09.04.2018
Российские компании и владельцев сайтов могут принудить соблюдать новый закон Евросоюза о персональных данных – GDPR. Он унифицирует национальное законодательство и распространяется в том числе на находящихся далеко за пределами Европы участников. Нарушителям грозят многомиллионные штрафы в евро.
09.04.2018. АПИ — Общеевропейский регламент о защите персональных данных (General Data Protection Regulation, GDPR) был принят Европейским парламентом и Советом ЕС еще в 2016 году. Но только 25 мая он станет обязательным для всех, кто обрабатывает информацию, прямо или косвенно касающуюся граждан Старого Света.
В Брюсселе, где находится штаб-квартира ЕС, признают, что быстрое развитие технологий и глобализация выявляют новые проблемы, а существующие нормы законодательств отдельных стран не способны решить проблемы защиты персональных данных. «Технологии позволяют частным компаниям и органам государственной власти в рамках осуществления своей деятельности использовать персональные данные в беспрецедентном масштабе. В последнее время физические лица все чаще делают доступной личную информацию. Указанные достижения требуют наличия надежной, более согласованной правовой базы в области защиты данных. Необходимо повысить уровень правовой определенности и практической достоверности для физических лиц, субъектов экономической деятельности и органов государственной власти», – отмечается в новой директиве.
На самом деле вопрос о «серьезной опасности для прав индивида, являющейся неотъемлемой составляющей современного научного и технологического прогресса», Совет Европы поднял еще в 1968 году. По мере развития телекоммуникаций и внедрения электронно-вычислительной техники он становился не столько правовым, сколько технологическим. Основные риски нарушения прав личности власти видят уже не столько в самом по себе сборе сведений о личности, сколько в ее автоматизированной обработке.
Основной особенностью нового регламента является экстерриториальность применения его норм. Их должны соблюдать компании и иные участники рынка (операторы, именуемые в GDPR контролерами) во всем мире, если они получили любые сведения о «подзащитных» лицах. Причем таковыми признаются не только граждане стран Евросоюза, но и все находящиеся на их территории иностранцы.
В первую очередь под действие «евростандарта» попадают владельцы интернет-магазинов, социальных сетей и иных сайтов. Под «направленностью на Европу» понимается использование европейских языков (немецкого, французского, испанского, португальского, финского и других), прием платежей в евро (шведских кронах, польских злотых и иных), создание профилей клиентов или жителей Старого Света и так далее. Сбором сведений о «подзащитных» считается даже фиксация сведений о посетителе российского сайта с помощью cookie-файла для таргетированной рекламы, предложение европейцу платных или бесплатных услуг (в том числе регистрации в социальной сети, онлайн-игр, кинотеатров и прочего).
Также GPPR обязателен для компаний, которые осуществляют «отслеживание» поведения находящихся в ЕС лиц. Под этот критерий автоматически попадают все российские банки, сотовые операторы, авиакомпании, социальные сети, блог-платформы и иные операторы, которые фиксируют транзакции, соединения, поездки, сообщения и иные действия россиян (!), отправившихся в поездку в страны Старого Света.
С таким толкованием GDPR со стороны экспертов не согласны чиновники отечественного надзорного ведомства. «Требования Общеевропейского регламента не распространяются на обработку такой информации в России, – заявил на VIII Международной конференции «Защита персональных данных» руководитель Роскомнадзора Александр Жаров. – Он должен учитываться только при обработке персональных данных европейских граждан российскими операторами на территории стран ЕС. Такая позиция соответствует общепринятым международным принципам в этой сфере. К вопросу о применимости регламента на территории России можно вернуться только после его вступления в законную силу, когда будет накоплен некоторый опыт правоприменения».
С другой стороны, такие утверждения противоречат практике самого надзорного ведомства – как и GDPR, российский закон нередко применяется экстерриториально. В частности, введенные в 2015 году так называемые правила локализации обязали хранить информационные массивы с персональными данными россиян исключительно на находящихся в нашей стране серверах. Эти нормы распространяются в том числе на иностранные компании – социальные сети, операторов связи, авиаперевозчиков и многих других. В Роскомнадзоре не дают четкой методики идентификации «национальной принадлежности» интернет-пользователей, но предъявляют требования о локализации к зарубежным сайтам, использующим, в частности, национальные домены (.RU, .РФ и прочие), переведенные на русский язык, размещающие русскоязычную рекламу и так далее. Из-за отказа перенести базы данных российских пользователей в нашу страну надзорное ведомство уже заблокировало зарегистрированную в США социальную сеть LinkedIn.
