Компании по всему миру обновляют свои системы защиты и обработки персональных данных из-за нового регламента ЕС. Что это изменит в жизни европейцев и как зацепит Украину.
Многие должны были заметить, что им на почту стали приходить уведомления от различных сервисов о том, что изменились правила обработки персональных данных.
Переживать не стоит. Дело в том, что компании по всему миру сейчас обновляют свои системы защиты и обработки персональных данных.
Подтолкнул их на этот шаг не очередной вирус, уязвимость или скандал, а четыре буквы — GDPR, или General Data Protection Regulation. Это название нового регламента Евросоюза, который начинает действовать 25 мая 2018 года.
ЭП разбиралась, что это такое, как повлияет на деятельность европейских компаний и жизнь европейцев, а также как "зацепит" Украину.
Что это?
GDPR — правовой акт, который должен усилить контроль над процессом сбора, обработки и передачи персональных данных резидентов и граждан ЕС. Как на территории Европейского Союза, так и за его пределами.
Обновленные правила обработки персональных данных установлены Общим регламентом по защите данных.
Данный регламент будет действовать во всех 28 странах Европейского союза и заменит рамочную Директиву о защите персональных данных от 24 октября 1995 года.
Что поменяется?
Граждане ЕС получают полный контроль над своими персональными данными.
Например, вы не хотите, чтобы ваши коллеги знали, когда у вас день рождения и сколько вам лет. Согласно новым правилам, вы имеете право требовать от работодателя хранить эту информацию в тайне.
Со вступлением в силу новых правил, ужесточается и ответственность за их нарушение. Штрафы достигают 20 миллионов евро или 4% годового глобального дохода компании, в зависимости от того, что больше.
"Однако пока никто не знает, как будет применяться GDPR в отношении украинских компаний и мы, вероятно, не узнаем, пока не увидим первый тестовый пример", — отмечает адвокат, директор ЮК "Софоклеус и Партнеры Консалтинг" Алексия Овдиенко.
Кому стоит переживать?
Акт принял Европейский союз для европейцев, но "зацепит" он каждого. Виной тому один из важных нюансов новой регуляторной политики — экстерриториальный принцип действия.
В связи с ним, GDPR применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС вне зависимости от их местонахождения.
Филиалы украинских компаний, находящиеся на территории ЕС, также должны будут соответствовать новым требованиям.
И даже если компания находится на территории Украины, но продает товары и услуги пользователям из стран ЕС онлайн, предоставляя их на локальных языках, в местных валютах или используя национальные домены верхнего уровня стран ЕС (например, ".de" или ".co.uk"), то она все равно подпадает под действие GDPR.
Да и в целом, все организации, обрабатывающие персональные данные европейцев, подпадают под действие нового регламента.
То есть, если европеец покупает билеты на поезд Укрзалізниці, то УЗ автоматически подпадает под GDPR и обязана соблюдать новые европейские правила обработки персональных данных.
Условно говоря, под GDPR подпадает всё, к чему прикасаются граждане Европейского союза.
И всё?
Нет. Помимо обработки персональных данных в GDPR используется ещё понятие "мониторинга поведения субъектов данных".
То есть, под действие новых правил попадает ещё одна категория субъектов — организации, созданные за пределами ЕС, но "контролирующие" поведение жителей союза.
Под мониторингом поведения подразумевается практически любое отслеживание действий субъекта. Это могут быть данные о поведении, посещении каких либо мест, выполнении чего-либо, геолокации и т.д.
"Сами действия должны происходить на территории ЕС и не важно, будет такой субъект данных гражданином ЕС или украинцем в командировке", — отмечает партнёр и соучредитель юридической фирмы "Axon Partners" Денис Береговой.
По его словам, сбор истории посещений определенных мероприятий или сайтов с целью рекламы — мониторинг в понимании GDPR.
Таким образом, например, любой международный сервис бронирования жилья подпадает под GDPR, в том числе из-за того, что мониторит активности пользователей (время пребывания в определенной локации и т.п.).
Что является персональными данными?
