GDPR: чек-лист для самопроверки

25 мая 2018 года вступили в силу новые правила Общего регламента обработки персональных данных на территории Европы (GDPR). Это документ, который регулирует и унифицирует правила защиты данных и действует во всех 28 странах Европы. Более того, следовать нормам GDPR должны также компании, зарегистрированные в других государствах, но ведущие свою деятельность на рынках ЕС.

Регламент — нормативный акт ЕC. Однако он применяется не только к компаниям, зарегистрированным на территории ЕС, но и к иным юридическим лицам, которые:

• предлагают услуги или товары лицам, находящимся на территории ЕС (например, предоставляют доступ к своим играм европейским гражданам, переводят их на один из языков ЕС);
  
• проводят мониторинг активности лиц, находящихся на территории ЕС (например, собирают и используют онлайн-идентификаторы посетителей сайта — европейских граждан (IP-адрес, информация об устройстве и так далее).
  

Важно отметить: даже если компания не имеет каких-либо корпоративных структур в Европе, она все равно может попасть под действие GDPR, предлагая свою продукцию лицам, находящимся в Европейском Союзе.

За несоблюдение требований GDPR с компании может быть взыскан штраф: 4% от годового оборота или 20 миллионов евро в зависимости от того, какая сумма будет больше.

Для того чтобы понять, распространяются ли требования GDPR на конкретную компанию, которая обрабатывает персональные данные физических лиц, надо ответить на несколько вопросов.

• Есть ли у вас филиал, представительство, дочерняя компания на территории ЕС?
  
• Предлагаете ли вы товары, услуги, работы лицам, находящимся на территории ЕС (в том числе в цифровом виде)?

Требования GDPR распространяются на вашу компанию, если вы ответили «да» хотя бы на один из указанных вопросов.

Чтобы избежать штрафа, компания должна провести ряд мероприятий для соблюдения требований GDPR.

Шаг 1. Провести проверку процессов обработки персональных данных в компании

Необходимо выяснить ответы на следующие вопросы.

• Какие категории данных вы собираете?
  
• Каким образом вы получаете данные пользователей (пользователи сами их предоставляют, либо вы самостоятельно их собираете)?
  
• Зачем вы собираете их?
  
• Каким лицам в вашей организации/других организациях и для каких целей вы передаете собранные данные?
  
• Как долго вы их храните? В каких случаях вы их удаляете со своих серверов?
  
• Как вы защищаете данные?
  
• Передаете ли вы персональные данные в третьи страны?
  

Шаг 2. Обновить «Политику конфиденциальности»

В нее необходимо внести следующую информацию:

• наименование и контактные данные (адрес, e-mail) юридического лица, которое решает, зачем и каким образом обрабатываются данные;
  
• категории обрабатываемых данных;
  
• цели их обработки;
  
• контактные данные инспектора по защите данных (если вам необходимо его назначить);
  
• наименования или категории получателей персональных данных. Их получателями являются все компании, которым вы их передаете, либо которые получают доступ к данным через ваш сервисы (игры). К ним относятся сервис-провайдеры (облачные вычисления, хостинг), рекламные сервисы (в том числе интеграции в приложения);
  
• информацию о передаче персональных данных в третьи страны вместе с перечнем таких стран;
  
• период, в течение которого данные пользователей обрабатываются вами. Либо можно указать критерии, на основании которых вы определяете, когда информацию нужно удалить. Например, когда пользователь удалил аккаунт.
  

Шаг 3. Назначить представителя в ЕС

Представителем может быть любая компания, находящаяся на территории одного из государств ЕС. С ней необходимо заключить договор. Наименование и контактные данные представителя желательно указать в обновленной «Политике конфиденциальности».

Шаг 4. Определить, нужно ли вам назначать инспектора (DPO) по защите персональных данных

Например, инспектора необходимо назначить в одном из следующих случаев:

• основная деятельность компании заключается в регулярном и систематическом мониторинге субъектов данных в больших масштабах;
  
• основная деятельность компании заключается в масштабной обработке особой категории персональных данных (сведения о расовой, национальной принадлежности, политических, религиозных, философских убеждениях и так далее).
  
  

Чтобы минимизировать риски претензий со стороны надзорных органов, лучше такого инспектора назначить. Сама процедура назначения инспектора не должна быть затруднительна для компании, поскольку инспектор может быть ее штатным сотрудником.

Шаг 5. Подготовить корректный текст согласия на обработку персональных данных

Текст согласия должен быть:

• явным и прямым: пользователь должен выразить свое желание на обработку;
  
• информативным. У пользователя должна быть возможность узнать, какие данные обрабатываются, кем и для каких целей;
  
• полученным путем активных действий. Распространенная формулировка «Если вы продолжаете пользоваться сервисами, то даете свое согласие на обработку персональных данных» не является согласием пользователя и не дает компании право обрабатывать его данные. Необходимо, чтобы пользователь дал согласие своими активными действиями, например, поставил галочку;
  
• альтернативным. У пользователя должна быть возможность использовать сервисы без предоставления согласия, если для оказания услуг не требуются данные пользователя. Либо если запрашиваемых персональных данных больше, чем необходимо для предоставления услуг.
  
  

Особое внимание на текст согласия стоит обратить компаниям, продукт которых предназначен в том числе для детей. По общему правилу, минимальным возрастом, с которого субъект персональных данных может давать согласие, является 16 лет. Однако конкретные государства ЕС вправе предусмотреть меньший возраст для граждан их страны, но не ниже 13 лет.

