что такое gdpr в европе
Информация о GDPR на русском языке
GDPR (General Data Protection Regulation)
Основные цели GDPR
Основные термины
Права граждан
GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:
Персональные данные
Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).
Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.
То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.
Примеры персональных данных:
А также особо охраняемые данные:
Принципы обработки данных по GDPR
Сфера действия GDPR
Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).
Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.
Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).
Соответствие требованиям GDPR
Несоблюдение норм GDPR
Утечка персональных данных
Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.
Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.
Право на забвение: что дают пользователям GDPR и его российский аналог
В 1995 году странами Евросоюза была принята Директива № 95/46/ЕС о защите прав частных лиц при обработке персональных данных (ПД). Однако компании в основном игнорировали ее. В итоге 25 мая 2018 года на смену документу пришел Общий регламент по защите данных (General Data Protection Regulation или GDPR). Важным отличием GDPR является его экстерриториальный принцип действия. Закон может затрагивать и российские компании. РБК Тренды разобрались, в чем преимущества этого документа для интернет-пользователей и в чем его отличие от российского аналога.
К каким компаниям применяется GDPR
Требования GDPR работают не только для европейских организаций, но и для иностранных компаний, которые имеют дело с персональными данными граждан ЕС или лиц, находящихся в ЕС.
Чтобы деятельность структуры была нацелена на ЕС, достаточно, чтобы на ее сайте было предусмотрено использование национального языка и валюты государства — члена Евросоюза, либо содержалось упоминание о потребителях или пользователях из этого региона.
Даже если сайт компании не содержит подобных упоминаний, достаточно того, что она может отслеживать активность любых пользователей и собирать эту информацию в своих целях. Важно, что GDPR применяется только при использовании персональных данных для маркетинговых целей и при мониторинге поведения пользователей в Европе. К примеру, на сайте организации может работать «Яндекс.Метрика» или Google Analytics, соответственно, он подпадает под действие GDPR. В 2018 году журналист «Медузы» (признана иноагентом в России) Султан Сулейманов, живущий в Латвии, воспользовался GDPR, чтобы запросить у «Яндекса» информацию о себе. Ответ пришел через два с половиной месяца после запроса. Он содержал ссылки на «Яндекс.Диск» с архивом копий данных, инструкции о том, как выгрузить письма из «Яндекс.Почты» и все файлы с «Яндекс.Диска». Архив включал текстовые документы в машиночитаемом виде по папкам в соответствии с сервисами «Яндекса»: «Карты», «Такси», «Кинопоиск», «Поиск» и др. Никаких пояснений к данным не было.
Организация обязана назначить себе представителя в ЕС при хотя бы одном из условий:
Представителем компании может стать физическое или юридическое лицо, которое должно находиться в той же стране ЕС, что и субъекты данных. Оно взаимодействует с органами власти и несет ответственность за нарушения.
Кто отвечает за обработку данных
Процесс обработки информации включает субъекта персональных данных, а также контролера и процессора. В соответствии с GDPR контролер — это физические или юридические лица, которые определяют, с какой целью и какими средствами обрабатываются данные. На них ложится вся ответственность за выполнение требований по обработке и защите ПД. Процессор или обработчик — это физические или юридические лица, которые занимаются обработкой персональных данных по поручению контролера. Таким образом, обработка ПД становится возможной только от имени контролирующей организации. Контролер может сам выступать процессором, либо поручать эту работу сторонней компании.
GDPR и ФЗ «О персональных данных». Сходства и различия
Согласно статье 3 российского Федерального закона «О персональных данных», персональные данные — это любая информация, прямо или косвенно позволяющая определить физическое лицо. В GDРR имеется аналогичное определение, но вместо слова «определить» в нем используется «идентифицировать».
В европейском законе более подробно описывается информация, относящаяся к персональным данным:
В российском ФЗ содержится понятие «обезличенных данных». Это анонимизированные персональные данные. Их гражданско-правовой оборот допускается для коммерческих целей и продажи третьим лицам. В законе прописано, что при статистических, исследовательских и аналитических целях согласие субъекта на их обработку не требуется. Однако формулировка статьи предполагает, что такие данные могут использоваться свободно и без получения согласия, даже если впоследствии возможно их соотнесение с личностью.