С 1 июля отечественные операторы связи окажутся между молотом и наковальней. Вступающий в силу так называемый «пакет Яровой» обязывает их в течение шести месяцев хранить записи всех телефонных разговоров, переписку в интернете и иной трафик (АПИ подробно писало о таких требованиях – Тотальная прослушка). Действующее законодательство, регламентирующее проведение так называемой оперативно-разыскной деятельности (ОРМ), предусматривает сбор сведений о самих переговорах, отправленных сообщениях (в том числе в социальных сетях) и иных сведений о пользователях. Никаких исключений для граждан ЕС и оказавшихся на территории Европы россиян не делается. Таким образом, сотовые и иные компании, вынужденные соблюдать требования отечественных органов, могут привлекаться к ответственности за несоблюдение норм GDPR при обработке таких персональных данных.
Попадающие под действие нового «евростандарта» российские операторы обязаны назначить находящегося непосредственно в Старом Свете официального представителя – инспектора по защите данных (Data Privacy Officer, DOP). Это может быть филиал компании или специально уполномоченное лицо. В конфликтной ситуации именно он будет нести ответственность перед надзорными органами и самими «подзащитными гражданами», если привлечь находящегося в России непосредственного нарушителя окажется невозможно. Представитель может не назначаться, если обработка сведений о европейцах «носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных». Обязательным является и строгая регламентация всех действий по сбору, хранению, использованию и распространению приватной информации.
Как и в российском законе, GDPR признает первым условием обработки персональных данных согласие самого лица. Оно не обязательно должно быть письменным, но на оператора (контролера) возлагается бремя доказывания его наличия для одной или нескольких целей. Запрос на получение согласия (например, форма на сайте или оговорка в контракте) «должен быть представлен в понятной и легкодоступной форме на ясном и доступном языке в том виде, который четко отличал бы его от других обстоятельств». «Согласие не считается добровольным, если субъект данных не имеет подлинного и свободного выбора либо возможности отказать в предоставлении согласия или отозвать согласие без ущерба для себя», – отмечается в преамбуле европейского регламента.
За детей в возрасте до шестнадцати лет согласие должны давать их родители. Оно требуется в том числе для доступа подростков к онлайн-играм и иным услугам в интернете. «Контролер с учетом имеющихся технологических возможностей должен принять разумные меры для того, чтобы в указанных случаях подтвердить, что согласие было дано лицом, обладающим родительской ответственностью в отношении ребенка, или было дано с его одобрения», – отмечается в документе. Входящие в Евросоюз страны вправе провести «эмансипацию» – разрешить детям уже в 13 лет самостоятельно распоряжаться сведениями о своей жизни.
С другой стороны, без особого разрешения компании вправе собирать, хранить, а в ряде случаев даже распространять данные клиента, если это необходимо для исполнения заключенного с ним договора. Но независимо от целей оператор несет ответственность перед гражданином. Получив его данные, компания обязана предоставить ему специальный отчет, включающий информацию о самом операторе, его контактные реквизиты, предполагаемый срок хранения приватных сведений и способах обработки, предупредить о праве отозвать согласие и подать жалобу. Такой же отчет в кратчайший срок должен направляться гражданину, сведения о котором получены из внешних источников, в том числе социальных сетей.
GDPR гарантирует каждому право получить информацию о факте хранения и обработки его данных, требовать их удаления, жаловаться в надзорные органы и так далее. Но появляются и новые, не предусмотренные национальным законодательством процедуры. Например, – переносимость данных (data portability right): гражданин может поручить оператору (сотовой компании, банку или иному) передать информацию о нем другой компании в «структурированном, широко используемом и машиночитаемом формате». Также гражданам делегируется право отозвать данное согласие на обработку персональных данных, причем такая процедура должна быть такой же простой, как и получение согласия.
С проблемой реализации этих норм GDPR столкнутся компании, использующие на сайтах формы отзыва, обратной связи и иные средства коммуникации. В первую очередь им придется подробно, но ясно прописать условия использования собранной информации и заручиться согласием пользователя, в том числе путем проставления «галочки» (заполнение чекбокса). «При отсутствии регистрации и личного кабинета владельцу сайта нужно будет как-то идентифицировать лицо, которое потребует предоставления его персональных данных, их переноса или отзовет согласие. В противном случае этими правами сможет воспользоваться иной гражданин, тогда как отвечать за самозванца будет оператор, – поясняют эксперты. – При этом далеко не всегда такая идентификация возможна».
