Общий регламент ЕС по защите данных (GDPR): краткое изложение, нововведения и контрольный список

Общий регламент ЕС по защите данных (GDPR) призван регулировать обработку персональных данных и обеспечить единую правовую базу для защиты данных. GDPR распространяется на все 27 государств-членов ЕС. Однако спустя почти четыре года после вступления в силу последней поправки все еще нельзя говорить о реформе защиты данных, которая применяется во всей Европе. Эксперты и защитники прав потребителей критикуют инертность европейских и национальных законодателей, а компании раздражены бременем дополнительной бюрократии и непрозрачной правовой ситуацией. Ниже мы предлагаем краткий обзор текущей правовой ситуации и представляем контрольный список мер, которые должны предпринять американские компании в связи с GDPR, чтобы их веб-сайты соответствовали европейским законам о защите данных.

Когда речь идет о европейской бюрократии, законы могут приниматься долго — даже после того, как они официально вступили в силу. После долгих дебатов в парламенте в Брюсселе 28 странам-членам ЕС часто предоставляются щедрые переходные периоды для включения новых законов ЕС в их национальное законодательство. Может пройти много времени, прежде чем давление имплементации дойдет до отдельных компаний.

Но помимо директив существует и второй тип законов ЕС: регламенты. Они практически не дают свободы маневра в отношении содержания и времени. Они немедленно и единообразно становятся юридически обязательными для всех стран-членов ЕС — это касается и деловой практики каждого МСП. Так обстоит дело и с GDPR: это не директива, а регламент.

В мае 2016 года GDPR вступил в силу с переходным периодом в два года — а с 25 мая 2018 года он стал официальным законом о защите данных во всех странах ЕС, отменяющим национальное законодательство. Это означает, что больше нет переходных периодов или «буферного» времени. Все компании и государственные организации, работающие с персональными данными, должны соблюдать правила ЕС по защите данных и внедрять соответствующие меры в свой бизнес.

Но даже сегодня, похоже, не все компании знают об этих изменениях. В сентябре 2020 года опрос Bitkom, посвященный GDPR, показал, что только 20% из 504 опрошенных компаний с 20 и более сотрудниками полностью соответствуют требованиям GDPR. Однако доля компаний, которые еще не начали принимать какие-либо меры, сейчас резко сократилась (10%).

Двумя самыми большими препятствиями являются правовая неопределенность и незнание того, сколько усилий потребуется для внедрения GDPR. Многие предприятия и компании считают, что необходимость получения конкретного соглашения перед обменом персональными данными является неоправданно сложной, а необходимость иметь возможность доказать это соглашение делает ее еще более сложной. Более того, 82 процента компаний, которые еще не полностью внедрили GDPR, говорят, что их приоритеты изменились в свете пандемии коронавируса. В итоге, спустя три года после внедрения GDPR, многие компании все еще не знают, как интегрировать новые правила в свою ИТ-сеть. Для многих предпринимателей сложная правовая ситуация оборачивается крупными штрафами. До 20 миллионов евро (23 миллиона долларов, что составляет 4% от общемирового объема продаж за последний финансовый год) — это потенциальный штраф, который может быть взыскан в качестве карательной меры. И пусть вас не обманывает тот факт, что это «всего лишь» закон ЕС. Он может затронуть и ваш бизнес в США — если вы собираете личные данные или информацию от лиц, проживающих или просматривающих сайты в странах ЕС, ваша компания должна соблюдать правила GDPR. Известные компании, такие как Google, уже получили штрафы за то, что не успели внедрить изменения. British Airways (230 миллионов долларов) и Marriott (124 миллиона долларов) были среди компаний, которым были выписаны одни из самых крупных штрафов за нарушение GDPR на сегодняшний день. British Airways получила штраф после утечки данных, в то время как Marriott была оштрафована за непроведение должной проверки после приобретения компании.

