25 мая 2020 года вступил в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными. Правда, вступил он в Европейском союзе и распространяется, в первую очередь, на государства, которые являются его членами. Однако GDPR в России также будет иметь большое значение, ведь он имеет экстерриториальное действие. Особую роль GDPR играет для тех компаний, которые собирают и обрабатывают данные европейцев. Познакомимся с ним поближе.
Генеральный регламент о защите персональных данных (GDPR) был разработан и принят Европейским парламентом и Советом ЕС в апреле 2016 года. Регламент вступил в силу 25 мая 2020 года после двухлетнего переходного периода. Документ дает право и инструменты гражданам 28 стран ЕС для полного контроля над своими персональными данными. Казалось бы, при чем здесь Россия, которая не только не входит в ЕС, но и имеет со многими странами Европы напряженные отношения? Действуют санкции и контрсанкции, поэтому соответствие GDPR, по идее, должно волновать мало компаний. Но это только в теории. Оказывается, общий регламент по защите данных GDPR затрагивает многие российские организации, а также граждан. Разберемся, с чем это связано.
Что такое GDPR?
Регламент о защите персональных данных граждан ЕС похож на российский Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных». Оба документа предусматривают:
- Прозрачность сбора персональных данных: организации и граждане-операторы обязаны собирать данные на законных основаниях, с согласия их владельцев и объяснять, как планируют их использовать.
- Ограничение цели сбора данных: персональные даные граждан можно собирать и хранить только в строго установленных и озвученных владельцу целях.
- Ограничение объема персональных данных заявленными целями.
- Управление данными и возможность их отзыва владельцем. Гражданин имеет право запрашивать у оператора, какими сведениями о нем он располагает, а также потребовать удалить всю эту информацию.
- Безопасность использования и хранения: собранную о гражданах информацию нельзя передавать третьим лицам. Оператор обязан обеспечить защищенность хранения, без возможности утечки. Раскрывать данные без согласия их владельцев запрещено.
- Ограничение сроков хранения и обработки заявленными целями.
Но в ЕС пошли немного дальше РФ: в GDPR персональные данные являются объектом контроля со стороны уполномоченных органов. По регламенту для каждого обработчика может быть назначен отдельный контролер, который взаимодействует с оператором-обработчиком. Именно эти два субъекта должны обеспечить необходимые средства для обеспечения постоянной конфиденциальности и своевременного восстановления доступа к персональным данным в случае природного или технического инцидента. Кроме того, в их обязанности входит уведомлять надзорные органы об утечке персданных в течение 3 суток с момента выявления такой утечки, а также информировать об этом субъект данных. В российском законе такой обязанности у операторов нет, они просто обязаны самостоятельно и быстро устранить утечку. Кроме того, в ЕС обработчики данных должны отчитываться об их хранении и использовании.
При этом раньше в ЕС действовала директива N 95/46/ЕС «О защите физических лиц при обработке персданных и о их свободном обращении», на смену которой и пришел GDPR. Его главное отличие от упраздненной директивы состоит в экстерриториальности и наднациональности, то есть если раньше все ограничивалось границами ЕС, то теперь требования должны фактически соблюдаться по всему миру, в том числе и в России.
Кого в РФ коснутся требования GDPR?
Действовать в РФ, как и по всему миру, GDPR начал 25 мая 2020 года. Именно с этой даты все российские организации, индивидуальные предприниматели и просто граждане, имеющие дело с персональными данными лиц, проживающих на территории Европейского Союза, обязаны следовать нормам этого регламента, чтобы избежать ответственности. К таким операторам персональных данных граждан ЕС, в часности, можно отнести:
- компании и ИП, которые имеют дочерние предприятия или филиалы на территории ЕС;
- организации и ИП, которые оказывают различные услуги в интернете (реализуют путевки, предоставляют услуги по бронированию номеров в отелях, содержат онлайн-кинотеатры, продают программное обеспечение и т.д);
- оказывают услуги мобильной связи в европейском роуминге;
- собирают персональные данные пользователей в мессенджерах, социальных сетях и других подобных сервисах.
Таким образом, соблюдать регламент будут обязаны не только организации, ведущие внешнеэкономическую деятельность, но и многие, даже небольшие компании, фактически работающие только в РФ, но ведущие бизнес в интернете. Поэтому всем им необходимо проверить свои базы данных с персональными данными пользователей и выяснить, есть ли среди них граждане Евросоюза. Если такие обнаружатся, то регламент нужно соблюдать. Правда, назначать представителя на территории ЕС для отчетности и взаимодействия с контролером нужно не всем обработчикам. Такая обязанность возникает только у тех из них, которые ведут бизнес непосредственно на территории ЕС, например имеют там магазин или офис для оказания услуг.
Надо отметить, что поскольку требования GDPR, что делать оператору и контролеру, являются более жесткими, чем российские, не исключено, что регулятор персданных в РФ (Роскомнадзор) захочет привести отечественные нормы в соответствие с европейскими. Это добавит хлопот российским операторам, но упростит соблюдение требований регламента, которые перестанут отличаться.
Ответственность за несоблюдение GDPR
Если компания или предприниматель проигнорирует требования регламента, то ей придется заплатить штраф, размер которого составляет до 4% от годового мирового оборота за предыдущий финансовый год или до €20 млн — в зависимости от того, что окажется больше. Конечно, взаимодействие у РФ с ЕС по привлечению организаций к ответственности минимальное, скорее всего, решение о взыскании штрафа с российской организации в пользу Евросоюза не будет исполнено на территории России. Однако в ЕС такая организация-нарушитель получит статус нон грата, то есть не сможет работать, пока не исполнит наложенное взыскание. Поэтому, если компания намерена вести бизнес в Европе, требования GDPR придется соблюдать.
Кстати, несоблюдение российского Федерального закона N 152-ФЗ также грозит операторам немалым штрафом. Его размер по статье 13.11 КоАП РФ составляет до 75 000 рублей, что конечно, намного меньше, чем €20 млн, но все равно бьет по карману.