Персональные данные — это любая информация, относящаяся к субъекту, по которой прямо или косвенно его можно определить.
Согласно самому документу — это один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности физического лица.
Сюда относится: ФИО, номер телефона, адреса электронной почты и проживания, регистрационный номер и марка автомобиля, сведения о национальности, политических или религиозных взглядах, сексуальной ориентации, номере банковского счета, номере банковской карты и сроке ее действия, истории болезней, данные о группе крови, информация о членах семьи, фото, биометрические данные, паспортные данные, идентификационный код, подпись, информация об уровне личных доходов и прочее.
Более того, данные о местоположении, IP-адрес и даже онлайн-идентификатор относят к персональным данным.
И как могут обрабатывать эти данные?
Под обработкой персональных данных подразумеваются любые операции, которые выполняются с персональными данными, независимо от того, осуществляются они автоматическими средствами или любым другим возможным способом.
То есть, получение доступа к персональным данным, даже без сохранения их на каком-либо электронно-вычислительном устройстве, будет считаться обработкой, на которую распространяется действие Регламента.
Обработка данных должна осуществляться по следующим требованиям:
Первое. Данные должны обрабатываться законно, справедливо и прозрачно. Пользователь обязан получить информацию о целях, методах и объемах обработки его персональных данных в максимально доступной форме.
Второе. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией или онлайн-сервисом.
Третье. Нельзя собирать больше данных, чем необходимо для целей обработки.
Четвертое. Неточные личные данные должны быть удалены или исправлены по требованию пользователя.
Пятое. Личные данные должны храниться не дольше, чем это необходимо для целей обработки.
Шестое. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Как отмечает партнер Юридической фирмы EXPATPRO Платон Даниленко, для полного соответствия требованиям компаниям необходимо соединить технические (шифрование, программное обеспечение, контроль данных) и организационно-юридические (подготовка документации, разработка инструкций, работа и обучение персонала, работа с подрядчиками, которые работают с данными) средства, направленные на усиление защиты персональных данных.
Что это даёт?
Больше прав
GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными.
Европейские пользователи смогут запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам данные раскрываются, период, в течение которого они будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления.
Также пользователь имеет право требовать прекращения обработки своих данных.
Кроме того, в GDPR предусмотрено "право на забвение", которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
Вдобавок пользователи получают право на переносимость данных. Его суть заключается в том, что компании бесплатно обязаны предоставлять электронную копию персональных данных пользователя другой компании по требованию самого пользователя.
Например, субъект данных пользуется сервисом онлайн-просмотра фильмов "Кино Онлайн". Если вдруг у него возникает желание сменить сервис на "КиноГо", то у него есть право "перенести" свои данных (например, список любимых фильмов и информацию о жанровых предпочтениях) с одного сервиса на другой.
Уведомления о нарушениях
Компании обязаны уведомлять регулирующие органы о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.
Так, например, если бы GDPR начал действовать раньше, то после новости о сокрытии в течение года компанией Uber хакерского взлома и кражи персональных данных пользователей и водителей, сервису пришлось бы заплатить кругленькую сумму.
Согласие на обработку
Согласно новым правилам, пользователь должен дать чёткое согласие на обработку персональных данных. Молчание или бездействие знаком согласия не считаются.
Поля с уже поставленной галочкой рядом с принятием в пользовательском соглашении и другие полу-обходные пути получения согласия использовать не рекомендуется, иначе компании может грозить штраф.
Согласие на обработку персональных данных не будет действительно, если у пользователя не было выбора или возможности без потерь отозвать свое согласие.
Цель обработки данных должна быть чётко указана в договоре или пользовательском соглашении, а сам договор — быть простым и понятным. Информацию о порядке отзыва согласия на обработку данных должно быть просто найти, иначе, опять же, компании может грозить штраф.
Особая защита детей
Детские персональные данные находятся под особой защиты, поэтому согласие на их обработку должно быть дополнительно авторизовано родителями или законными представителями ребенка.
Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).