Положения ЕС имеют приоритет над национальными законами и имеют преимущество в случае противоречий. Однако GDPR содержит некоторые открывающие оговорки, которые позволяют государствам ослаблять или усиливать определенные правила защиты данных.

Основной целью GDPR является гармонизация европейской защиты данных. Если Директива о защите данных 1995 года применялась в каждой стране ЕС по-своему, то регламент предоставляет меньше возможностей для действий на индивидуальном, национальном уровне.

Второй основной аспект, затрагиваемый GDPR, связан с серьезными технологическими изменениями, произошедшими за последние 25 лет, а также, конечно, с техническим развитием, которое еще предстоит. Это связано с тем, что многие задачи по защите данных все еще стоят перед нами. Например, сбор биометрических данных сотрудников является обязательным при выполнении определенных работ с интеллектуальными машинами. Если компания чувствительна к таким данным, это само по себе не является проблемой. Однако, если эта информация сначала находится у работодателя, возникает соблазн использовать ее в других целях — например, для мониторинга производительности. GDPR ЕС создан для того, чтобы реагировать на подобные изменения.

Любое краткое изложение Общего положения о защите данных должно в первую очередь касаться изменений, связанных с персональными данными. Именно здесь происходят самые значительные изменения в связи с EU GDPR.

Например, была расширена ответственность компаний. Теперь существуют более полные обязательства, касающиеся документирования данных и подтверждения того, какие данные собирает компания. Эти обязательства также охватывают цели использования данных и способы их обработки. Прежде всего, GDPR означает больше работы, когда речь идет о документации. Компаниям, которые уже ценят защиту данных и ведут реестр процедур обработки данных, легче внедрить это правило.

Наиболее важные принципы следующие:

1. Запрет на несанкционированную обработку: Это означает, что любая обработка персональных данных запрещена без специального разрешения. Так было до сих пор, и поэтому это не является бесспорным. В конце концов, не все данные имеют одинаковую важность. Однако, согласно GDPR, принцип запрета применяется ко всем персональным данным без исключения.
2. Присвоение: Компании могут собирать и обрабатывать данные только для конкретных целей. Для этого цели должны быть четко обозначены в начале исследования, а будущее использование данных должно быть задокументировано. Например, данные, которые компания собрала в связи с выполнением контракта и по праву хранит, не могут быть использованы в рекламных целях. Это другая, отдельная цель, которая требует специального обоснования. Последующие изменения цели допустимы только при определенных обстоятельствах.
3. Минимизация данных: Принцип минимизации данных требует от компаний собирать как можно меньше данных. Общее правило гласит: как можно меньше, как можно больше, как необходимо. Не разрешается собирать больше, чем необходимо для целей данного опроса. Таким образом, этот принцип запрещает любой «слепой» сбор данных для неопределенных будущих целей.
4. Прозрачность: Обработка данных всегда должна быть понятной для тех, кого это касается. С одной стороны, это требует понятных деклараций о защите данных, а с другой стороны, пользователи пользуются широкими правами благодаря нововведениям GDPR. Как и раньше, компании обязаны предоставлять информацию о том, какими данными они располагают и как они их используют.
5. Конфиденциальность: Компании должны обеспечить техническую и организационную защиту персональных данных своих клиентов — будь то от несанкционированной обработки, изменения, кражи и/или уничтожения данных. Это четко сформулированное обязательство принимать технические меры защиты является новым. Тем не менее, эти меры не указаны точно и четко в Общем положении о защите данных и поэтому открыты для толкования. В случае кражи данных все будет зависеть от того, насколько технические и организационные меры защиты соответствовали риску, а также от типа хранимых данных.

В целом, GDPR является хорошей основой для каждого потребителя и всех тех, кого затрагивает обработка данных. Это связано с тем, что они защищены GDPR. Кроме того, правила GDPR также затрагивают права сотрудников.

Эти правила актуальны для всех компаний, имеющих сотрудников. Это означает, что многие компании оказываются под двойным влиянием, поскольку речь идет о частной жизни сотрудников (защита трудовых данных), а также клиентов, поставщиков и посетителей веб-сайтов.

