Защита персональных данных в ЕС

General Data Protection Regulation (далее GDPR) – это свод правил, регулирующих сбор, обработку, хранение и распространение персональных данных (Regulation 2016/679). Данные нормы применяются ко всем организациям, к которым попадают данные граждан ЕС вне зависимости от месторасположения, наличия филиалов на территории ЕС и личного закона. То есть, неевропейские банки, интернет-магазины, авиакомпании, которые оказывают услуги гражданам ЕС, обязаны организовать работу с персональными данными в соответствии с правилами. Закон вступил в силу 25 мая 2018 года.

Сегодня GDPR является одним из самых подробных законов в данной сфере. В сравнении со своим предшественником Data Protection Act 1998 (DPA 1998), GDPR ввел следующие новеллы:

• Расширение определения персональных данных - под персональными данными понимается теперь значительно больше данных, чем было ранее.
• Введение понятия организации-контролера и организации-обработчика данных.
• Принцип применения закона вне территории ЕС.
• Расширение прав субъектов и введение обязательного согласия субъекта на передачу данных.
• Введение обязанности официально сообщать о нарушениях ответственному лицу в установленные сроки.
• Право субъектов на удаление данных «to be forgotten».
• Введение должности ответственного лица «data protection officer».
• Высокие штрафы за несоблюдение закона.

Подробнее информацию о законе можно найти на официальном портале.

GDPR дает следующее определение понятию персональных данных:

“Any information relating to an identified or identifiable natural person. An identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person”

Таким образом, в рамках закона, персональными данными является любая информация, которая позволяет прямо или косвенно определить/идентифицировать личность с той или иной целью. Персональными данными несомненно может быть имя, адрес электронной почты , IP адрес, номер телефона, номер паспорта, город рождения и т.д.

Важно понимать, что порой не обязательно иметь информацию об имени лица, чтобы его идентифицировать. Персональными данными могут быть и псевдонимы, и иная информация о лице, которая позволяет идентифицировать субъект.

В законе также выделяется понятие «sensitive personal data» - отдельная категория персональных данных, в отношении которых устанавливается специальный режим защиты (назначение ответственного лица Data Protection Officer, подписание дополнительных форм и т.д.). К таким данным относятся:

• Расовое или этническое происхождение;
• Политические убеждения;
• Религиозные убеждения;
• Членство в профсоюзе;
• Биометрические данные;
• Информация о физическом и психическом здоровье;
• Информация о сексуальной ориентации.

GDPR выделяет следующие основные принципы обработки персональных данных:

1. Организации должны обрабатывать персональные данные прозрачно в соответствии с законом.
2. Организации должны собирать персональные данные для достижения определенной, не противоречащей закону цели.
3. Организации должны обеспечивать точность и актуальность персональных данных.
4. Организации должны обеспечивать ограничение персональных данных тем, что необходимо в рамках законной цели.
5. Организации не должны хранить персональные данные дольше, чем это необходимо.
6. Организации должны “обеспечивать надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, используя соответствующие технические или организационные меры”.

В целях закона под «обработкой» персональных данных понимается выполнение любых действий/операций с персональными данными.

Обработка персональных данных включает в себя сбор, запись, структурирование, хранение, адаптацию, изменение, извлечение, раскрытие, передачу, стирание, уничтожение или иное предоставление доступа к данным третьим лицам.

Шесть вышеизложенных принципов являются основополагающими. Несоблюдение одного из принципов влечет нарушение закона и привлечение к ответственности.

Отдельно остановимся на принципе прозрачности, который подразумевает под собой, что организации при сборе информации обязаны открыто сообщать цель сбора персональных данных, условия хранения и основания/способы удаления информации.

Если цель сбора информации не соответствует закону, то персональные данные нельзя обрабатывать.

При оценке прозрачности можно обратиться к следующим факторам:

• Форма предоставления – организация может предоставлять информацию субъектам в любой форме, в том числе и устной. На практике рекомендуем предоставлять всю информацию в письменной форме.
• Язык предоставления – необходимо излагать информацию понятно для всех, избегать специальной терминологии и разных способов толкования.
• Доступность предоставления – информация должна быть легко доступна для субъектов. Организациям необходимо настроить процесс так, чтобы субъекты не искали, не делали запросы ответственным лицам, а могли в любой момент самостоятельно ознакомиться с информацией.

GDPR значительно расширил понятие согласия субъектов на обработку их данных. Молчание, проставление галочек в анкете и бездействие теперь не могут считаться согласием и, соответственно, основанием для обработки персональных данных.

Организациям необходимо предоставлять субъектам больше выбора и опций, чтобы согласие было прямо выраженным.

Необходимо разделять согласие на обработку персональных данных и согласие с условиями оказания услуги «terms and conditions». Организациям следует давать несколько вариантов обработки персональных данных субъектам и сразу обозначать цель сбора информации, чтобы субъекты могли выбрать способ обработки персональных данных и одновременно ознакомиться с целью.

