Контакты
Подписка 2025
Статьи по информационной безопасности

Особенности применения GDPR для российских операторов персональных данных

Андрей Прозоров, 14/01/20

Каждый российский оператор персональных данных, спрашивая про Общий регламент по защите данных (General Data Protection Regulation, GDPR), на самом деле хочет знать ответы на три вопроса:
1. Попадает ли он под действие GDPR?
2. Какие есть риски?
3. Что еще нужно сделать для соответствия требованиям? (При условии, что все требования 152-ФЗ уже выполнены.)
В этой статье попробуем кратко ответить на них.
 
Андрей Прозоров
Менеджер по методологии ИБ, CISM, автор блога “Жизнь 80 на 20” (www.80na20.blogspot.com)
 

Для начала напомню, что у GDPR расширена территориальная сфера применения (ст. 3):

  1.  GDPR применяется к обработке персональных данных в контексте деятельности по учреждению контроллера или обработчика в ЕС, независимо от того, осуществляется ли обработка в ЕС или нет.
  2.  GDPR применяется к обработке персональных данных субъектов персональных данных, находящихся в ЕС, обработанных контроллером или обработчиком, которые не учреждены в Евросоюзе, когда деятельность по обработке связана с:
    (a) предложением товаров или услуг, вне зависимости от того, требуется ли оплата от этого субъекта данных в ЕС;
    или
    (b) мониторингом их действий, поскольку их действия совершаются на территории ЕС.

То есть интернет-магазин с доставкой товаров в ЕС и гостиница, которая в соцсетях показывает таргетированную рекламу для европейцев, подпадают под область действия GDPR. Это частные случаи. На самом деле не каждая организация, обрабатывающая персональные данные европейцев (субъектов персональных данных, находящихся в ЕС), должна выполнять GDPR…

EDPB (European Data Protection Board) выпустила уже вторую редакцию разъяснений по этому вопросу (Guidelines 3/2018 on the Territorial Scope of the GDPR). Документ крайне интересен своими комментариями и примерами. Так, в новой его версии появились дополнительные кейсы про иностранные компании. В частности, пример № 8 говорит про то, что если услуга оказывается только гражданам не из ЕС и она продолжает оказываться им при нахождении в ЕС (например, когда они в качестве туриста в ЕС могут получить доступ к услуге), то эта деятельность не подпадает под GDPR. EDPB также подчеркивает, что единичные случаи нахождения заказчиков-субъектов в ЕС еще не говорят о том, что компания подпадает под GDPR по признаку оказания услуг на территории ЕС. Еще из важных комментариев стоит отметить, что если услуга оказывается не на территории ЕС, а европейцы могут ей воспользоваться, но основные потребители не они, то такая деятельность тоже не подпадает под GDPR (это, к примеру, относится к большинству локальных банков, гостиниц и медицинских центров).

К сожалению, универсальный ответ на вопрос "Подпадает ли российская компания под GDPR?" дать не получится, надо рассматривать каждый случай отдельно. Но я рекомендую ориентироваться вот на эти вопросы:

  1.  Производится ли обработка персональных данных на территории ЕС (например, в европейских ЦОД)?
  2.  Есть ли у компании офисы и представительства в ЕС? Представлены ли их европейские контакты (адреса и телефоны) на сайте компании или в рекламных материалах и брошюрах?
  3.  Представлены ли Web-сайт компании, рекламные материалы и брошюры на одном из европейских языков, помимо английского? Предлагаете ли вы консультации и техническую поддержку на одном из европейских языков, помимо английского?
  4.  Расположен ли адрес Web-сайта на европейском домене (например, .eu, .de)?
  5.  Оказываете ли вы на постоянной основе услуги для европейцев, например для туристов?
  6.  Представлены ли цены на услуги и продукты вашей компании в европейской валюте (например, EUR, SEK, CZK, HUF, NOK, GBP)?
  7.  Организуете ли вы доставку товаров в ЕС и об этом явно сказано в вашем предложении?
  8.  Используете ли вы таргетированную рекламу и другие маркетинговые активности, направленные на европейцев?
  9.  Мониторите ли вы поведение субъектов персональных данных, находящихся в ЕС, составляете ли вы профили пользователей (например, получаете информацию о геолокации, используете cookies)?

И если хоть на один из них вы ответили да, то, скорее всего, вы подпадаете под действие GDPR.

Какие есть риски?

Консультанты очень любят пугать огромными административными штрафами за нарушение требований GDPR ("до 20 млн или применительно к хозяйствующему субъекту в размере до 4% от "общестранового" годового оборота за весь предыдущий финансовый год"), но почему-то не упоминают, что для взымания таких штрафов у компании должно быть юридическое лицо в ЕС, иначе обязать выплатить их довольно сложно.