Конечно, GDPR имеет отношение к тем, кто работает в качестве сотрудников по защите данных. Эти правила значительно увеличивают их число на всем континенте. Все органы государственной власти и все компании, основная деятельность которых связана с обработкой персональных данных, должны назначить ответственного за защиту данных в масштабах всей компании. Даже если основная деятельность предприятия не связана с обработкой данных, если в помещении компании не менее двадцати человек постоянно занимаются автоматизированной обработкой персональных данных, необходимо назначить ответственного за защиту данных. Скорее всего, это относится ко многим компаниям среднего размера. Компании, на которые распространяется данная схема, должны уже принять соответствующие меры.

Даже для сотрудников по защите данных, которые уже работают в компании, GDPR представляет собой серьезные изменения. Это связано с тем, что их роль в компании коренным образом изменилась. Если сотрудник по защите данных и раньше работал над обеспечением соответствия защите данных, то теперь он отвечает за контроль за реализованными мерами. Другими словами, круг обязанностей значительно расширился, что, конечно, впоследствии увеличило их потенциальную ответственность.

В целом, регламент увеличил рабочую нагрузку на сотрудников по защите данных. Они должны были ознакомиться с новой правовой ситуацией. Однако законы имели для них и положительные стороны. Их знания и опыт очень востребованы, и, кроме того, их положение в компании укрепляется в связи с увеличением количества задач. Статья 39 GDPR фактически называет задачи сотрудника по защите данных. Некоторые из них включают информирование и консультирование в отношении GDPR, а также других законов о данных, контроль за соблюдением GDPR, консультирование о влиянии правил и готовность ответить на любые вопросы.

Ниже приводится краткое изложение Общего регламента по защите данных с акцентом на основные задачи и последствия для операторов веб-сайтов и компаний.

Даже если фундаментального переворота в области защиты данных не произошло, GDPR ЕС привнес множество изменений. Компаниям необходимо учитывать эти изменения и уже на этапе концептуального проектирования интегрировать их в рабочие процессы, в которых задействованы люди (принцип Privacy by Design). В противном случае они окажутся нарушителями европейского законодательства. Ниже вы найдете некоторые из наиболее важных нормативных актов, которые должны соблюдать компании, особенно в сфере онлайн-коммерции.

• Оценка воздействия на частную жизнь (PIA): Компании обязаны проводить оценку рисков. Они также обязаны указать, какие меры защиты применяются для минимизации рисков. Это правило становится особенно актуальным, когда компания работает с облачными вычислениями. Облачные вычисления — это то, что часто связано с обработкой больших объемов персональных данных. Компании, которые хранят данные, касающиеся здоровья людей, скорее всего, пострадают еще больше, поскольку они считаются особенно чувствительными, и распространение этих данных может нанести огромный ущерб тем, кто в них замешан.
• Данные о сотрудниках: То, что всегда проверяется, — это то, как компания обрабатывает данные своих сотрудников. Поэтому положения GDPR, относящиеся к этому аспекту, также касаются человеческих ресурсов, что должно быть включено в изменения.
• Сотрудники по защите данных: Для многих компаний наличие сотрудника по защите данных стало обязательным. Эти люди контролируют индивидуально разработанную стратегию защиты данных и соответствие GDPR. Это касается не только тех компаний, которые работают с персональными данными в больших масштабах. Однако каждая компания, в которой более 20 человек регулярно работают с персональными данными, должна назначить ответственного за защиту данных.
• Требования к отчетности: Директивы EU GDPR о том, как действовать в случае сбоев, значительно строже, чем предыдущие правила. Об инцидентах безопасности необходимо сообщать в течение 72 часов после того, как о них стало известно. Если у вас есть сомнения, вы всегда должны сообщать о них пострадавшим лицам, а также соответствующим органам власти.
• Ответственность и штрафы: Теперь компании гораздо легче привлечь к ответственности за нарушения, связанные с собранными ими данными. Наказание за это может включать крупные штрафы.

