В 2016 году Евросоюз решил унифицировать нормы в сфере защиты персональных данных. Помимо этого – усилить контроль граждан ЕС над тем, кто, почему и как распоряжается их персональными данными. А еще, расширить сам перечень того, что можно считать ПД.
Так появился Общий регламент о защите персональных данных, он же General Data Protection Regulation (GDPR). Он вступил в силу не сразу. Бизнесу дали два года, чтобы подготовиться к внедрению и соблюдению норм закона. Например, изменить внутренние политики компаний, политики конфиденциальности и пользовательские соглашения. Также следовало проинструктировать сотрудников о том, как собирать и хранить персональные данные законно и безопасно.
День Х наступил – 25 мая GDPR вступает в силу.
Но соотечественники все еще недоумевают, какое отношение к ним имеет закон Евросоюза. Давайте разберемся.
Кто под угрозой
Закон выделяет три категории «жертв».
К первой относятся организации, непосредственно учрежденные в ЕС и собирающие персональные данные европейцев. Здесь все просто. Компании, основанные в ЕС (независимо от того, где фактически расположен их офис), собирая персональные данные граждан содружества, обязаны соблюдать GDPR. Кто из украинцев попал в эту категорию? Те, кто учредил бизнес в одной из стран Евросоюза. Уверена, таких немало.
Во второй категории — организации, продающие товары и услуги гражданам ЕС. Бизнес может не быть учрежден в ЕС, но обслуживать европейских граждан. Наверняка, среди читателей найдется немало тех, кто владеет, скажем, онлайн-магазином. Если клиент – гражданин ЕС, ваша компания обязана соблюдать нормы GDPR. Сюда также относятся онлайн-сервисы, которые принимают в качестве оплаты евро, поддерживают один из официальных языков Евросоюза либо имеют домен государства-члена ЕС.
Третья категория — организации, которые осуществляют мониторинг поведения граждан ЕС. Это дата-центры, изучающие предпочтения для отбора потенциальных покупателей.
Таким образом, если ваш бизнес:
- запускает таргетированную рекламу;
- реализует товары и услуги гражданам ЕС;
- принимает оплату в евро;
- мониторит предпочтения потенциальных покупателей из ЕС;
- зарегистрирован в одной из юрисдикций Евросоюза.
Во всех этих случаях, ваша прямая обязанность — соблюдать GDPR.
Как все устроено
Наверняка, многие за последние дни получали email-уведомления от сервисов, в которых зарегистрированы. Twitter, Instagram, Uber, Google и прочие предупреждают пользователей об изменениях политики конфиденциальности.
Для граждан это означает большую защиту их персональных данных. Для онлайн-платформ — усиление ответственности за незаконную обработку данных либо неполучение согласия граждан на такую обработку.
Согласие в данном случае — та самая галочка, которую ставит пользователь, когда дает разрешение на обработку данных. Существует одно «но»: общего согласия теперь недостаточно. Отныне владелец платформы обязан получать согласие лица для каждой цели сбора и обработки данных. Если лицо передумает – имеет право такое согласие отозвать. В таком случае его данные должны быть удалены из системы. GDPR также устанавливает право лица запросить информацию о том, кто, с какой целью, на какой срок и как собирает его персональные данные.
Еще GDPR ввел новый субъект защиты ПД – так называемых обработчиков данных (data processors). Ранее под действие закона подпадали только data controllers, то есть организации, распоряжающиеся тем, какие данные и для чего могут быть собраны. Это и владельцы онлайн-площадок, и дата-центры, и организации, занимающиеся сбором и анализом информации.
Теперь же к ответственности за нарушение закона будут привлекать не только руководство, но технических специалистов, которые непосредственно проводят сбор и хранение ПД. Иными словами, это сотрудники бизнеса – IT-отдел, бухгалтерия, отдел кадров и т.д. Вот почему важно не только проинструктировать работников, но и убедиться, что данные, которые они собирают, обрабатываются законно и надежно.
Почему это опасно
Уверена, вы слышали о скандале вокруг Cambridge Analytica. Эта частная британская компания занималась тем, что собирала данные пользователей, анализировала их и передавала для использования в избирательных компаниях. Их данные незаконно (то есть, без их согласия) собрали и применили для предвыборной кампании Дональда Трампа. Иными словами, Cambridge Analytica проанализировала поведение и предпочтения граждан и определила потенциальных избирателей президента США.
Facebook потребовал от Cambridge Analytica удалить сведения. Проигнорировав требование (вернее, солгав об удалении), компания вместе с Facebook, который допустил размещение такого теста у себя на платформе, нарушила закон и права на защиту персональных данных. Впоследствии Марк Цукерберг отчитывался перед обеими Палатами американского парламента и Европарламентом, пообещав ужесточить правила сбора пользовательских данных.
Пример показывает, как важно иностранным онлайн-площадкам соблюдать закон ЕС. По сути, крупнейшая мировая соцсеть стала жертвой собственной неосторожности. Теперь такую ошибку не должны допустить вы.
Чем грозят нарушения
Новый закон страшен санкциями и предусматривает две категории штрафов.
За нарушение основных принципов международной передачи персональных данных, приказов национальных регуляторов государств-членов ЕС, предусмотрен штраф в 20 млн евро либо 4% от глобального оборота компании. К сожалению, это означает, что нарушитель заплатит ту сумму, которая в итоге будет больше.
За более «мелкие» нарушения — санкции полегче. А именно, 10 млн евро либо 2% от глобального оборота. Заплатить придется, например, за неполучение согласия детей на обработку ПД (такое согласие за лиц младше 13 лет дают родители), непринятие мер для защиты данных или неназначение в ЕС так называемого DPO. Data protection officer — гражданин ЕС, который должен представлять вашу организацию в Евросоюзе и быть связующим звеном между бизнесом и надзорными органами ЕС. Его назначение — обязательное условие закона.
Автор: Кристина Немчинова, партнер Brightman Fintech Law Firm