С 25 мая - штрафы до 20 млн евро за пренебрежение к персональным данным пользователей

Касается ли это моей компании?

— Да, если вы обрабатываете данные потребителей из ЕС: что-то продаете им и запрашиваете контактную информацию, анализируете их пользовательское поведение или разрабатываете ПО, которое работает с персональными данными. Например, если вы создадите приложение, которое будет обрабатывать персональные данные европейцев, и его решат купить, заказчик однозначно потребует соблюдения требований GDPR. — рассказывает Елена Бонина, REVERA.

В этой таблице можно посмотреть, к каким белорусским компаниям GDPR имеет непосредственное отношение.

GDPR существенно затронет деятельность и других компаний, в особенности разработчиков ПО. Хотя напрямую не сказано, что они должны соответствовать GDPR, это важно для конкурентоспособности их бизнеса в будущем. Теперь заказчики ПО будут делать выбор в пользу тех компаний, которые соблюдают требования GDPR. Это снижает их собственные риски, ведь именно они в конечном счете несут ответственность за обработку персональных данных своих клиентов.

Что такое персональные данные?

Персональные данные — это любая информация о человеке, с помощью которой его можно идентифицировать:

• сразу — например, по ФИО или номеру паспорта; в этом случае человека называют идентифицированным.
• в последующем, сопоставив несколько видов данных (местонахождение, учетные записи в социальных сетях, IP-адрес и др.); в этом случае человека называют идентифицируемым.

Как только мы имеем идентифицированного или идентифицируемого человека, любая дополнительная информация о нем также становится персональными данными. Например, тот факт, что вы носите красный пиджак, еще не есть персональные данные. Но если кто-то будет использовать эту информацию в собственных целях (например, для того, чтобы предложить вам красные брюки), такие сведения станут персональными данными.

Обрабатывает ли моя компания персональные данные?

Да, если она их:

• собирает
• хранит, даже не совершая никаких действий с ними
• обрабатывает с помощью какого-либо ПО и др.

Как видите, даже если ваша компания не использует персональные данные жителей ЕС в собственном бизнесе и просто их хранит, обработка персональных данных все равно происходит. А значит, требования GDPR вас касаются.

Какие новые права появляются у пользователей в отношении своих персональных данных?

Вот наиболее значимые из них:

1. Право на забвение — право человека потребовать полное удаление своих персональных данных, если выполняется хотя бы одно из условий ниже:

• персональные данные больше не нужны для целей, в которых они были обработаны
• лицо отозвало свое согласие на обработку персональных данных, при это отсутствуют другие основания для их обработки
• персональные данные были обработаны незаконно, в том числе с нарушением требований GDPR
• другие условия, которые с наименьшей вероятностью применимы к белорусским компаниям

2. Право на перенос данных — право потребовать получения своих персональных данных в удобном формате, в том числе для их передачи другой компании; а также право потребовать трансфера персональных данных напрямую другой компании, если это технически осуществимо.

3. Право на возражение против обработки персональных данных в целях прямого маркетинга, включая профайлинг. После получения такого возражения, компания больше не вправе обрабатывать персональные данные пользователя в этих целях. Причем ответственность компании — при первом же контакте с пользователем четко и внятно донести ему, что он имеет право на такое возражение.

Что делать, если моя компания подпадает под действие GDPR?

Для того, чтобы привести в соответствие с GDPR все внутренние процессы, потребуются существенные трудозатраты. Юристы REVERA обращают внимание на основные моменты, над которыми можно начать работать уже сейчас.

1. Собирайте только те персональные данные, которые вам действительно необходимы

Это один из принципов GDPR — количество собираемых персональных данных должно быть минимально необходимым. Причем человек должен понимать, с какой целью они будут использоваться, а компания должна быть готова подтвердить, что такая цель обоснованна и необходима.

Допустим, ваш интернет-магазин продает товары в Европу. Для того, чтобы выполнить свои обязательства перед покупателями, прежде всего, вам нужна следующая информация:

• банковские реквизиты — для дистанционной оплаты;
• адрес местонахождения и имя покупателя — чтобы товар был доставлен по назначению.

Использовать эти данные в других целях (например, для почтовой рассылки рекламы) нельзя. Для этого нужно запросить дополнительное согласие у покупателей.

Чтобы собирать другие персональные данные, которые не связаны напрямую с услугами магазина (пол, возраст, семейное положение, профессия и пр.), также нужно получить отдельное согласие пользователя либо грамотно обосновать в договоре (публичной оферте) необходимость обработки таких данных. Еще одно дополнительное согласие потребуется, если вы планируете обрабатывать чувствительные персональные данные. Это сведения, раскрывающие расовое или этническое происхождение, сексуальную ориентацию, политические и религиозные мировоззрения и др. На практике они часто используются для контекстной рекламы и профайлингов.

2. Убедитесь, что у вас есть согласие на обработку данных

Есть 2 основных сценария:

• Согласие не нужно, если компания запрашивает данные, которые объективно нужны для исполнения договора (как в примере с интернет-магазином)
• Согласие нужно, если вы хотите использовать данные клиентов в дополнительных целях — анализ поведения и т.д. Тогда вы должны запросить согласие у человека на обработку его персональных данных в соответствующих целях.