• Обязательная документация: Основной акцент в GDPR сделан на подотчетности компаний. В отличие от прошлых лет, теперь компании обязаны документировать соблюдение требований по защите данных с помощью внутренней документации. Они должны быть в состоянии всегда информировать власти о том, какие данные хранятся, с какой целью они хранятся, как хранятся, а также когда они будут удалены компанией. Если потребуется, компания должна быть в состоянии предоставить список всей этой соответствующей информации.
• Privacy by Design: Принцип Privacy by Design означает, что компании должны принимать во внимание защиту данных уже на этапе технического структурирования своих бизнес-процессов. Не разрешается внедрять меры по защите данных задним числом (т.е. считать их второстепенными), вместо этого требуется интегрировать их в рабочий процесс на этапе разработки. Поэтому и продукты, и процессы должны быть разработаны таким образом, чтобы они требовали как можно меньше персональных данных.
• Конфиденциальность по умолчанию: Это конкретное положение GDPR предусматривает, что, в принципе, тот вариант защиты данных, который является наиболее дружественным, должен быть внедрен заранее. Это избавляет потребителей от необходимости продираться через сложные технические настройки при попытке наложить ограничения на обработку данных.
• Разрешение (соглашение, трудовой договор): Физические лица по-прежнему должны давать явное согласие на использование своих персональных данных. Кроме того, согласие работника или потребителя действительно только для указанной цели. Заявление о согласии должно быть сформулировано понятным образом, а также должно быть легко отзываемым. Отзыв соглашения должен быть таким же простым для клиента, как и первоначальное согласие. В соответствии с GDPR ЕС требования к эффективному согласию возросли. Грубый дисбаланс между заинтересованными сторонами может привести как к аннулированию добровольного характера договора, так и к его заключению.
• Удаление данных: Личные данные могут храниться только до тех пор, пока это необходимо для их целевого назначения. Если срок действия разрешения истекает (например, если согласие отозвано или договор выполнен), то данные должны быть удалены.
• Право на доступ и аннулирование: Граждане ЕС имеют право по запросу узнать, какие их данные хранятся в компании и как они используются. Кроме того, потребители могут потребовать от компаний удалить их данные. Возможность удаления личных данных по запросу с помощью Google является частью закона.

Общее положение о защите данных не содержит четких правил для онлайн-торговли или операторов веб-сайтов. Однако Закон Германии о защите данных в телекоммуникациях (TTDPA), который вступил в силу в Германии 1 декабря 2021 года, содержит такие правила. Теперь веб-сайты или поставщики услуг, работающие в Германии, должны соблюдать дополнительные правила и нормы, касающиеся отслеживания файлов cookie и хранения персональных данных.

История вопроса: GDPR был и остается переходным решением, поскольку изначально вместе с GDPR должен был вступить в силу другой новый регламент по защите данных — EU ePrivacy Regulation. Однако пока невозможно предсказать, когда дополнительный регламент вступит в силу, поскольку страны-члены ЕС не смогли прийти к консенсусу. Однако теперь немецкие законодатели достигли небольшой вехи, приняв новый TTDPA, перенося в национальное законодательство постановление ЕС, известное также как «Директива о cookie». TTDPA объединяет положения GDPR с Законом о телекоммуникациях (TKG) и Законом о телемедиа (TMG) в новый родительский закон. TTDPA может повлиять на американских операторов веб-сайтов, которые предоставляют свои услуги в Германии.

Операторы веб-сайтов и интернет-магазины должны следить за готовящимся Постановлением о защите частной информации (ePrivacy Regulation). В отличие от GDRP, который регулирует принципы защиты данных, ePrivacy Regulation будет относиться к очень специфической области: защите конфиденциальности в повседневной цифровой жизни. Это означает, что операторов веб-сайтов ожидают дополнительные правила.