Понятие согласия возникает при обработке персональных данных, несовместимой с целями их сбора. Однако и в этом случае обработка информации без согласия субъекта допускается при его участии в судопроизводстве, для исполнения полномочий власти, исполнения договора, для защиты жизни, здоровья или иных жизненно важных интересов субъекта, прав и законных интересов оператора или третьих лиц.
И российский ФЗ, и GDPR описывают согласие субъекта на обработку его данных. В обоих случаях документы подчеркивают принципы конкретности, информированности и сознательности. Но GDPR обязывает, чтобы согласие было вынесено отдельно от других условий и соглашений и включало все цели обработки. Процесс отзыва согласия должен быть простым, а запрос на обработку данных — обоснованным. Например, можно оспорить ситуацию, когда сервис по редактированию фотографий запрашивает согласие на обработку геолокаций.
Закон о персональных данных РФ содержит семь принципов обработки данных, а GDPR — шесть. В отличие от российского ФЗ, в GDPR важным является принцип прозрачности и оповещения о действиях, связанных с обработкой данных пользователей. Закон гласит, что информация должна быть легко доступной и ясной для субъекта. В мае 2021 года власти Германии запретили WhatsApp обрабатывать пользовательские данные жителей страны и отправлять их в рекламную сеть Facebook. Местный регулятор настаивает, что новые положения политики WhatsApp непрозрачны, сбивают с толку, вводят в заблуждение и противоречат сами себе, из-за чего пользователям трудно осознать последствия их согласия с новыми условиями.
Условия правомерной обработки ПД в России и ЕС сопоставимы, но GDPR позволяет государствам вводить свои дополнительные требования. Европейский закон также устанавливает особые правила для дачи согласия несовершеннолетним. За детей, не достигших 16 лет, согласие должно давать лицо, осуществляющее функции родителя или опекуна.
В обоих документах присутствует право субъекта получить свои данные и информацию о том, как они обрабатываются, исправлять и удалять сведения о себе (право на забвение). Но есть отличие именно в составе этих данных. Если в российском ФЗ говорится, что человек может получить все обработанные данные по запросу, то в GDPR — только информацию об обработке в момент получения персональных данных.
Кроме того, в европейском законе выделено положение о праве на перенос своих данных. Компания должна предоставлять эти данные в структурированном и
машиночитаемом формате и передавать другой организации по запросу субъекта.
Схема действий при утечке данных прописана только в GDPR. Компания обязана проинформировать о ней надзорные органы и субъектов, иначе на нее будет наложен штраф. Надзорный орган назначается в каждой стране ЕС, а их руководители образуют Европейский совет по защите данных. В 2020 году комиссия по защите данных Ирландии оштрафовала Twitter за утечку данных пользователей, которая обнаружилась еще в январе 2019 года. Из-за ошибки приложение отключило параметр «Защитить ваши твиты» для некоторых пользователей, которые изменяли настройки своего аккаунта. Соцсеть должна была уведомить комиссию в течение 72 часов с момента обнаружения неисправности, но не сделала этого. В итоге сумма штрафа составила €450 тыс.
GDPR вводит штрафы за любые нарушения. Их размеры доходят до 4% годового оборота компании (до €20 млн). Нематериальные санкции могут включать запрет со стороны надзорного органа на обработку персональных данных или их передачу контрагенту до момента устранения нарушений. Однако сначала надзорный орган выносит предупреждение и дает время на устранение нарушения. Компаниям выписывают крупные штрафы только при повторяющихся нарушениях. В 2019 году Французская национальная комиссия по информационным технологиям и правам человека (CNIL) оштрафовала Google на €57 млн за нарушение правил прозрачности при получении согласия на обработку и использование персональной информации пользователей.
В российском законе не прописан механизм, в соответствии с которым операторы-нарушители должны нести ответственность. Кроме того, в нем не предусмотрено конкретных санкций для случаев нарушений или игнорирования требований регуляторов. В ФЗ сказано лишь, что субъект персональных данных может требовать компенсации материального и морального вреда, а также убытков. В начале июля 2021 года суд Москвы по требованию Роскомнадзора признал незаконной деятельность «клона» Telegram-бота «Глаз Бога», где можно было пробивать данные людей. Администрация Telegram позднее удалила сам бот. Тем, чьи данные могли фигурировать в базе данных, не выплатили никаких компенсаций. Главным аргументом основателя «Глаза Бога» стало то, что бот агрегирует данные людей из открытых источников в интернете.
