDPR?
Действовать в РФ, как и по всему миру, GDPR начал 25 мая 2018 года. Именно с этой даты все российские организации, индивидуальные предприниматели и просто граждане, имеющие дело с персональными данными лиц, проживающих на территории Европейского Союза, обязаны следовать нормам этого регламента, чтобы избежать ответственности. К таким операторам персональных данных граждан ЕС, в часности, можно отнести:
- компании и ИП, которые имеют дочерние предприятия или филиалы на территории ЕС;
- организации и ИП, которые оказывают различные услуги в интернете (реализуют путевки, предоставляют услуги по бронированию номеров в отелях, содержат онлайн-кинотеатры, продают программное обеспечение и т.д);
- оказывают услуги мобильной связи в европейском роуминге;
- собирают персональные данные пользователей в мессенджерах, социальных сетях и других подобных сервисах.
Таким образом, соблюдать регламент будут обязаны не только организации, ведущие внешнеэкономическую деятельность, но и многие, даже небольшие компании, фактически работающие только в РФ, но ведущие бизнес в интернете. Поэтому всем им необходимо проверить свои базы данных с персональными данными пользователей и выяснить, есть ли среди них граждане Евросоюза. Если такие обнаружатся, то регламент нужно соблюдать. Правда, назначать представителя на территории ЕС для отчетности и взаимодействия с контролером нужно не всем обработчикам. Такая обязанность возникает только у тех из них, которые ведут бизнес непосредственно на территории ЕС, например имеют там магазин или офис для оказания услуг.
Надо отметить, что поскольку требования GDPR, что делать оператору и контролеру, являются более жесткими, чем российские, не исключено, что регулятор персданных в РФ (Роскомнадзор) захочет привести отечественные нормы в соответствие с европейскими. Это добавит хлопот российским операторам, но упростит соблюдение требований регламента, которые перестанут отличаться.
Пресса под прицелом
Одним из важнейших изменений, которые вводятся регламентом, стало «право на забвение», то есть право граждан на абсолютную ликвидацию их персональных данных из информационных баз по требованию. Как сообщается на сайте, который посвящён новым правилам, под персональными данными подразумевается любая информация, позволяющая раскрыть личность пользователя сети. Например, по имени, местонахождению, онлайн-идентификатору либо по одному или более признакам из области физической, физиологической, генетической, ментальной, экономической, культурной или социальной идентификации. Другими словами, любой человек, попавший на чужое фото, по которому его можно идентифицировать, может потребовать удалить снимок из соцсетей.
Эти нововведения уже вызвали суматоху на европейском медиарынке, поскольку регламент не даёт чёткого ответа на вопрос, должны ли фотокорреспонденты спрашивать разрешения на публикацию изображений всех людей, попавших на сделанные ими снимки. В результате применения новых правил несколько известных американских новостных веб-сайтов уже оказались недоступны для европецев. Среди них — сайты Los Angeles Times, New York Daily News, Chicago Tribune, Orlando Sentinel и Baltimore Sun.
По мнению зампреда Комитета Совета Федерации по конституционному законодательству и государственному строительству Людмилы Боковой, причина такого рода сбоев заключается в том, что еврорегламент недостаточно хорошо проработан и не содержит методических рекомендаций по его использованию для разных сфер деятельности. «Исходя из параметров, которые приняты европейцами, нужно чётко определять целенаправленность сбора и хранения и обработки персональных данных и конкретную отрасль, которая эти данные собирает. А для этого необходимы отдельно взятые регламентные меры — то есть методические рекомендации по сбору, обработке, хранению и передаче персональных данных, которые должны содержать отраслевой характер и отраслевую специфику», — рассказала сенатор.
Снимать можно, публиковать — нет
О том, что обнародование чужих персональных данных теперь под строгим запретом, должны помнить и туристы, посещающие страны Евросоюза и выкладывающие свои фотографии в соцсети для публичного доступа. Дело в том, что, согласно европейскому регламенту, физические лица могут потребовать возмещения ущерба, причинённого в результате распространения их персональных данных в виде фото- или видеоизображения.
Каждый случай разберут отдельно: будет оцениваться материальный и моральный ущерб, нанесённый в результате распространения информации. Сначала процедура будет проходить в несудебном порядке, но если дело на этом не завершится, то нарушителям грозит судебное разбирательство с учётом положений регламента и законодательства страны, где находятся истец и ответчик.
Исходя из параметров, которые приняты европейцами, нужно чётко определять целенаправленность сбора и хранения и обработки персональных данных и конкретную отрасль, которая эти данные собирает.
«Речь идёт не про фотосъёмку, а про размещение полученных изображений в публичном доступе, — пояснил «Парламентской газете» председатель Клуба защиты прав туристов Дмитрий Давыденко. — Это вполне справедливо и правильно сделано. Меня, например, очень сильно раздражает, когда меня самого или моих детей начинают снимать на фотоаппараты — особенно этим любят заниматься китайские, корейские и японские туристы». Эксперт считает, что Россия должна пойти по тому же пути и со временем принять аналогичные меры по защите персональных данных своих граждан.
А вот Людмила Бокова, напротив, уверена, что регламент Евросоюза «сырой», а европейцам в кои-то веки стоило бы перенять российский опыт в сфере регулирования личных данных. «Наше законодательство в этом отношении намного прогрессивнее. Законы «О защите персональных данных», «О информации и информационных технологиях» и «О связи» достаточно давно реализуются, отлажены и работающие механизмы. Всё это нам позволило на сегодняшний день выйти на стратегический документ по регулированию цифровой экономики», — напомнила законодатель. Она, впрочем, тут же отметила, что нерешёнными остаются вопросы трансграничности передачи данных. С учётом того, что европейские коллеги изменили своё законодательство, российские парламентарии, по её мнению, должны собраться совместно с экспертами и обсудить возможные угрозы для россиян и отечественных компаний.
Ответственность за несоблюдение GDPR
Если компания или предприниматель проигнорирует требования регламента, то ей придется заплатить штраф, размер которого составляет до 4% от годового мирового оборота за предыдущий финансовый год или до €20 млн — в зависимости от того, что окажется больше. Конечно, взаимодействие у РФ с ЕС по привлечению организаций к ответственности минимальное, скорее всего, решение о взыскании штрафа с российской организации в пользу Евросоюза не будет исполнено на территории России. Однако в ЕС такая организация-нарушитель получит статус нон грата, то есть не сможет работать, пока не исполнит наложенное взыскание. Поэтому, если компания намерена вести бизнес в Европе, требования GDPR придется соблюдать.
Кстати, несоблюдение российского Федерального закона N 152-ФЗ также грозит операторам немалым штрафом. Его размер по статье 13.11 КоАП РФ составляет до 75 000 рублей, что конечно, намного меньше, чем €20 млн, но все равно бьет по карману.