Что же изменилось в мае 2018 года? Вот самые важные изменения в GDPR ЕС для операторов веб-сайтов:

1. Обязанность иметь комплексную обязательную документацию GDPR
2. Сложные формы согласия
3. Принципы Privacy by Design и Privacy by Default
4. Широкие информационные права и право на удаление данных
5. Право на переносимость данных
6. Более существенные требования к информации (например, декларация о защите данных на веб-сайте)
7. Отсутствие связи согласий
8. Очень высокие штрафы

Некоторые моменты уже были разъяснены в предыдущих разделах. Ниже описаны две темы — декларация о защите данных и соединение форм согласия. В основном они касаются операторов веб-сайтов.

Для операторов веб-сайтов наиболее важной особенностью GDPR является политика конфиденциальности. Ст. 13 абз. 2 GDPR содержит подробный перечень информации, которая должна содержаться в декларации о защите данных. Общая форма заявления о защите данных также более четко регламентирована в GDPR. Она должна быть написана понятным языком и понятна по содержанию. Общее положение о защите данных придает большое значение прозрачности.

С другой стороны, эксперты считают запрет на связывание форм согласия самым большим ограничением, налагаемым GDPR на сетевую индустрию. Это означает, что оператор веб-страницы не может подвергать своих потенциальных клиентов будущей выдаче данных, которые не нужны для текущего обслуживания. Например, если от вас требуют подписаться на онлайн-рассылку для заключения договора, то теперь это является нарушением законодательства ЕС. Самое главное, что здесь нет ничего принудительного, и такие меры всегда являются добровольными. До сих пор многие связанные согласия вряд ли были добровольными. Поэтому любое согласие, полученное таким образом, является недействительным.

Наконец, необходимо обратить внимание на изменения, касающиеся требований к документации, оснований для согласия, хранения, прав на информацию и права на удаление. Следует также помнить, что дополнительные правила могут также затронуть операторов веб-сайтов и компании.

Даже если вы уложились в срок, установленный Европейским общим регламентом по защите данных, важно, чтобы вы знали, что необходимые меры варьируются от компании к компании. Это означает, что вы можете проверить, что вы уже сделали, и при необходимости внести изменения. Существует несколько мер предосторожности, которые должна учитывать каждая компания. Эти меры предосторожности были обобщены здесь в виде контрольного списка GDPR.

• Установите процессы документирования для обработки персональных данных.
• Составьте список операций по обработке данных.
• Установите методы связи для любых запросов клиентов по защите данных.
• Проверьте, нужно ли вам назначить ответственного за защиту данных.
• Приведите политику конфиденциальности вашего сайта в соответствие с нормативными актами.
• Проконсультируйтесь с руководителем технического отдела и сотрудником по защите данных, чтобы определить, достаточно ли текущих технических мер по защите данных. При определенных обстоятельствах может потребоваться принятие дополнительных мер или лучшая интеграция существующих мер в ИТ-инфраструктуру.
• Все собранные персональные данные, которые нарушают правила сцепления согласия, должны собираться по-другому и рассматриваться как добровольно предоставленные данные.
• Если вы поручили внешним поставщикам услуг следить за обработкой персональных данных вашей компании, вам следует уточнить у них, соответствуют ли заключенные соглашения реформе защиты данных. При необходимости вы можете привести соглашения в соответствие с требованиями. Проверьте, как вы получаете согласие ваших клиентов в вашем интернет-магазине, и адаптируйте эту процедуру к GDPR.
• Будьте в курсе событий, когда речь идет о регламенте ePrivacy. Оно определяет, как интернет-магазины будут работать с инструментами анализа и отслеживания в будущем.
• Если вы в чем-то не уверены, воспользуйтесь соответствующим профессиональным советом.

