Контакты
Подписка
МЕНЮ
Контакты
Подписка

Особенности применения GDPR для российских операторов персональных данных

Андрей Прозоров, 14/01/20

Каждый российский оператор персональных данных, спрашивая про Общий регламент по защите данных (General Data Protection Regulation, GDPR), на самом деле хочет знать ответы на три вопроса:
1. Попадает ли он под действие GDPR?
2. Какие есть риски?
3. Что еще нужно сделать для соответствия требованиям? (При условии, что все требования 152-ФЗ уже выполнены.)
В этой статье попробуем кратко ответить на них.
 
Андрей Прозоров
Менеджер по методологии ИБ, CISM, автор блога “Жизнь 80 на 20” (www.80na20.blogspot.com)
 

Для начала напомню, что у GDPR расширена территориальная сфера применения (ст. 3):

  1.  GDPR применяется к обработке персональных данных в контексте деятельности по учреждению контроллера или обработчика в ЕС, независимо от того, осуществляется ли обработка в ЕС или нет.
  2.  GDPR применяется к обработке персональных данных субъектов персональных данных, находящихся в ЕС, обработанных контроллером или обработчиком, которые не учреждены в Евросоюзе, когда деятельность по обработке связана с:
    (a) предложением товаров или услуг, вне зависимости от того, требуется ли оплата от этого субъекта данных в ЕС;
    или
    (b) мониторингом их действий, поскольку их действия совершаются на территории ЕС.

То есть интернет-магазин с доставкой товаров в ЕС и гостиница, которая в соцсетях показывает таргетированную рекламу для европейцев, подпадают под область действия GDPR. Это частные случаи. На самом деле не каждая организация, обрабатывающая персональные данные европейцев (субъектов персональных данных, находящихся в ЕС), должна выполнять GDPR…

EDPB (European Data Protection Board) выпустила уже вторую редакцию разъяснений по этому вопросу (Guidelines 3/2018 on the Territorial Scope of the GDPR). Документ крайне интересен своими комментариями и примерами. Так, в новой его версии появились дополнительные кейсы про иностранные компании. В частности, пример № 8 говорит про то, что если услуга оказывается только гражданам не из ЕС и она продолжает оказываться им при нахождении в ЕС (например, когда они в качестве туриста в ЕС могут получить доступ к услуге), то эта деятельность не подпадает под GDPR. EDPB также подчеркивает, что единичные случаи нахождения заказчиков-субъектов в ЕС еще не говорят о том, что компания подпадает под GDPR по признаку оказания услуг на территории ЕС. Еще из важных комментариев стоит отметить, что если услуга оказывается не на территории ЕС, а европейцы могут ей воспользоваться, но основные потребители не они, то такая деятельность тоже не подпадает под GDPR (это, к примеру, относится к большинству локальных банков, гостиниц и медицинских центров).

К сожалению, универсальный ответ на вопрос "Подпадает ли российская компания под GDPR?" дать не получится, надо рассматривать каждый случай отдельно. Но я рекомендую ориентироваться вот на эти вопросы:

  1.  Производится ли обработка персональных данных на территории ЕС (например, в европейских ЦОД)?
  2.  Есть ли у компании офисы и представительства в ЕС? Представлены ли их европейские контакты (адреса и телефоны) на сайте компании или в рекламных материалах и брошюрах?
  3.  Представлены ли Web-сайт компании, рекламные материалы и брошюры на одном из европейских языков, помимо английского? Предлагаете ли вы консультации и техническую поддержку на одном из европейских языков, помимо английского?
  4.  Расположен ли адрес Web-сайта на европейском домене (например, .eu, .de)?
  5.  Оказываете ли вы на постоянной основе услуги для европейцев, например для туристов?
  6.  Представлены ли цены на услуги и продукты вашей компании в европейской валюте (например, EUR, SEK, CZK, HUF, NOK, GBP)?
  7.  Организуете ли вы доставку товаров в ЕС и об этом явно сказано в вашем предложении?
  8.  Используете ли вы таргетированную рекламу и другие маркетинговые активности, направленные на европейцев?
  9.  Мониторите ли вы поведение субъектов персональных данных, находящихся в ЕС, составляете ли вы профили пользователей (например, получаете информацию о геолокации, используете cookies)?