В марте 2021 года Роскомнадзор предложил обязать операторов персональных данных компенсировать моральный вред жертвам интернет-мошенничеств, если они связаны с утечками по вине операторов. Предложение пока рассматривают.
В июне 2021 года в РФ был принят закон, который обяжет зарубежные ИТ-компании с ежедневной российской аудиторией от 500 тыс. человек открывать в стране филиалы, представительства или назначать уполномоченных юрлиц для взаимодействия с госорганами и регуляторами. Если эти требования не будут выполнены, то компаниям могут запретить распространение рекламы и сбор персональных данных российских пользователей. Под действие закона потенциально попадают Facebook, Instagram, Twitter, TikTok, Google AdWords, YouTube, WhatsApp, Viber, Telegram, Steam, WorldOfTanks и другие.
Что в других странах
В 2018 году, после принятия GDPR, в американском штате Калифорния разработали собственный закон, регулирующий правила работы с персональными данными.
California Consumer Privacy Act, или CCPA, вступил в силу 1 января 2020 года.
Теперь у интернет-пользователей в Калифорнии появилось право требовать у компании информацию, которую она о них собирает, и список третьих лиц, которые ее получают. Они также могут подавать в суд на организацию, которая неправомерно воспользовалась персданными и игнорирует запросы.
Отличие ССРА от GDPR заключается в том, что компания должна обрабатывать запросы, поступающие от пользователей. Компании не обязаны раскрывать какие-либо факты нарушений, если они не получили соответствующего запроса.
Данный закон также запрещает компаниям дискриминировать пользователей, отказавшихся предоставить свои персональные данные, но разрешает вводить системы поощрений для тех, кто согласился на это.
В Казахстане в ноябре 2020 года вступил в силу приказ Министерства цифрового развития, инноваций и аэрокосмической промышленности «Об утверждении правил сбора, обработки персональных данных». Согласно документу, сбор и обработка собственником или оператором персональных данных допускается в объеме, определенном перечнем. Субъект ПД имеет право требовать от оператора изменения и дополнения своих данных при наличии оснований, а также имеет право знать о наличии персональной информации и путях ее получения.
Пока не грянул гром: что стоит знать о GDPR
25 мая 2018 г. в странах ЕС вступает в силу новый регламент защиты персональных данных. Распространяться он будет не только на европейские организации, но и на филиалы зарубежных компаний, работающих в Европе. Непосредственно новые правила коснутся тех, кто работает с персональными данными клиентов. Это банки, туристические компании, интернет-компании, перевозчики и т.д. Готов ли российский бизнес к новым требованиям, и что нужно для соответствия GDPR? Об этом CNews поговорил с экспертами в области информационного менеджмента и информационной безопасности.
Что такое GDPR
С официальной точки зрения, «Общее положение о защите данных Евросоюза» (Постановление 2016/679 или EU GDPR) – это масштабное обновление правил Евросоюза по защите данных. Закон развивает и заменяет предыдущую Директиву по защите данных (Директива 95/46/EC), которая действовала более 20 лет.
«Для Европы GDPR является первым шагом к созданию единого цифрового рынка, – поясняет Александр Черкавский, генеральный директор Центра информационного менеджмента. – Создание доверенной цифровой среды за счет ужесточения требований к учету персональных данных подготовит почву для применения более продвинутых технологий, таких, например, как умные контракты. GDPR – это ответ Евросоюза на появление новых бизнес-моделей, связанных с применением современных технологий. Большие данные, искусственный интеллект, интернет вещей, распределенные информационные системы, например, на основе блокчейна, требуют новой регуляторной базы со стороны государства. Если данные – это новая нефть и основа цифровой экономики, то это положение должно быть зафиксировано в законодательстве».