В то же время «евростандарт» допускает «особые случаи» обработки приватной информации. В частности, требования GDPR могут не соблюдаться журналистами, реализующими право на свободу выражения мнений и информации. Исключение допускаются при использовании персональных данных в научных, художественных и литературных целях, доступа общественности к официальным документам, архивам, проведении исторических исследований или в статистических целях. Правда, правила такой обработки должны определить сами страны-члены ЕС.
Даже самое «незначительное» нарушение требований GDPR может привести к наложению штрафа в сумме до 10 млн евро или двух процентов от годового оборота компании-нарушителя. Причем в расчет включается доход от деятельности оператора во всем мире, а для санкции принимается наибольшая сумма. Если проступок чиновники общеевропейского или национального ведомства сочтут «более серьезным» (таковым считается, в частности, несоблюдение принципов защиты данных), то штраф увеличивается до 20 млн евро или четырех процентов годового дохода.
Практика применения таких санкций по понятным причинам пока не сформирована. Эксперты убеждены, что у надзорных ведомств из Старого Света будет возможность взыскать штраф, в том числе с российских компаний. С другой стороны, в отличие от отечественных чиновников, у европейских нет «карательного подхода» – уполномоченные органы призваны в первую очередь помогать решать спорные ситуации, и при добросовестном отношении к требованиям операторы (контролеры) смогут избежать наказания.
Напомним, что согласно российскому законодательству административные штрафы за нарушения в сфере персональных данных не превышают 75 тысяч рублей для компаний, 25 тысяч – для индивидуальных предпринимателей и пяти тысяч рублей для частных лиц.
В Европейский союз входят 28 государств: Австрия, Бельгия, Болгария, Великобритания, Венгрия, Германия, Греция, Дания, Ирландия, Испания, Италия, Кипр, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Хорватия, Чехия, Швеция и Эстония.
В реестр Роскомнадзора внесено более 404 тысяч операторов персональных данных. За нарушения в этой сфере ежегодно к ответственности привлекается до 7 тысяч операторов и иных лиц.
Анастасия Грачева, юрист Dentons
Регламент GDPR ознаменовал новый виток в регулировании персональных данных в Европе и реформировал ставшие неактуальными механизмы защиты прав граждан. Вместе с тем его нормы обладают экстратерриториальным эффектом. В первую очередь, нормы GDPR затрагивают международные группы компаний, которые так или иначе взаимодействуют с европейским рынком. В частности, их должны соблюдать российские компании, имеющие присутствие на территории ЕС или предлагающие его гражданам товары и услуги.
Кроме того, под действие Регламента подпадают российские интернет-сайты, направленные на территорию Союза. Такой направленностью признаются, в частности, перевод информации на немецкий, французский, испанский или иные языки Старого Света (кроме английского), доставка товары в эти страны и прием оплаты в евро. Требования GDPR должны соблюдаться, и если через сайт осуществляются отслеживание и сбор информации о европейских пользователях для прогнозирования их онлайн-поведения, например, сбор cookie-файлов.
На сегодняшний день практика привлечения к ответственности за нарушения норм GDPR, по очевидным причинам, еще не сформирована, однако можно предположить, что будет задействована следующая логика при реализации экстратерриториальных норм. Скорее всего, взыскание штрафа может осуществляться за счет активов находящейся на территории ЕС дочерней структуры российской компании или уполномоченные органы заблокируют ее доступ к сервисам или иным образом ограничат бизнес-операции на территории ЕС.
Кроме того, некоторые нормы GDPR совпадают с требованиями российского законодательства о персональных данных. Поэтому не исключено, что Европейский совет по защите данных или национальные уполномоченные органы смогут уведомить о выявленных нарушениях Роскомнадзор. В этом случае уже федеральная служба сможет провести проверку и привлечь нарушителя прав граждан ЕС по российскому законодательству.
Дмитрий Бирюков, младший менеджер отдела контроля и анализа рисков, услуг в области защиты персональных данных PricewaterhouseCoopers
На самом деле GDPR очень похож на российский закон, но у него есть ряд фундаментальных отличий. Европейское правительство осознало, что в современных условиях старые подходы к защите персональных данных не актуальны. Использование высоких технологий и социальных сетей размывает границы государств, понятия BIG DATA или нейронной сети стали повседневными вещами.
Новый закон GDPR призван защищать права субъектов персональных данных и неприкосновенность частной жизни в современном мире.