В помощь приведу несколько полезных ссылок:

  1.  Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation) –https://eur-lex.europa.eu/eli/reg/2016/679/oj/.
  2.  European Data Protection Board (EDPB) –https://edpb.europa.eu.
  3.  Guidelines 3/2018 on the Territorial Scope of the GDPR (v.2.0, 12.11.2019, EDPB) –https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_sc ope_after_public_consultation_en.pdf.
  4.  Article 29 Working Party Guideline: 31–10–2017, Guidelines on the Lead Supervisory Authority (wp244rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611235.
  5.  Article 29 Working Party Guideline: 30-10-2017, Guidelines on Data Protection Officers ('DPOs') (wp243rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048.
  6.  Article 29 Working Party Guideline: 13–10–2017, Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.
  7.  Article 29 Working Party Guideline: 20–08–2018, Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052.
  8.  Article 29 Working Party Guideline: 06–07–2018, Guidelines on Consent under Regulation 2016/679 (wp259rev.01) - https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051.
  9.  Article 29 Working Party Guideline: 22–08–2018, Guidelines on Transparency under Regulation 2016/679 (wp260rev.01) –https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227.
  10.  Guide to the General Data Protection Regulation (by ICO) – https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regula-tion-gdpr.
  11.  Блог “Жизнь 80 на 20” –. https://80na20.blogspot.com.

На самом деле бизнесу, не представленному в ЕС, стоить опасаться скорее репутационных рисков и отказа иностранных компаний с ними работать (вплоть до формального запрета надзорного органа). Я также не исключаю возможность блокировки Web-сайта на территории ЕС, если на нем производится обработка персональных данных европейцев с нарушением GDPR, хотя на практике я еще не встречал таких примеров.

Что еще нужно сделать для соответствия требованиям?

Положения 152-ФЗ и GDPR во многом схожи, и если российский оператор персональных данных добросовестно выполнил требования первого, то и со вторым особых проблем не будет. Но вот что еще надо сделать:

  •  Определить основной, помимо РКН, надзорный орган (Lead Supervisory Authority), изучить его требования и рекомендации.
  •  Пересмотреть политику обработки персональных данных, особенно ее общедоступную версию.
  •  Решить вопрос с cookies (отключить или оформить политику и согласие субъектов).
  •  Пересмотреть цели и основания для обработки персональных данных, а также сроки их хранения.
  •  Пересмотреть процессы трансграничной передачи данных и решить вопрос с местом (страной) хранения данных.
  •  Пересмотреть и доработать формы уведомлений и согласий на обработку персональных данных.
  •  Назначить DPO (Data Protection Officer), при необходимости, и опубликовать его контакты.
  •  Провести DPIA (Data Protection Impact Assessment), при необходимости.
  •  Выстроить процесс реагирования на утечки персональных данных.
  •  Задуматься о разработке кодексов поведения (Codes of Conduct) и сертификации ISO 27001 и/или ISO 27701.

Замечу, что некоторые организации разрабатывают отдельные комплекты документов для 152-ФЗ и для GDPR. Такое возможно, но говорит скорее о том, что в компании не внедрены принципы и процессы защиты персональных данных, а руководство хочет "прикрыться бумажками".

Вместо заключения отмечу, что тема соответствия GDPR непростая. Чтобы разобраться в ней, необходимо изучить очень много дополнительного материала, в т.ч. официальных разъяснений (например, от EDPB и Article 29 Working Party).

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019
Темы:Право и нормативыGDPR

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Обзор изменений в законодательстве. Ноябрь и декабрь 2024 года
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Усиление ответственности в области обработки ПДн. Стандарт по системам автоматизированного управления учетными записями и правами доступа. Изменения в 187-ФЗ. Использование криптографических средств. Программа профилактики нарушений лицензионных требований от ФСТЭК России. Программа профессиональной переподготовки от ФСТЭК России.
  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • Полгода после вступления в силу 572-ФЗ. Полет нормальный?
    Федор Музалевский, Директор технического департамента RTM Group
    Прошло полгода после вступления в силу большей части федерального закона о применении биометрии 572-ФЗ1. Закон определяет сразу несколько регуляторов – попробуем разобраться, кто за что отвечает.
  • Обзор изменений в законодательстве. Май, июнь 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Методика оценки защиты ОКИИ. Дополнительные требования по защите ЗОКИИ в электроэнергетике. Защита цифрового рубля. Контроль ЦБ за импортозамещением ПО. Требования для хостинг-провайдеров. Деятельность по стандартизации.
  • Обзор изменений в законодательстве. Март, апрель 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в ФЗ о безопасности КИИ. Категорирование для сферы транспорта. Продление эксперимента по повышению уровня защищенности ГИС. Новые стандарты в области защиты информации. Сертификация процессов безопасной разработки.
  • Обзор изменений в законодательстве. Январь, февраль 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Доверенные ПАК, перечни типовых ОКИИ, формы  для обработки биометрических ПДн, методика оценки безопасности ОКИИ, госконтроль за обеспечением защиты гостайны, стандарты по безопасной разработке.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"