Что нужно знать белорусским компаниям о европейском регламенте по защите персональных данных

Государственное регулирование

В 2018 году в Европейском союзе вступил в силу Общий регламент по защите персональных данных (GDPR).
Он усилил защиту персональных данных и закрепил новые правила работы с ними. GDPR обязаны соблюдать не только компании из ЕС, но и других стран, в том числе Беларуси.

Что такое GDPR

Документ предоставляет гражданам — резидентам ЕС возможность управлять своими персональными данными: быть в курсе целей, объемов и сроков обработки, запрашивать доступ к ним или перенос в другую компанию, а при необходимости потребовать их удалить.

Важно!
GDPR защищает персональные данные, под которыми понимается любая информация о человеке (субъекте данных), по которой его можно прямо или косвенно идентифицировать: имя, пол, возраст, адрес электронной почты, место жительства, профессия и любые связанные с этим элементы данных. Есть и особая категория конфиденциальных персональных данных: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетическая и биометрическая информация, сведения о состоянии здоровья.

GDPR устанавливает следующие принципы обработки персональных данных:

На заметку
Под обработкой персональных данных понимается сбор, запись, организация, структурирование, хранение, переработка или изменение, восстановление, использование, раскрытие посредством передачи, рассылка или иной способ предоставления для доступа, совмещение или комбинирование, ограничение, стирание или уничтожение информации.

1. Законность, справедливость и прозрачность. Обработка возможна только после получения согласия субъекта данных. Согласие дается для одной или нескольких конкретных целей. При этом компания должна понятно объяснить, для чего она собирает данные и как планирует их использовать.

2. Ограничение цели. Данные собираются для определенных и законных целей. Если цели сбора данных изменились, но они продолжают использоваться – это нарушение.

3. Минимизация данных. Данные можно запросить только в объеме, необходимом для достижения конкретных целей. Дополнительно ничего запрашивать нельзя.

4. Точность. Данные должны быть точными и актуальными. Субъект данных вправе запросить копию всей личной информации, имеющейся о нем у компании, а также потребовать исправить или удалить данные о нем.

5. Ограничение хранения. Срок хранения данных не должен быть дольше, чем это необходимо для достижения целей. Как только цель достигнута – данные подлежат удалению.

6. Целостность и конфиденциальность. При обработке и хранении данных должна быть обеспечена их безопасность, включая защиту от несанкционированной или незаконной обработки, случайной потери, уничтожения или повреждения.

Какие компании обязаны соблюдать GDPR

GDPR применяется и к компаниям, которые собирают персональные данные, и к компаниям, которые их обрабатывают. Те, кто собирают данные, определяют цель и значение обработки, а обработчик ответственен за непосредственную обработку данных. Но оба несут ответственность за соблюдение норм GDPR.

Под действие GDPR попадает любая компания, обрабатывающая персональные данные физических лиц, находящихся на территории ЕС, предлагающая товары (услуги) субъектам данных ЕС как на возмездной, так и на безвозмездной основе или осуществляющая мониторинг субъектов данных ЕС.

При этом размер и направления бизнеса значения не имеют. Главное условие — работа с данными европейцев, полученными на территории ЕС (в том числе через интернет). Как правило, под действие GDPR подпадают:

— разработчики онлайн-игр и мобильных приложений;

— интернет-магазины;

— финансовые, туристические, транспортные и фармацевтические компании;

— медиа- и телеком-организации.

Что нужно делать, чтобы соответствовать требованиям GDPR

Компании, работающие с персональными данными, должны:

1) получать согласие на обработку: согласие должно быть выражено посредством ясного утвердительного действия, конкретно и однозначно указывающего на разрешение лица использовать его персональные данные. Если обработка данных имеет несколько целей, то согласие нужно запросить для каждой из них. Согласие не может быть выражено по умолчанию или ранее проставленной галочкой при посещении сайта. Субъект данных должен иметь право легко предоставить и отозвать свое согласие.

На заметку
Форму дачи согласия нужно сделать максимально явной и понятной пользователю. Например, в поле для галочки «Я даю согласие на обработку своих персональных данных» уточнить, на обработку каких данных пользователь дает свое согласие. Можно сделать разные формы его получения — в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.

Для уже имеющихся клиентов лучше сделать рассылку с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных;

2) обеспечить необходимый уровень защиты: GDPR предлагает такой способ защиты, как псевдонимизация, которая предполагает обработку данных таким образом, что их нельзя соотнести с конкретным человеком без использования дополнительной информации;

3) информировать об утечке персональных данных: компании, обрабатывающие персональные данные, обязаны уведомлять регулятора (орган надзора, компетентный в соответствии со ст. 55 GDPR) о нарушениях персональных данных, в течение 72 ч с момента их обнаружения. Если утечка персональных данных может привести к высокому риску в отношении прав и свобод физических лиц, компания должна без неоправданной задержки сообщить об этом субъекту данных;

4) регламентировать внутренние процедуры: компания обязана доказать свое соответствие GDPR. Поэтому важно документировать все операции, связанные с обработкой персональных данных. Необходимо разработать внутреннее положение, определяющее политику компании по обработке персональных данных;

На заметку
В положении рекомендуется закрепить:
— порядок и принципы обработки персональных данных;
— порядок и условия предоставления информации субъектам данных;
— список лиц, имеющих доступ к персональным данным;
— порядок действий при утечке персональных данных и другие требования, установленные GDPR.

5) проверить необходимость назначения сотрудника по защите данных (Data protection officer): GDPR <*> устанавливает перечень случаев, когда назначение такого сотрудника обязательно. Например, когда основная деятельность компании состоит из операций обработки, которые в силу своего характера, объема и/или целей требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; когда данные обрабатываются госорганом.

На заметку
Для проверки и налаживания работы с персональными данными, подготовки необходимой документации можно также заказать аудит компании специалистом в области защиты персональных данных.

Что грозит за нарушение GDPR

Несоблюдение GDPR может повлечь серьезную административную ответственность: штраф в размере
от 10 до 20 млн евро или от 2 до 4% годового оборота компании за предыдущий финансовый год. При этом процент может быть посчитан от оборота международной группы компаний, а не одной компании-нарушителя.

Вместе с тем практика исполнения решений ЕС в странах, не входящих в союз, пока не развита. Поэтому даже если Комиссия ЕС наложит штраф на белорусскую компанию, вероятность исполнения такого решения — под вопросом.
Но на территории ЕС работа компании-нарушителя будет затруднена. Кроме того, привлечение к ответственности за нарушение GDPR может стать основанием для проверки национальными компетентными органами.