Как и следовало ожидать от такого масштабного и широкомасштабного изменения и без того огромного и сложного вопроса, реакция на GDPR была неоднозначной. Некоторые приветствовали его введение, восхваляя его всеобъемлющий характер и прозрачность. Другие критиковали его, отмечая очень высокие штрафы и строгость некоторых законодательных норм. Ниже мы привели несколько цитат экспертов отрасли, которым есть что сказать о европейском Общем регламенте защиты данных.

Возможные последствия GDPR были предметом жарких дебатов в течение многих лет. С 25 мая 2018 года некоторые положительные и некоторые отрицательные прогнозы, похоже, сбылись. Здесь вы найдете краткий обзор всех последних событий, связанных с GDPR, которые затрагивают компании и/или потребителей:

Немецкая цифровая ассоциация Bitkom, а также Институт социальных исследований и статистического анализа Forsa, занимающийся изучением рынка, общественного мнения и социальных исследований, независимо друг от друга пришли к выводу, что почти три четверти немецких предприятий не готовы к внедрению GDPR — эта картина вряд ли изменится как в Европе, так и во всем мире. В частности, малым и средним предприятиям в настоящее время предстоит многое наверстать. Теоретически это может отразиться на их экономических показателях, однако точных статистических данных на данный момент пока нет.

GDPR вызвал путаницу во всем мире. Вместо того чтобы адаптировать свои собственные руководства по защите данных к европейским нормам, многие компании и новостные сайты просто блокируют пользователей с европейскими IP-адресами, сокращают объем предлагаемой информации или активируют ее только за дополнительную плату. Кроме того, многие небольшие сайты были выведены из Интернета из-за страха перед штрафами и с тех пор не выходят в сеть. Эти события играют непосредственную роль в сценарии «бегства данных», которого опасаются многие критики GDPR.

В то же время, изменения, которые произошли с GDPR, вызвали международный дискурс о защите данных, который — как согласны активисты защиты данных — давно назревал. Крупные интернет-компании, такие как Google и Facebook, теперь чаще оказываются в центре внимания СМИ, а также подвергаются критическому наблюдению со стороны своих пользователей.

Многие американские компании и новостные сайты, такие как New York Daily и Chicago Tribune, разрывают связи с пользователями с европейскими IP-адресами. Однако, судя по сообщениям об ошибках, которые появляются на многих сайтах во время посещения, в настоящее время изучается вопрос о том, можно ли продолжать предоставлять эти услуги заинтересованным европейским лицам.

GDPR продолжает вызывать путаницу во многих местах. Хотя конкретные изменения в юридическом тексте незначительны, страх перед последствиями игнорирования правовой ситуации усилился. Малые и средние предприятия выражают свой страх перед предупреждениями, а мелкие блоггеры и операторы форумов убирают свои веб-проекты из сети. Однако выяснилось, что многие из этих сайтов исчезли лишь на время — издатели хотят проверить собственные усилия по защите данных в связи с GDPR, прежде чем снова выходить в сеть. В любом случае, страшная «волна предупреждений», похоже, — по крайней мере, на данный момент — отсутствует. Это означает, что пока не зафиксировано широкомасштабного злоупотребления GDPR для целенаправленного мошенничества с предупреждениями.

Большая «волна предупреждений», которой долгое время опасались многие экономические игроки, продолжает оставаться фантомом. В почтовые ящики многих компаний попадает все больше электронных писем с напоминаниями. Часто они являются мошенническими и могут содержать опасные вредоносные программы во вложении, поэтому их следует быстро классифицировать как спам и удалять.

Аргументы «за» и «против» GDPR продолжают уравновешивать друг друга. Одни говорят о ненужном запугивании и называют многочисленные закрытия сайтов чрезмерно осторожными, другие считают, что это может стать началом новой эры защиты данных. Существует множество различных последствий этого постановления, начиная от профессионального уровня и заканчивая личным. Однако, независимо от мнения, поскольку GDPR уже вступил в силу, важно, чтобы вы проявили мудрость и обеспечили соответствие вашего веб-сайта или другого онлайн-представительства этим правилам.

Нажмите здесь для ознакомления с важными юридическими оговорками.