11 апреля 2018 г. 682

Европа вводит новые правила обработки персональных данных

Британская компания Cambridge Analytica смоделировала поведение американцев по личным данным 87-ми миллионов пользователей фейсбука. Благодаря этому они подстраивали политическую рекламу под личные особенности человека и групп людей. Считается, что именно эти манипуляции с информацией и привели Дональда Трампа к победе на выборах.

Сейчас личные данные в ходе работы собирают интернет-магазины, мобильные приложения, финансовые и транспортные предприятия, сайты знакомств и ещё тысячи компаний других сфер. Проблема в том, что владельцы и обработчики баз данных часто пренебрегают этическими и правовыми нормами, используя полученную персональную информацию в личных целях. Отсутствие контроля над потоками информации подтолкнуло Европейский союз к решительным действиям для защиты персональной информации своих граждан.

Европейский парламент принял Регламент General Data Protection Regulation (GDPR), который в мае 2018 уже вступает в силу. Это документ, который фиксирует новые правила работы с персональными данными для их максимальной защиты.

Особенность Регламента GDPR в том, что он будет действовать не только на территории Евросоюза, но и за его пределами.

Как из ЕС смогут влиять на украинский бизнес

  • Отказ от сотрудничества. В случае утечки информации под санкции попадёт сама европейская компания, поэтому они будут подбирать партнеров особенно тщательно. Европейцы могут просто не захотеть иметь дело с украинской компанией, которая ненадлежащим образом обрабатывает информацию и не может гарантировать её сохранность.

  • Блокирование счетов в европейских банках. Многие украинские компании открывают счета в зарубежных банках для расчетов с европейскими контрагентами. Контролирующие органы ЕС могут через суд их заблокировать.

  • Блокирование ввоза товаров в ЕС и зарубежных сайтов украинских компаний, которые не придерживаются Регламента при работе с информацией.

  • Несогласие заказчика. Для привлечения субподрядчика к обработке персональных данных необходимо получить согласие заказчика. Законопослушные европейские клиенты вряд ли захотят давать такое согласие, учитывая “сомнительный” уровень защиты персональных данных в Украине.

Кому в Украине точно придется соблюдать Регламент

В первую очередь, это компании, которые предлагают товары или услуги потребителям из ЕС. Возможность делать заказы на языке стран ЕС и расплачиваться валютой стран ЕС возлагает на компанию такую обязанность.

Также это касается компаний, которые проводят мониторинг действий относительно лиц, проживающих в ЕС: любая маркетинговая деятельность с использованием персональной информации для анализа рынка, предпочтений целевой аудитории и т.д.

Все эти компании Регламент GDPR относит к одной из двух групп:

1. Контроллеры данных - компании, устанавливающие цель и способы обработки данных, другими словами - “владельцы” информации.

2. Обработчики данных - компании, которые по поручению контроллера или для ведения своего бизнеса собирают, записывают, хранят, структурируют, передают, предоставляют средства для обработки или другим образом обрабатывают данные.

Требования Регламента GDPR

1) Необходимость получить согласие на обработку персональных данных

Это может быть письменное заявление или, например, проставление отметки “согласна/согласен” на сайте контроллера информации. Всегда подразумевается, что человек реально ознакомился с политикой конфиденциальности, а не вслепую поставил отметку-согласие.

2) Соблюдение таких прав:

- Право на информацию: вы можете запросить у компании копию данных, которые подлежали обработке, в т.ч. информацию о периоде обработки и цели обработки. Открытым остается вопрос, каким образом компания-контроллер может проверить субъекта обращения. Регламент предполагает, что этот механизм компания должна выработать в своих внутренних процессах.

- Право на исправление информации: вы можете требовать исправить о себе неточную или неполную информацию.

- Право на возражение: вы можете не соглашаться на обработку данных о себе. В таком случае компания должна прекратить обработку данных. Кроме случаев, предусмотренных законом, - например, хранение персональных данных клиентов банков и т.д.

- Право на удаление: вы можете требовать удалить персональные данные и прекратить их дальнейшую обработку.

3) Уведомление о нарушении правил обработки и хранения персональных данных

GDPR обязывает обработчика данных незамедлительно уведомлять контроллера, как только он узнает о нарушении персональных данных. У контроллера данных есть 72 часа с момента получения этой информации, чтобы уведомить органы ЕС о взломах.

4) Установление должности менеджера по защите персональных данных, ответственного за соблюдение правил GDPR и коммуникацию с органами надзора. Это требование распространяется только на компании-контроллеры информации. Также менеджер назначается, когда:

  • обрабатываются чувствительные данные (о расе, религии, здоровье, политических взгляда, личной жизни и т.д.),

  • либо компания совершает систематическую обработку данных,

  • либо обработка осуществляется органом государственной власти.   

5) Создание условий для защиты персональных данных. Это требование касается механизмов защиты информации с помощью современных технологий. Цель - создать надежные условия хранения информации, сведя к минимуму риск любых возможных утечек и несанкционированного доступа.

Чего реально стоит опасаться украинским компаниям

Если человек понес материальный или нематериальный ущерб в результате нарушения требований GDPR, он может обратиться в суд и требовать у компании его компенсировать.

За невыполнение вышеупомянутых обязательств компанию могут оштрафовать на 10 или 20 млн евро либо же 2% или 4% от годового оборота (выбирается то, что больше) - в зависимости от сложности и тяжести последствий нарушения Регламента.

Компаниям, которые уже работают на европейском рынке или только планируют туда выходить, стоит как можно скорее начать подготовку к работе в новых условиях: провести комплексный аудит деятельности и разработать пошаговый процесс приведения её в соответствие с требованиями регламента. Это решаемая задача, но активные действия нужны уже сейчас.