Ответственные лица в организациях обязаны хранить следующую информацию:

• Информацию, которую сообщали субъектам при запросе согласия, цель сбора информации;
• Каким способом и когда было получено согласие от субъекта;
• Содержание согласия (на какие именно действия и процессы дал согласие субъект).

Субъекты вправе отозвать согласие на обработку персональных данных в любой момент без штрафов и негативных санкций. При этом способы отзыва согласия должны быть такими же простыми, понятными и доступными, как и способы волеизъявления самого согласия.

GDPR значительно расширил права лиц, чьи данные собираются и хранятся. Теперь им доступно гораздо больше информации. Они вправе:

1. Получать информацию от организаций, обрабатываются ли их персональные данные и в каком объеме;
2. Получать информацию от организаций, какие именно персональные данные обрабатываются, на каком основании, кому могут быть переданы/раскрыты;
3. Запрашивать информацию от организаций, из какого источника персональные данные получены (в случае, если получены не напрямую от субъекта);
4. Получать информацию от организаций, как долго персональные данные будут обрабатываться и храниться;
5. Быть осведомленными о праве подать жалобу в специальный вышестоящий государственный орган «Information Commissioner» в случае нарушений закона;
6. Быть осведомленными о правах в соответствии с законом GDPR, в том числе о праве «быть забытым» / «the right to be forgotten», и праве требовать исправления/изменения недостоверных персональных данных;
7. Получать информацию о гарантиях безопасности, в том числе в случае, если информация распространяется за пределы страны;
8. Получать копию персональных данных, которые хранятся в доступной, понятной форме с использованием простого языка.

Для упрощения процесса на официальном портале размещены специальные формы для оформления данного запроса в организацию:

Организация, в свою очередь, обязана удалить персональные данные и предпринять все необходимые шаги, чтобы убедиться, что персональные данные удалены также всеми третьими лицами, которым персональные данные были раскрыты.

GDPR фиксирует также требования к обратной связи организаций на запросы субъектов:

• Все запросы субъектов должны обрабатываться безвозмездно для субъектов, не на платной основе;
• Организациям необходимо возвращаться с обратной связью своевременно «without undue delay»;
• Если запрос субъектом сделан в электронной форме, то ответ организации должен быть также в электронной форме. Во всех остальных случаях ответ организации должен быть в письменной форме, если субъект не запрашивает иное. В идеале, ответ организации на запрос субъекта должен быть выполнен тем же способом, которым организация собирала персональные данные.

Во всех остальных случаях организация обязана не на платной основе обработать запрос и дать ответ без задержек в определенной форме.

Ранее организации могли также отказать предоставлять какую-либо информацию по запросу, если ответ на запрос повлечет раскрытие информации о другом субъекте, согласие которого ранее не получено.

Вышеуказанные права субъектов не редко вступают в противоречие с требованиями публичности и общедоступности реестров директоров и бенефициаров иностранных компаний. Подробнее о противоречии норм GDPR и публичности реестров на примере страны Гонконг можно ознакомиться здесь:

Data protection officers (DPO) - это ответственные лица в организации, назначение которых обязательно в случаях, если:

• организация является государственной (за исключением судов),
• организация обрабатывает на постоянной основе большой объем персональных данных,
• организация обрабатывает специальную категорию персональных данных «sensitive personal data».

DPO должен иметь экспертные знания в области закона GDPR и иметь соответствующую практику работы.

DPO может быть как принят в штат организации, так и оказывать услуги на аутсорсе.

Ответственные лица DPO обязаны:

• Информировать организацию и сотрудников об обязанностях в рамках GDPR;
• Отслеживать соблюдение норм GDPR, в том числе назначение внутренних ответственных лиц, обучение сотрудников и проведение необходимого аудита;
• Вести общение с государственным органом, направлять регулярные отчеты (DPO является контактным лицом для государственного органа по вопросам соблюдения GDPR).

GDPR устанавливает, что несоблюдением закона («data breach») является действие/бездействие, вследствие которого нарушены права субъектов.

О таких нарушениях организация обязана своевременно уведомить государственный орган (в определенных случаях не позднее чем через 72 часа с момента обнаружения нарушения) и вести внутренний учет всех нарушений GDPR.

За несоблюдение закона GDPR установлены высокие штрафы.

Штраф 10 000 000 EUR или 2% от годового оборота организации может быть наложен в случаях, если:

• Нарушен процесс получения согласия на обработку персональных данных;
• Организация не уведомила государственный орган о нарушении;
• Организация не ведет или ведет недолжным образом внутренний учет нарушений.

Штраф 20 000 000 EUR или 4% от годового оборота организации может быть наложен в случаях, если:

• Нарушены основополагающие принципы обработки персональных данных;
• Нарушены права субъектов персональных данных.

Подробнее ознакомиться с информацией, какие меры необходимо предпринять для соблюдения закона, можно на официальном портале.