Назначение ответственного за защиту персональных данных
Компании, которые работают с большими объемами данных или проводят обработку чувствительных персональных данных (например, медицинские записи или сведения об уголовной судимости) должны назначить отдельного сотрудника по защите данных — Data Protection Officer (DPO), который будет контролировать соблюдение требований GDPR.
Назначать DPO не требуется, если обработка данных осуществляется на эпизодической основе, в маленьких объёмах и не касается специальных категорий персональных данных.
Каким боком это повлияет на Украину?
На бизнес
Ни один украинский бизнес не застрахован от визита "случайного" гражданина ЕС.
Даже если вы паб и считаете, что вам ничего грозит, то это не так. Уже через несколько дней, 26 мая, к вам перед "Лигой чемпионов" может заглянуть испанец и расплатится картой. И вот вы уже тоже подпадаете под новый регламент.
Для того, чтобы определить, применим ли GDPR к бизнесу, нужно учитывать его специфику, а при наличии сомнений — проконсультироваться с юристами и специалистами в области персональных данных.
"Если GDPR таки применим — надо заниматься приведением бизнеса в соответствие — как на уровне юридических документов (политики конфиденциальности и пр.), так и на техническом уровне – разобраться, какие именно персональные данные собирает/обрабатывает компания, где они находятся, с какими сторонними продуктами они взаимодействуют, куда дальше передаются, кто к ним имеет доступ и т.д.", — отмечает Береговой.
Уже исходя из этого, по его словам, нужно строить политики и процессы, согласно которым компания работает с персональными данными.
Отдельно всегда будет стоять вопрос кибербезопасности, так как GDPR требует безопасного обращения с данными и достаточно быстрого реагирования на киберугрозы.
В целом, для соблюдения GDPR от компаний потребуется совершенствование и модернизация внутренней системы сбора, обработки и передачи данных, усиление безопасности хранения данных, а также наличие квалифицированных сотрудников по защите данных.
"Все это будет иметь последствием технологическое развитие компании, подпадающей под действие GDPR, модернизацию ее системы IT-безопасности, внедрения новых технологий и тем самым обеспечение надлежащей защиты персональных данных не только для граждан ЕС, а также и обычных украинцев", — отмечает Овдиенко.
Необходимость внедрения новых программных технологий повлечет за собой более стремительное развитие украинских компаний.
"Появление на рынке новых технологий и продуктов, возможно, повлияет положительно и на работу сектора государственного управления, деятельность которого в последнее время все более интенсивно переводится в электронный формат", — отмечает Овдиенко.
На пользователей
"Пересічні українці", если не слышали о GDPR раньше, узнали о нём со всплывающих окон Gmail, Twitter и других иностранных сервисов, которые приблизительно за месяц начали массово предупреждать об изменениях в политике конфиденциальности и новых инструментах управления сбором данных для пользователей.
Но, по утверждению Берегового, это тот случай, когда читать такие рассылки полезно. Почему?
А — вы действительно получаете возможность более качественно контролировать, что происходит с вашими данным. Б — не исключено, что некоторые сервисы будут удалять все данные, если вы не пройдете по ссылке и не согласитесь с новыми политиками.
"В целом, для нас — рядовых клиентов компаний — GDPR выгоден, ведь мы получаем больше контроля над нашими данными, юристов заставили писать более понятные, читабельные политики конфиденциальности", — отмечает Береговой.
"Другое дело, что для многих сервисов GDPR значит лишь то, что теперь мы отдаем им свои данные как бы более осознанно — ведь отказываться от их использования мы вряд ли станем, а цифровая экономика никуда не исчезнет", — добавляет он.
В целом, по мнению экспертов, GDPR способен оказать положительное влияние как на технологическое развитие украинских компаний, так и на защиту персональных данных граждан Украины.
Алина ПОЛЯКОВА
Дзебак Владимир
РОЗДУМИ ПРО НАДВАЖЛИВЕ або ЧОМУ НАШІ ОЛІГАРХИ СТАЛИ МОГИЛЬЩИКАМИ НИНІШНЬОЇ УКРАЇНИ