И если хоть на один из них вы ответили да, то, скорее всего, вы подпадаете под действие GDPR.

Какие есть риски?

Консультанты очень любят пугать огромными административными штрафами за нарушение требований GDPR ("до 20 млн или применительно к хозяйствующему субъекту в размере до 4% от "общестранового" годового оборота за весь предыдущий финансовый год"), но почему-то не упоминают, что для взымания таких штрафов у компании должно быть юридическое лицо в ЕС, иначе обязать выплатить их довольно сложно.

В помощь приведу несколько полезных ссылок:

  1.  Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation) –https://eur-lex.europa.eu/eli/reg/2016/679/oj/.
  2.  European Data Protection Board (EDPB) –https://edpb.europa.eu.
  3.  Guidelines 3/2018 on the Territorial Scope of the GDPR (v.2.0, 12.11.2019, EDPB) –https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_sc ope_after_public_consultation_en.pdf.
  4.  Article 29 Working Party Guideline: 31–10–2017, Guidelines on the Lead Supervisory Authority (wp244rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611235.
  5.  Article 29 Working Party Guideline: 30-10-2017, Guidelines on Data Protection Officers ('DPOs') (wp243rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048.
  6.  Article 29 Working Party Guideline: 13–10–2017, Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.
  7.  Article 29 Working Party Guideline: 20–08–2018, Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052.
  8.  Article 29 Working Party Guideline: 06–07–2018, Guidelines on Consent under Regulation 2016/679 (wp259rev.01) - https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051.
  9.  Article 29 Working Party Guideline: 22–08–2018, Guidelines on Transparency under Regulation 2016/679 (wp260rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227.
  10.  Guide to the General Data Protection Regulation (by ICO) – https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regula-tion-gdpr.
  11.  Блог “Жизнь 80 на 20” –. https://80na20.blogspot.com.

На самом деле бизнесу, не представленному в ЕС, стоить опасаться скорее репутационных рисков и отказа иностранных компаний с ними работать (вплоть до формального запрета надзорного органа). Я также не исключаю возможность блокировки Web-сайта на территории ЕС, если на нем производится обработка персональных данных европейцев с нарушением GDPR, хотя на практике я еще не встречал таких примеров.

Что еще нужно сделать для соответствия требованиям?

Положения 152-ФЗ и GDPR во многом схожи, и если российский оператор персональных данных добросовестно выполнил требования первого, то и со вторым особых проблем не будет. Но вот что еще надо сделать:

  •  Определить основной, помимо РКН, надзорный орган (Lead Supervisory Authority), изучить его требования и рекомендации.
  •  Пересмотреть политику обработки персональных данных, особенно ее общедоступную версию.
  •  Решить вопрос с cookies (отключить или оформить политику и согласие субъектов).
  •  Пересмотреть цели и основания для обработки персональных данных, а также сроки их хранения.
  •  Пересмотреть процессы трансграничной передачи данных и решить вопрос с местом (страной) хранения данных.
  •  Пересмотреть и доработать формы уведомлений и согласий на обработку персональных данных.
  •  Назначить DPO (Data Protection Officer), при необходимости, и опубликовать его контакты.
  •  Провести DPIA (Data Protection Impact Assessment), при необходимости.
  •  Выстроить процесс реагирования на утечки персональных данных.
  •  Задуматься о разработке кодексов поведения (Codes of Conduct) и сертификации ISO 27001 и/или ISO 27701.

Замечу, что некоторые организации разрабатывают отдельные комплекты документов для 152-ФЗ и для GDPR. Такое возможно, но говорит скорее о том, что в компании не внедрены принципы и процессы защиты персональных данных, а руководство хочет "прикрыться бумажками".

Вместо заключения отмечу, что тема соответствия GDPR непростая. Чтобы разобраться в ней, необходимо изучить очень много дополнительного материала, в т.ч. официальных разъяснений (например, от EDPB и Article 29 Working Party).

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019

Темы:Право и нормативыGDPR

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором
Комментарии

More...