Текст согласия должен быть составлен в предельно ясной форме. Согласие можно получать и в виде галочки, однако она не должна стоять по умолчанию: нужно явное волеизъявление человека.

3. Проследите, чтобы GDPR соответствовала вся цепочка компаний-подрядчиков

Допустим, есть (1) фитнес-центр, который использует персональные данные своих клиентов. Работу компьютерной системы, в которой хранятся данные, и их обработку обеспечивает (2) компания-подрядчик X. Помимо этого, компьютерную систему когда-то создала (3) компания-разработчик Y, которая сейчас уже не имеет доступа к информации.

Из всех троих фитнес-центр несет наибольшую ответственность и контролирует, чтобы его деятельность соответствовала GDPR. Подрядчик X также должен им соответствовать, так как напрямую связан с обработкой. Соответствие ПО разработчика Y — формально не обязательно, но в интересах фитнес-центра, чтобы соответствовало и оно, так как это снижает ее риски.

Таким образом, фитнес-центру нужно:

• проследить, что все компании в цепочке соответствуют требованиям GDPR, а с подрядчиком X заключить специальный договор (GDPR предъявляет отдельные требования к таким договорам)
• убедиться, что если ее подрядчики привлекают к обработке других подрядчиков, между ними также должен быть заключен специальный договор; а от самого центра требуется письменное согласие на привлечение таких подрядчиков.

4. Документируйте весь процесс обработки персональных данных в компании

Вы должны быть готовы доказать и документально подтвердить, что соответствуете всем требованиям GDPR. Важно иметь именно документы, так как регламент напрямую указывает, что только лишь фактического соблюдения всех требований не достаточно. Прежде всего, обратите внимание, чтобы в вашей компании были следующие документы:

• политика обработки персональных данных
• внутренние правила и процедуры работы с персональными данными
• реестры персональных данных
• учетные записи обработки персональных данных

5. Если необходимо, назначьте представителя компании в ЕС.

По общему правилу, если иностранная компания (не резидент ЕС) обрабатывает персональные данные лиц из ЕС, она должна назначить представителя на территории ЕС. Именно он будет отвечать за соблюдение GDPR.

Исключение — для компаний, которые:

• обрабатывают персональные данные нерегулярно
• не имеют дело с чувствительными персональными данными
• едва ли представляют риск для прав физических лиц, в связи с использованием их персональных данных

6. Если необходимо, назначьте Data protection officer (DPO, инспектор по защите персональных данных)

DPO может быть как штатным сотрудником компании, так и сторонним подрядчиком. Инспектор обязателен для компаний, ключевая деятельность которых связана с:

• Обработкой персональных данных, которая требует регулярного и систематического мониторинга физлиц в больших масштабах. Это касается крупных соцсетей, компаний, работающих с Big Data, и крупных маркетплейсов.
• Масштабной обработкой чувствительных персональных данных (sensitive personal data).

С учетом сложности и объема требований GDPR, такой инспектор будет полезен для многих компаний. Он сможет наладить все процедуры, утвердить политики, вести учет обработки персональных данных и контролировать, чтобы компания ничего не нарушала.

7. Проверьте, соответствует ли ПО, которое непосредственно обрабатывает персональные данные ваших клиентов, требованиям GDPR.

Прежде всего, речь идет о принципах privacy by design и privacy by default.

Privacy by design означает, что приватность должна быть «встроена» в ПО еще на этапе разработки. В целом, ПО должно обеспечивать следующие меры для защиты приватности:

—  псевдоминизацию или обезличивание (отдельное хранение информации, позволяющей установить личность человека, и дополнительных сведений, которые к нему относятся);

—  криптографическую защиту персональных данных и другие меры защиты, которые необходимо принять с учетом рисков реальности несанкционированного доступа к персональным данным.

Privacy by default означает, что пользователю изначально должны предлагаться максимальные настройки приватности, и это должно быть всегда по умолчанию.

Для того, чтобы подтвердить соблюдение privacy by design и privacy by default, а также удостовериться в этом самим, рекомендуется проводить специальную оценку — Data Protection Impact Assessments, DPIA.

Что грозит моей компании за нарушение требований GDPR?

Во-первых, если человек понес материальный или нематериальный ущерб в результате нарушения требований GDPR, он может предъявить к компании иск о его возмещении.

Во-вторых, GDPR предусматривает огромные штрафы за нарушение требований — до 20 миллионов евро.

За такие нарушения, как:

• неправильно полученное согласие на обработку персональных данных человека,
• нарушение прав людей, чьи персональные данные были обработаны,
• сбор персональных данных в большем объеме, чем это было необходимо, и нарушение других существенных требований GDPR

предусмотрен административный штраф до 20 миллионов евро либо до 4% от общего годового мирового оборота за предыдущий финансовый год (в зависимости от того, какая сумма больше).

За менее существенные с точки зрения GDPR нарушения предусмотрен штраф в размере до 10 миллионов евро — или до 2% от общего годового мирового оборота компании за предыдущий финансовый год. Такими нарушениями являются:

—  использование ненадлежащего ПО для обработки персональных данных

—  ненадлежащим образом оформленные отношения с обработчиком персональных данных (неграмотно составленный договор)

—  отсутствие учетных записей обработки персональных данных и др.