Новая угроза для украинских IT компаний
В пятницу, 25 мая, начинает действовать Общий регламент Европейского Союза по защите данных (GDPR). Этот документ приходит на замену ныне действующей Директиве ЕС и вносит существенные коррективы в европейскую политику защиты персональных данных.
Как неоднократно отмечалось экспертами, несоблюдение Регламента, благодаря его трансграничным нормам, суровым условиям и драконовским штрафам, может существенно ударить по украинским компаниям, работающим с данными граждан Евросоюза.
InternetUA собрал самые распространенные вопросы о GDPR, и попытался на них ответить.
Что конкретно поменялось
Общий регламент Европейского Союза по защите данных призван гарантировать гражданам ЕС лучшую защиту персональных данных, вне зависимости о того, на какой территории эти данные хранятся.
Регламент, по сравнению с предыдущей Директивой, существенно расширяет понятие персональных данных, уточняет и расширяет понятие чувствительных данных. Как объясняет Сергей Богарада, Head of Personal data practice, Legal IT Group в статье для «Юрист&Закон», теперь персональные данные – это любая информация, относящаяся к идентифицированному физическому лицу или тому лицу, которое может быть идентифицировано («субъект данных»). При этом идентифицированное лицо - это лицо, которое может быть идентифицировано прямо или косвенно, в частности, на основании идентификационной информации, такой как имя, идентификационный номер, данные о местоположении, идентификатор в Интернете (онлайн-идентификатор) или с помощью одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности физического лица.
Чувствительные данные, согласно Общему Регламенту, определяются по ряду признаков, которые базируются на информации о расовом или этническом происхождении, политическим взглядам, религиозным или философским убеждениям, профессиональном членстве, здоровье или сексуальной жизни, генетических и биометрических данных.
Новый Регламент действует в отношении любой компании, независимо от её расположения, если бизнес работает с персональными данными граждан ЕС.
GDPR существенно расширяет права частных пользователей. Им предоставляются права на перемещение, ограничение обработки, отрицание и удаление данных. Также частным лицам предоставляется право на получение ответа на запрос.
Согласно новым правилам, компании теперь обязаны сообщать об утечках данных и вести журнал учета таких случаев.
Также GDPR устанавливает новые правила получения согласия на обработку персональных данных. В частности, предусматривается два вида согласия: простое согласие и безусловное согласие.
Простое согласие – конкретное и однозначное указание субъекта данных, при помощи заявления или четкого позитивного действия, которым выражается согласие на обработку данных.
Безусловное согласие предоставляется при обработке специальных категорий данных, перемещении данных в третьи страны и т.д.
– Предоставление безусловного согласия предполагает более тщательный подход к организации егл получения. Так, например, если вы собираете общие персональные данные о субъекте данных, включая данные о расовом происхождении, то кроме обычного согласия вы также должны получить отдельное безусловное согласие на обработку чувствительных персональных данных, – указывает Сергей Богарада. – Безусловное согласие отличается от обычного согласия тем, что его предоставление требует предоставления значительно большего объема информации физическому лицу, описывающему особенности обработки чувствительных данных. Вместе с тем, физическое лицо, предоставляя безусловное согласие, должно осуществить дополнительные действия для более четкого подтверждения своего согласия по обработке персональных данных о нем. В таком случае, в частности, может быть применен метод Double opt-in.
На что ещё обратить внимание украинским компаниям
В своей колонке коммерческий директор Information Systems Security Partners (ISSP) Андрей Слободяник обращает внимание на особо важные статьи Регламента, которые необходимо обязательно учитывать украинским компаниям, работающим на рынках Евросоюза.
Помимо обязательного согласия от клиента на обработку его данных (в случае, если речь идет о несовершеннолетнем – ещё и его родителей), своевременных докладов о взломе или компрометации данных и беспрекословного соблюдения прав граждан, у компании, работающей с персональными данными клиентов-граждан Евросоюза, должен быть представитель на территории ЕС для взаимоотношений с местными регуляторами. Также в обязательном порядке в компании назначается ответственное за работу с персональными данными лицо, проводится оценка рисков влияния манипуляций с личными данными на их носителей, учет всех пунктов работы с ПД.
– Немаловажно то, что GDPR не обязывает компании внедрять какие-либо конкретные приемы и методы защиты данных, – отмечает коммерческий директор ISSP . – Организации вправе самостоятельно выбирать систему обеспечения безопасности внутренних данных. Главное — конечный результат — надежная защита персональных данных.
Действительно ли будут драконовские штрафы и как их избежать
Общий регламент Европейского Союза по защите данных устанавливает достаточно серьезные штрафы за нарушение новой европолитики. В частности, компания может заплатить 20 миллионов евро или 4% от годового дохода за нарушение ключевых положений Регламента, прав субъектов ПД, нормативов передачи личных данных и др. Меньше, 10 миллионов евро или 2% от годового дохода, сулят нарушения процедуры получения согласия на хранение и обработку ПД несовершеннолетних, несоблюдения технических норм работы с ПД, отсутствие представителя в ЕС и др.
– Регламент накладывает на нарушителей максимальные штрафы, при этом полномочия по назначению конкретных сумм переданы местным органам власти государств-членов Евросоюза, – отмечает Андрей Слободяник. – Смягчающим моментом является тот факт, что в отдельных случаях вместо штрафа дело может ограничиться выговором. Например, когда регулятор признает правонарушение незначительным.
О том, как на практике будет действовать наказание за нарушение GDPR рассказал юрист Европейского суда и бывший руководитель Управления защиты персональных данных Секретариата Уполномоченного Верховной Рады Украины в 2013-2015 гг. Маркиян Бэм. По словам эксперта, постоянным представителем компании на территории ЕС может быть как юридическое, так и физическое лицо, четко уполномоченное на это отдельным письменным документом. В случае, если орган надзора ЕС обвиняет украинскую компанию в нарушении законодательства о защите персональных данных, тогда компания сама подпадает под юрисдикцию того органа, сама появляется в суды, признает нарушение, если оно действительно было, и выплачивает соответствующую компенсацию.
– Другой случай – это когда компания не является, но отвечает ее представитель. Третий случай – это когда компания игнорирует такие запросы, но, на первый взгляд, многим компаниям кажется, что они могут не назначать представителя, или в случае каких-то проблем не платить штрафы, но тогда применяются другие механизмы воздействия, – рассказывает эксперт. – Наиболее минимальное, что может быть, это если она не будет отвечать на запрос надзорного органа или суда – надзорный орган даст указание компании, расположенной на территории ЕС, приостановить поток или передачу данных в Украине. В случае, когда украинская компания собирается сотрудничать с компанией по территории ЕС, то она обязана придерживаться этих положений. Регламент построен таким образом, чтобы не только заставить к чему компанию на территории Украины, но и заставить компанию с территории ЕС тщательно подбирать своих контрагентов по обработке персональных данных из-за территории Европейского Союза. Скажем, компания-владелец в ЕС поручает обрабатывать персональные данные компании на территории Украины, она понимает, что в случае нарушения регламента первой под удар попадает именно она, ей невыгодно работать с ненадежными компаниями в Украине, которые не соблюдают положений регламента. То есть, это миф, что украинские компании могут не соблюдать регламент. Если они работают с компаниями из ЕС, они должны его придерживаться.
На сегодня, по имеющимся данным, практически все украинские компании, работающие с персональными данными клиентов с ЕС, уже подготовились к приходу GDPR. Смогут ли они удержаться на плаву, учитывая печальный опыт украинских компаний в хранении данных пользователей, эксперты гадать не берутся.