В 2016 году Евросоюз решил унифицировать нормы в сфере защиты персональных данных. Помимо этого – усилить контроль граждан ЕС над тем, кто, почему и как распоряжается их персональными данными. А еще, расширить сам перечень того, что можно считать ПД.

Так появился Общий регламент о защите персональных данных, он же General Data Protection Regulation (GDPR). Он вступил в силу не сразу. Бизнесу дали два года, чтобы подготовиться к внедрению и соблюдению норм закона. Например, изменить внутренние политики компаний, политики конфиденциальности и пользовательские соглашения. Также следовало проинструктировать сотрудников о том, как собирать и хранить персональные данные законно и безопасно.

День Х наступил – 25 мая GDPR вступает в силу.

Но соотечественники все еще недоумевают, какое отношение к ним имеет закон Евросоюза. Давайте разберемся.

Кто под угрозой

Закон выделяет три категории «жертв».

К первой относятся организации, непосредственно учрежденные в ЕС и собирающие персональные данные европейцев. Здесь все просто. Компании, основанные в ЕС (независимо от того, где фактически расположен их офис), собирая персональные данные граждан содружества, обязаны соблюдать GDPR. Кто из украинцев попал в эту категорию? Те, кто учредил бизнес в одной из стран Евросоюза. Уверена, таких немало.

Во второй категории — организации, продающие товары и услуги гражданам ЕС. Бизнес может не быть учрежден в ЕС, но обслуживать европейских граждан. Наверняка, среди читателей найдется немало тех, кто владеет, скажем, онлайн-магазином. Если клиент – гражданин ЕС, ваша компания обязана соблюдать нормы GDPR. Сюда также относятся онлайн-сервисы, которые принимают в качестве оплаты евро, поддерживают один из официальных языков Евросоюза либо имеют домен государства-члена ЕС.

Третья категория — организации, которые осуществляют мониторинг поведения граждан ЕС. Это дата-центры, изучающие предпочтения для отбора потенциальных покупателей.

Таким образом, если ваш бизнес:

  • запускает таргетированную рекламу;
  • реализует товары и услуги гражданам ЕС;
  • принимает оплату в евро;
  • мониторит предпочтения потенциальных покупателей из ЕС;
  • зарегистрирован в одной из юрисдикций Евросоюза.

Во всех этих случаях, ваша прямая обязанность — соблюдать GDPR.

Как все устроено

Наверняка, многие за последние дни получали email-уведомления от сервисов, в которых зарегистрированы. Twitter, Instagram, Uber, Google и прочие предупреждают пользователей об изменениях политики конфиденциальности.

Для граждан это означает большую защиту их персональных данных. Для онлайн-платформ — усиление ответственности за незаконную обработку данных либо неполучение согласия граждан на такую обработку.

Согласие в данном случае — та самая галочка, которую ставит пользователь, когда дает разрешение на обработку данных. Существует одно «но»: общего согласия теперь недостаточно. Отныне владелец платформы обязан получать согласие лица для каждой цели сбора и обработки данных. Если лицо передумает – имеет право такое согласие отозвать. В таком случае его данные должны быть удалены из системы. GDPR также устанавливает право лица запросить информацию о том, кто, с какой целью, на какой срок и как собирает его персональные данные.

Еще GDPR ввел новый субъект защиты ПД – так называемых обработчиков данных (data processors). Ранее под действие закона подпадали только data controllers, то есть организации, распоряжающиеся тем, какие данные и для чего могут быть собраны. Это и владельцы онлайн-площадок, и дата-центры, и организации, занимающиеся сбором и анализом информации.

Теперь же к ответственности за нарушение закона будут привлекать не только руководство, но технических специалистов, которые непосредственно проводят сбор и хранение ПД. Иными словами, это сотрудники бизнеса – IT-отдел, бухгалтерия, отдел кадров и т.д. Вот почему важно не только проинструктировать работников, но и убедиться, что данные, которые они собирают, обрабатываются законно и надежно.

Почему это опасно

Уверена, вы слышали о скандале вокруг Cambridge Analytica. Эта частная британская компания занималась тем, что собирала данные пользователей, анализировала их и передавала для использования в избирательных компаниях. Их данные незаконно (то есть, без их согласия) собрали и применили для предвыборной кампании Дональда Трампа. Иными словами, Cambridge Analytica проанализировала поведение и предпочтения граждан и определила потенциальных избирателей президента США.

Facebook потребовал от Cambridge Analytica удалить сведения. Проигнорировав требование (вернее, солгав об удалении), компания вместе с Facebook, который допустил размещение такого теста у себя на платформе, нарушила закон и права на защиту персональных данных. Впоследствии Марк Цукерберг отчитывался перед обеими Палатами американского парламента и Европарламентом, пообещав ужесточить правила сбора пользовательских данных.

Пример показывает, как важно иностранным онлайн-площадкам соблюдать закон ЕС. По сути, крупнейшая мировая соцсеть стала жертвой собственной неосторожности. Теперь такую ошибку не должны допустить вы.

Чем грозят нарушения

Новый закон страшен санкциями и предусматривает две категории штрафов.

За нарушение основных принципов международной передачи персональных данных, приказов национальных регуляторов государств-членов ЕС, предусмотрен штраф в 20 млн евро либо 4% от глобального оборота компании. К сожалению, это означает, что нарушитель заплатит ту сумму, которая в итоге будет больше.

За более «мелкие» нарушения — санкции полегче. А именно, 10 млн евро либо 2% от глобального оборота. Заплатить придется, например, за неполучение согласия детей на обработку ПД (такое согласие за лиц младше 13 лет дают родители), непринятие мер для защиты данных или неназначение в ЕС так называемого DPO. Data protection officer — гражданин ЕС, который должен представлять вашу организацию в Евросоюзе и быть связующим звеном между бизнесом и надзорными органами ЕС. Его назначение — обязательное условие закона.

Автор: Кристина Немчинова, партнер Brightman Fintech Law Firm