К нововведениям общего положения о защите данных ЕС (EU GDPR) относятся расширение понятия персональных данных по сравнению с предыдущими нормами (Статья 4 (1)), увеличение территориального охвата действия закона (статья 3 (2) (a) – (b)), изменение правил подсудности и серьезное увеличение верхней планки штрафов (Глава 8 Статьи 77–84), ужесточившиеся требования к получению согласия на обработку данных (Статья 4 (11), Статья 6 (1) (a), Статья 7), новые права субъектов данных (Глава 3 Статьи 12–23), необходимость в работе компании учитывать принцип «Обеспечение приватности по умолчанию» (Статья 25), роль Директора по защите данных (Статьи 37–39), уведомление контролирующего органа об инцидентах с данными (Статья 33), расширение обязательств по документированию операций с данными (Статья 30).
«По большому счету, речь идет о создании системы менеджмента персональных данных, – поясняет Александр Черкавский. – Внедрение какой-то одной информационной системы или ПО для псевдонимизации данных эту задачу не решит. Требования носят комплексный характер и предполагают изменение отношения к информации всех сотрудников компании. В создании процесса обеспечения требований GDPR, который будет действовать в организации, должны участвовать топ-менеджмент, юристы, кадровики, информационная безопасность, ИТ и руководители бизнес-функций».
GDPR и 152-ФЗ
152-ФЗ является калькой с европейской директивы о защите данных, которую призван заменить новый регламент. GDPR содержит ряд новых требований, актуальных для зарубежных компаний, работающих с ЕС. А также отличается более мягкими формулировками, чем российский закон о ПДн.
«Общие черты у ФЗ-152 и GDPR, разумеется, присутствуют, – рассказывает Алексей Андрияшин, руководитель системных инженеров в компании Fortinet, – так как основной смысл этих регламентов – защита персональных данных субъектов и уведомление граждан о тех случаях, когда их данные могут быть обработаны, и самое важное – определение требований к операторам персональных данных. Российский закон о защите персональных данных также вынуждает иностранные компании выстраивать свои процессы таким образом, чтобы удовлетворять отечественным требованиям и иметь возможность вести бизнес на территории РФ – переносить базы данных на серверы, расположенные в России».
«GDPR представляет собой обновленный набор требований по обработке и защите ПДн европейцев, ориентированный на работу с «цифровыми данными» (интернет, большие данные, интернет вещей и прочее), – поясняет Андрей Прозоров, руководитель экспертного направления компании Solar Security. – GDPR интересен простотой формулировок базовых принципов и прав субъектов ПДн (например, «право на забвение», «право на перенос данных», «право знать об утечках данных» и прочее), возможными большими штрафами (до 4% глобального оборота), и широкой областью действия (под нее попадают не только организации, территориально расположенные в ЕС). Да, GDPR можно (и нужно) сравнивать с 152-ФЗ, общие положения у них схожие».
Именно детализация формулировок определяет одно из ключевых отличий 152-ФЗ и GDPR. Европейский регламент задает только требования, тогда как российский закон подробно регламентирует еще и способы соответствия им.
«Если сравнивать GDPR с 152-ФЗ и соответствующими поднормативными актами, то у GDPR меньший уровень детализации того, как именно необходимо обеспечивать безопасность персональных данных, – поясняет Евгений Дружинин, ведущий эксперт направления информационной безопасности КРОК. – GDPR задает определенную планку по защите персональных данных, но не отвечает точно на вопрос как ее преодолеть, в отличие от 152-ФЗ, который достаточно детально определяет конкретные шаги по реализации мер и механизмов защиты. При этом цели GDPR и 152-ФЗ, в общем-то, совпадают».
Эксперты расходятся во мнении, что компании, выполняющие требования 152-ФЗ, не будут иметь серьезных проблем с соблюдением европейского регламента в силу схожести законов. Надо учитывать, что 152-ФЗ соответствует старому закону ЕС о защите данных, в то время как новый закон потребует от компаний определенных действий по обеспечению комплаенса.
Требования GDPR и как им соответствовать
Ключевое требование GDPR заключается в том, что «оператор должен обеспечить и несет ответственность за соответствие принципам» данного закона. Это означает, что речь идет не об информационной безопасности или информационных технологиях, а о новом типе учета в организациях – об учете информации.
