Что такое GDPR, и как продолжить работать после 25 мая и не заплатить 20 млн евро штрафа

25 мая вступает в силу европейский регламент по защите персональных данных GDPR (General Data Protection Regulation) — законодательный акт, который повлияет на все компании, так или иначе работающие с Европой. Обрабатывать персональные данные теперь можно будет только с явного согласия пользователей, цели обработки — сообщать по запросу, процесс — протоколировать, и горе тому, кто попытается скрыть утечку. Основатель и технический директор DeviceLock DLP Ашот Оганесян разбирается в тонкостях нового регламента.

GDPR требует от компаний упорядочить работу с персональными данными, создать механизмы их защиты при обработке и, что важнее всего, организовать взаимодействие с самими субъектами этих данных (пользователями) и европейскими регулирующими органами. За нарушение требований регламента предусмотрены штрафы до 20 млн евро или 4% от общемировой выручки для глобальных компаний.

В отличие от российского 152-ФЗ («О персональных данных»), GDPR рассматривает в качестве персональных любые данные, прямо или косвенно позволяющие установить личность. То есть не только имя, фамилию, телефонный номер или e-mail, но и cookie-файлы и данные систем интернет-статистики или рекламы. При этом GDPR является экстерриториальной нормой и распространяется на любую компанию, предлагающую находящимся на территории ЕС пользователям товары или услуги (причем не обязательно платные) или ведущую мониторинг их действий (п. 2 ст. 3). Под последнее условие подпадают любые компании, имеющие сайт, посещаемый пользователями с территории ЕС.

Европейская правоприменительная практика предполагает концентрацию на крупнейших участниках рынка: если компания небольшая, клиентов из ЕС мало или нет совсем, а их персональные данные обрабатываются в минимальном объеме (сам по себе регулятор интересуется компаниями, обрабатывающими миллионы записей; при меньшем количестве все зависит от вероятности жалобы от пользователя), волноваться особенно не о чем. Но если вы интернет-магазин, оператор связи или используете собственную систему веб-аналитики, вам стоит либо закрыть доступ для пользователей из европейских сетей, либо привести процесс работы с персональными данными в соответствие с новой нормой. Тяжелее всех придется интернет-магазинам (они работают с большим объемом таких данных, и для них наиболее вероятна возможность жалоб), а также сайтам знакомств (информация об этнической группе и сексуальной ориентации относится, с точки зрения GDPR, к особо охраняемой категории).

---

Читать также

Роскомнадзор носа не подточит: что иметь в виду, чтобы регулятор не придрался к вашему сайту

---

GDPR требует, чтобы персональные данные обрабатывались на законных основаниях (п. 1-а ст. 5), — таким основанием может быть либо заключенный контракт, либо согласие субъекта на их обработку (п. 1 ст. 6). Это согласие должно быть дано явным образом, написано простым, понятным (скорее всего, английским) языком, а также содержать четкое и подробное описание того, какие именно данные, с какой целью, каким образом и в течение какого времени собираются и обрабатываются (ст. 13). Распространенные сегодня микро-заявления типа «Этот сайт, в принципе, использует cookie для предоставления онлайн-услуг, рекламных систем и еще чего-то» с 25 мая будут вне закона.

Одно из действительно новых требований — создание в каждой компании точки коммуникации (contact point) с субъектом персональных данных, который, в соответствии с главой 3 документа, должен иметь право:

В случае, если обрабатываются так называемые «анонимизированные» данные, которые не позволяют напрямую идентифицировать человека при повторном обращении (например интернет-статистика), без этого можно обойтись. Но если обработка включает регистрацию пользователя, наличие такой точки коммуникации становится строго обязательным.

Каждая компания, собирающая или обрабатывающая персональные данные, должна назначить ответственного за работу с ними (DPO — data protection officer). Компания также должна иметь офис или письменно назначенного представителя на территории ЕС, реквизиты которого указываются в согласии на обработку данных. Именно на адрес этого представителя будут направляться документы как от субъектов данных (например письменный отзыв согласия), так и от регулятора — скажем, извещение о поступивших жалобах или грядущих проверках. Поступать с этим так, как в нашей стране принято с юридическим адресом, не стоит.

Международным компаниям имеет смысл выделить подразделение, занимающееся обработкой персональных данных, в отдельную компанию-контрактор, чтобы затруднить применение штрафных санкций ко всему мировому обороту (они это, полагаю, и так знают).

Процесс обработки персональных данных должен фиксироваться (ст. 30). Пока только в компаниях размером более 250 человек, и речь идет только об описании каждой группы используемых данных, целей их обработки и факта передачи третьим лицам. Однако общее направление развития требований уже понятно: недалек тот день, когда потребуется и хранение данных об обработке каждой записи — лучше начинать готовиться к этому уже сейчас.

---

Читать также

Артур Хачуян, Social Data Hub: об особенностях работы с параноидальным государством, правилах сбора данных и роли агента кровавого режима

---

GDPR вводит минимально обязательный перечень средств обеспечения безопасности персональных данных (п. 1 ст. 32), среди которых (сюрприз!) — обязательная криптографическая защита, а также средства обеспечения постоянной конфиденциальности и целостности данных. Использование информационных систем, не отвечающих этим требованиям, — например хранящих персональные данные в открытом виде, — становится незаконным даже в случае отсутствия утечек. То есть хранить в plain text пароли после 25 мая еще можно, а вот имя и фамилию пользователя — уже нет.

В случае обнаружения утечки персональных данных необходимо через тот самый офис или представителя в ЕС сообщить регулятору о том, по какой причине, какие данные и в каком объеме утеряны и какие меры принимаются по смягчению возможных неблагоприятных последствий утечки. На практике это означает, что любая компания, работающая в рамках GDPR, должна уже через неделю иметь компетенции по обнаружению утечек данных или контракт со специалистами в области информационной безопасности, которые смогут расследовать инцидент.

По-настоящему «взрывная» новация GDPR — человеколюбивое право на возражение против результатов автоматической обработки данных, создания профилей и принятия на их основании решений (ст. 22). То есть, потенциальный заемщик, предоставивший персональные данные, может требовать отменить решение скоринговой системы банка, отказавшей ему в кредите, если оно было вынесено полностью без участия человека. Но этот пример — скорее случайная коллизия, а не специально заложенная норма, и эта возможность, вероятнее всего, будет максимально ограничена по итогам первых лет применения регламента.

Полное соответствие GDPR потребует перестройки не только процессов, но и IT-систем компании — внедрения систем защиты, контроля и протоколирования обработки персональных данных, что займет немало времени и потребует значительных инвестиций. Начать можно с трех ключевых вещей:

На первое время это решит проблему, тем более, красной нитью через GDPR проходит мысль: компания должна прилагать не более чем разумные усилия к его соблюдению. Однако раз уж заявлено, что «данные — новая нефть», пора прекращать «курить рядом» и начинать приводить процессы работы с персональными данными в соответствие с законодательством, которое в дальнейшем будет только ужесточаться.