Top menu

10 подсказок про GDPR

Что такое GDPR и что он заменит

25 мая этого года в ЕС начнется применение General Data Protection Regulation (GDPR) — европейского Общего регламента по защите персональных данных (Регламент (ЕС) 2016/679 Европейского парламента и Совета ЕС от 24.04.2016), который заменит принятую более 20 лет назад Директиву о защите персональных данных 95/46/ЕС от 24.10.1995.

Принципиальным юридическим отличием и одним из основных преимуществ GDPR в сравнении с Директивой как для резидентов ЕС, чьи персональные данные (ПД) защищает GDPR, так и для подпадающих под действие этого закона лиц и организаций-контролеров и обработчиков ПД, является прямое правоприменение GDPR во всех странах ЕС, что унифицирует легальные нормы и процедуры исполнения GDPR на всем пространстве союза. В отличие от этого Директива имеет рамочный характер, что требует интерпретации ее норм в законодательство каждой из стран ЕС, тем самым умножая сложность и расходы субъектов Директивы на ее кроссграничное применение — например, если компания продает продукты или услуги в несколько стран ЕС.

Почему так волнуется деловая Европа

Основная причина нервозности — большие административные штрафы за нарушение требований GDPR: до 20 млн евро или 4% от мирового годового оборота компании-нарушителя в зависимости от того, что больше. При этом GDPR устанавливает очень короткий срок уведомления надзорных органов о выявленной уязвимости ПД (personal data breach) — не позднее 72 часа с момента обнаружения, а превышение этого норматива считается серьезным нарушением.

Кроме того, исполнение GDPR требует от организаций значительных инвестиций в реорганизацию бизнес-процессов и ИТ-систем, связанную с тем, что защита ПД из статуса вспомогательной опции поднимается до уровня одной из основных производственных функций любой компании, обрабатывающей ПД.

Как это касается российского бизнеса

Российские хозяйствующие субъекты подпадают под действие GDPR в двух случаях.

Во-первых, в случае легального присутствия контролера или обработчика в ЕС вне зависимости от того, где производится обработка ПД. Примеры — дочерние структуры или представительства российских компаний в ЕС.

Во-вторых, в случае обработки ПД любых физлиц, находящихся в ЕС, юрисдикция GDPR становится экстерриториальной применительно к контролерам и обработчикам ПД, которые либо предлагают товары или услуги физлицам из ЕС, либо ведут мониторинг их деятельности на территории ЕС. В итоге под действие GDPR подпадают российские компании, не имеющие присутствия в ЕС, но обслуживающие покупателей оттуда — например, Интернет-магазины. Другой типичный пример чисто российских субъектов GDPR — владельцы или операторы web-сайтов, собирающие и отслеживающие ПД посетителей из ЕС.

Механизмы исполнения

В случае наличия у российской организации дочерней компании или представительства в ЕС, штрафы, санкции и иные меры принудительного исполнения GDPR могут применяются непосредственно в отношении этих структур.

В то же время легальные действия могут быть предприняты и в отношении находящейся в РФ материнской организации в рамках международного публичного права, в данном случае на основе международных соглашений в области защиты ПД, участником которых является РФ — например, Конвенции Совета Европы от 28 января 1981 г. о защите физических лиц при автоматизированной обработке персональных данных. Аналогичный механизм исполнения GDPR применим и для подпадающих под его действие компаний из РФ, не имеющих присутствия в ЕС.

Что GDPR относит к ПД и их обработке

К персональным данным GDPR относит любую информацию об идентифицированном или идентифицируемом физическом лице (субъекте ПД), позволяющую прямо или косвенно установить его личность. Характерный современный пример ПД — IP адрес смартфона. Обработкой ПД считается любая операция или совокупность операций с ПД или набором ПД, совершаемые с использованием автоматизированных средств или без таковых — начиная со сбора, записи и хранения … и заканчивая стиранием и уничтожением.

От информационной безопасности к приватности ПД

Инновационная значимость GDPR состоит в нормативном обеспечении не только безопасности ПД, закрепленной в принципе “целостности и конфиденциальности” обработки (п. 1(f) ст. 5), но и в предоставлении физическим лицам эффективного инструментария для управления их информационной приватностью — набора прав субъектов ПД, включая право на доступ к данным, право на исправление данных, право на удаление данных (забвение), право на перенос данных, право на ограничение обработки, право на возражение, право на неподчинение результатам автоматизированного принятия решений. Большая часть базисных принципов обработки данных (ст. 5) направлена именно на реализацию этого набора прав, включая принципы “законности, справедливости и транспарентности”, “целевого ограничения”, “минимизации данных”, “точности” и “ограничения хранения”.

Нормативно-методическая “кухня” GDPR

Успешное исполнение требований любого закона, тем более, связанного с инженерно-техническими аспектами, критически зависит от того, насколько тщательно субъекты закона следуют рекомендациям и требованиям соответствующих подзаконных нормативных актов и методических материалов. GDPR предусматривает создание специального органа — Европейского совета по защите данных (European Data Protection Board, EDPB), одной из основных задач которого является издание руководящие указаний, рекомендаций, руководств и стандартов передовой практики для эффективного исполнения GDPR. Для российских организаций крайне важно внимательно следить за публикациями материалов EDPB и активно использовать их в работе как методическую основу обеспечения соответствия требованиям GDPR.

Инспектор по защите персональных данных

Контролеры или обработчики ПД, основная деятельность которых заключается в обработке ПД для масштабного, регулярного и систематического мониторинга физических лиц, должны учредить должность инспектора по защите ПД (Data Protection Officer — DPO). Деятельность DPO направлена на участие во всех процессах организации по выполнению требований GDPR, монитонинг исполнения закона, консультирование руководства, работников и субъектов ПД по всем связанным с GDPR вопросам, взаимодействие с надзорным органом, для которого выступает также в роли контактного центра (contact point) со стороны своей организации. Как правило, DPO также выполняет функции контактного центра для клиентов и прочих физических лиц, ПД которых обрабатываются организацией.

Кодексы поведения и сертификация

GDPR предоставляет хорошо разработанную нормативную базу для использования организациями-субъектами отраслевых кодексов поведения (Codes of Conduct) а также сертификации. Использование этих инструментов опционально, но всячески поощряется, особенно микро, малыми и средними предприятиями. Наличие у организации сертификата или ее соответствие утвержденному кодексу поведения соответствующей отрасли служит дополнительным свидетельством соответствия требованиям GDPR.

Технология DLP — необходимый компонент систем обработки ПД

Эффективное соответствие ИТ-систем обработки ПД требованиям GDPR достигается за счет интегрированного применения целого ряда механизмов и технологий как информационной безопасности (data security), так и защиты приватности персональных данных (data privacy protection). В частности, GDPR явно рекомендует использование таких технических мер, как криптографическая защиты ПД а также их превдонимизация.

В то же время необходимо помнить, что наиболее распространенным типом уязвимостей ПД (data breaches) в современных корпоративных ИТ-системах сегодня являются их утечки (data leaks), наиболее эффективной технологией борьбы с которыми общепризнанно является технология предотвращения утечек данных (data leak prevention — DLP). Именно поэтому DLP-системы следует использовать в качестве необходимых компонентов комплексных решений по защиты ПД в системах их обработки, удовлетворяющих требованиям GDPR.

Автор: Алексей Лесных