«Необходимо создать систему менеджмента персональных данных, которая будет включать в себя процессы ведения записей об обработке данных, процедуры уведомления и взаимодействия с субъектами данных, измененную модель данных, которая позволит отслеживать жизненный цикл персональных данных в компании, новые функции сотрудников, – разъясняет Александр Черкавский. – Помимо защиты права резидентов ЕС на приватность, присутствует и негласная цель – повысить зрелость процессов по управлению информацией во всех европейских компаниях. Центр информационного менеджмента создавался в 2016 году для реализации этой же цели в России».
Кто чем рискует
Несоблюдение требований GDPR грозит штрафами до €20 млн или 4% от мирового оборота компании за прошлый финансовый год, в зависимости от того, какая сумма больше. Также контролирующий орган может наложить запрет на обработку персональных данных, что является более тонким инструментом воздействия, чем блокировка счета. Для интернет-сервисов приостановление обработки персональных данных будет означать приостановление бизнеса.
Александр Черкавский приводит несколько примеров: «В Канаде в 2015 году после принятия Закона о цифровой приватности государство сразу же оштрафовало ряд компаний на суммы от 200 000 до 3 000 000 канадских долларов, чтобы показать, как работает сдерживание и принуждение к выполнению требований. В Европе события будут развиваться аналогичным образом. Так 16 февраля 2018 года Брюссельский суд первой инстанции постановил, что Facebook должен прекратить отслеживание деятельности бельгийских граждан в интернете и удалить незаконно собранные данные. В противном случае Facebook должен будет заплатить штраф в 250 000 евро за каждый день просрочки, но не более 100 000 000 евро».
Указанные санкции могут быть наложены на компании, которые допустили инцидент с данными. Под таким инцидентом могут подразумеваться не только хакерские атаки, но также жалобы граждан на нарушения их прав.
В зоне риска находятся все российские компании, которые ведут деятельность в Европе, предлагают товары или услуги резидентам ЕС или отслеживают их поведение, собирая данные в интернете. То есть это все экспортеры, поставщики интернет-сервисов и обработчики данных, относящихся к резидентам ЕС.
«Под действия закона GDPR в России попадают автоматически все компании, обрабатывающие персональные данные европейских граждан. Это такие организации как гостиницы, авиакомпании, сервисы по продажам билетов и так далее, – дополняет Алексей Андрияшин. – Скорее всего, данные требования отразятся на развитии облачных и интернет-сервисов, каким-то образом будут физически разделяться области хранения данных соотечественников и европейцев. Отечественным компаниям, ориентированным на западный рынок, придется выполнять требования как отечественных, так и западных регуляторов, чтобы иметь возможность предоставлять свои услуги иностранцам».
По мнению юридической фирмы Baker McKenzie, под действие нового регламента автоматически попадают также российские банки и сотовые операторы. Первые – так как выпускают карты, которыми можно пользоваться в Европе, а вторые – так как их абоненты пользуются услугами роуминга на территории ЕС.
Европа готовится
Информационная волна, связанная с подготовкой к GDPR, в Европе началась еще в 2017 г. И с каждым месяцем она усиливается. Руководители компаний понимают целесообразность инвестиций в подготовку, поскольку они будут все равно меньше, чем возможные штрафы.
Партнер Центра информационного менеджмента, Международная ассоциация AIIM за год до вступления закона в силу провела исследование о готовности европейских и американских компаний. Результаты приведены на диаграммах.
Оценка компаниями готовности к соответствию требованиям GDPR, по шкале от 1 до 5
Источник: Международная ассоциация AIIM
Оценка компаниями собственной осведомленности о влиянии GDPR на бизнес
Источник: Международная ассоциация AIIM
Задача соответствия требованиям законодательства не является новой для Европейских компаний. Новой является задача по обязательному внедрению регулирования информации.
Пока гром не грянет
По мнению Александра Черкавского, в России сложилась интересная ситуация – большинство крупных российских экспортеров в ЕС не обратили внимание на закон, который ужесточает условия ведения бизнеса всех компаний в ЕС.
«Российские компании исторически фокусировались на финансовом учете, поясняет Александр. – Концепция регулирования информации (information governance), которая подразумевает учет информации как актива, только начала набирать популярность в России, в том числе благодаря Центру информационного менеджмента. Если европейские представительства российских компаний не предпринимали никаких мер по своей инициативе – то готовность к соблюдению требований GDPR у них нулевая».
Но есть и другое мнение. «Важность соблюдения регламента GDPR серьезно воспринимается в России, о чем свидетельствует большой рост и популярность услуг консалтинга в данной сфере», – говорит Алексей Андрияшин, руководитель системных инженеров в компании Fortinet.
Российские компании комментируют свое отношение к GDPR весьма неохотно. В Альфа-банке сообщили, что в текущий момент проводится анализ применимости требований GDPR к банку. «В частности, изучаем вопрос необходимости соблюдения требований регламента организациями, осуществляющими свою деятельность за пределами ЕС, а также совместимости регламента с применимым правом о защите персональных данных в РФ», – сообщила пресс-служба компании.
Теоретически, попадает под требования нового регламента и деятельность европейских офисов «Аэрофлот». Но пока каких-то активных действий для обеспечения соответствия требованиям, компания не предпринимает. «Аэрофлот в курсе изменений европейского законодательства о персональных данных, – сообщили в компании. – В настоящее время осуществляется тщательный анализ всех процессов в компании, затрагивающих обработку персональных данных пассажиров. По итогам анализа будут сделаны выводы о соответствии этих процессов требованиям регламента GDPR и необходимости внесения каких-либо корректив для работы в странах ЕС».
Как подготовиться к GDPR
Цель 152 ФЗ (Статья 2):
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Кажущаяся общность целей GDPR и 152-ФЗ позволяет предположить, что компаниям, соблюдающим нормы российского законодательства, будет довольно просто соответствовать новым европейским нормам.
Но требования законов совпадают лишь частично, поэтому провести хотя бы минимальный аудит процессов, связанных с обработкой данных, компаниям все же придется. И в случае, если несоответствие будет выявлено, скорее всего, потребуется перестройка этих процессов.
GDPR вступает в силу 25 мая 2018 г., и времени на подготовку остается совсем немного. Даже если отнестись к выполнению требований GDPR формально, все равно потребуется обследовать данные и процессы компании и определить информационные риски.
«Для тех компаний, которые уже решали вопросы обеспечения защиты персональных данных в соответствии с российским законодательством больших проблем быть не должно: эти компании уже понимают, где и как обрабатываются персональные данные, – полагает Евгений Дружинин. – Кроме того, для их защиты уже реализованы определенные технические и организационные меры защиты. Необходимо только акцентировать внимание на специфических требованиях GDPR, касающихся, например, необходимости оповещать регулирующие органы о нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения, а также необходимости хранения соответствующей «сырой» информации».
Масштабным компаниям придется автоматически находить и выгружать все документы и записи с конкретными персональными данными конкретного физического лица из всех информационных систем и бумажных архивов. Это необходимо для исполнения прав на доступ (Статья 15), на забвение (Статья 17) и на перенос данных (Статья 20) в соответствии с требованиями GDPR.
Также в GDPR к персональным данным относят онлайн-идентификаторы, вроде cookies или IP-адресов, чего нет в российском законодательстве. Это означает, что компании придется пересмотреть процессы, связанные с применением цифровых технологий.
Андрей Прозоров рекомендует проанализировать процессы обработки ПДн, особенно сбор данных в сети Интернет, и понять, попадает ли компания под требования GDPR по территориальному признаку, принципу принадлежности или по составу обрабатываемых ПДн. Затем придется проверить (и при необходимости поправить) выполнение базовых требований GDPR: это и четкое формулирование целей обработки, и сокращение количества собираемых данных, и наличие уведомлений об обработке, и назначение ответственного за обработку, и выстроенные процессы по реагированию на запросы субъектов ПДн, и многое другое.
Что делать в случае инцидента?
Согласно новому регламенту, в случае инцидента компания должна уведомить контролирующий орган в течение 72 часов, предоставив отчет о рисках для физических лиц и о предпринятых мерах по снижению этих рисков. А также проинформировать субъектов данных, чьи интересы и безопасность могут быть затронуты.
Наложение административных штрафов во многом будет зависеть от контролирующего органа в каждом отдельном государстве Евросоюза. Хорошая новость заключается в том, что с ними можно судиться. Другой вопрос, что обязанность доказывать соответствие лежит на компании-операторе или обработчике. И без серьезной предварительной подготовки оспорить нарушения будет сложно.