Если же ребенок не достиг «возраста согласия», обработка его персональных данных будет считаться законной, только при условии согласия его родителя/законного представителя. Важно, что просто получить согласие может быть недостаточно. Лицо, осуществляющее сбор данных, должно принять разумные усилия, учитывая доступные технические возможности, чтобы убедиться, что согласие было получено именно от родителя/законного представителя ребенка. Например, предусмотреть подтверждение дачи согласия с использованием электронной почты или номера телефона родителя/законного представителя ребенка.

Шаг 6. Организовать учет деятельности по обработке персональных данных

Он предполагает ведение реестра различной информации о процессах их обработки (цели обработки, категории субъектов данных и др.). От данной опции освобождены компании, численность работников которых составляет менее 250 человек, за исключением тех случаев, когда обработка, осуществляемая компанией, может привести к риску нарушения прав и свобод субъектов персональных данных.

Шаг 7. Провести оценку воздействия на защиту данных (DPIA)

GDPR предполагает такой механизм, который в случае наличия высокого риска для прав и свобод физических лиц, предусматривает проведение анализа, оценку рисков и составление отчета с определенными данными: описание операций обработки, оценка необходимости операций, оценка рисков при определенных обстоятельствах. GDPR не предоставляет исчерпывающий перечень ситуаций, когда требуется проведения оценки воздействия на защиту данных. Однако существуют разъяснения, которые уточняют, что может относится к таким ситуациям. К таковым, в частности, относятся случаи, когда компания использует новые способы обработки данных, проводит систематический мониторинг активности пользователей, обрабатывает большой объем персональных данных, проводит обширную оценку особенностей пользователей.

Шаг 8. Предусмотреть основания для передачи персональных данных в третьи страны

По общему правилу, передача данных за пределы ЕС без соблюдения определенных условий запрещена. Однако данные могут быть переданы в те страны, которые признаны Европейской Комиссией «адекватными» юрисдикциями, то есть способными обеспечить высокий уровень защиты данных. Так, например, на данный момент Россия не признана «адекватной» юрисдикцией. В аналогичном статусе находятся США: в июле 2020 года США потеряли свой статус, поскольку соглашение между ЕС и США (Privacy Shield), предусматривающее механизм передачи данных, было признано судом недействительным.

Если страна, в которую передаются данные, не относится к адекватной юрисдикции, в нее можно передать информацию при условии осуществления специальных гарантий (например, гарантии соблюдения корпоративных правил, стандартов защиты данных и др.). В исключительных случаях можно передать персональные данные при наличии согласия пользователя на передачу. Компания должна запросить такое согласие у пользователя и предупредить обо всех рисках передачи.

Шаг 9. Организовать систему взаимодействия с субъектами данных по их запросам

Субъекты персональных данных могут обратиться в компанию с запросом по поводу своих данных. Запрос может содержать вопрос о том, какие данные о субъекте собираются и обрабатываются, как долго и по какой причине данные будут храниться. Кроме того, субъект персональных данных может запросить удаление своих данных из баз. Компания имеет право запросить информацию, чтобы подтвердить личность человека, запрашивающего данные, а затем должна в течение месяца дать полный ответ на запрос. В исключительных случаях этот срок может быть продлен.

GDPR прямо разграничивает два вида нарушений: менее серьезные и более серьезные. За первые предусмотрены санкции в размере 10 млн евро или 2% от годового дохода фирмы, в зависимости от того, что больше. За вторые размер штрафа составляет 20 млн евро или 4% от годового дохода фирмы, в зависимости от того, что больше.

Стоит сказать, что практика привлечения к ответственности до сих пор не определила средний размер штрафа. Каждая ситуация разрешается от случая к случаю: учитываются опыт и практика компании в сфере работы с персональными данными, степень и серьезность нарушения, оперативность предпринятых мер по минимизации ущерба.

По данным на январь 2020 г. сумма штрафов за нарушения требований GDPR достигла 114 млн евро.

Самыми громкими на сегодняшний день являются штрафы, наложенные на такие корпорации, как Facebook, Google, WhatsApp. Так, например, национальная комиссия по делам информационных технологий и правам человека во Франции (CNIL) оштрафовала компанию Google на 50 млн евро за предполагаемые нарушения принципа прозрачности, а также прямого согласия пользователей. Однако такая сумма не является значительной для такой глобальной корпорации, как Google, учитывая, что для целей появления серьезных механизмов защиты персональных данных, штрафы для крупных компаний должны быть намного выше.

Еще большие цифры фигурировали в делах по утечке персональных данных гостиничной сети Mariott International и авиакомпании British Airways — общая сумма штрафов составила примерно в 282 млн фунтов-стерлингов (более 366 млн долларов). Однако окончательные решения о наложении штрафов британский национальный орган по защите данных еще не принял.

Однако стоит сказать, что не всегда суммы штрафов достигают миллионов долларов. Существует ряд смягчающих обстоятельств. Орган, привлекающий компанию к ответственности за нарушение требований GDPR, учитывает предпринятые компанией меры для устранения нарушений. Например, немецкая социальная сеть Knuddles была оштрафована лишь на 20 тысяч евро за утечку более 800 тысяч электронных адресов пользователей и почти 2 млн имен, поскольку компания быстро отреагировала на уведомление о нарушении, улучшив меры безопасности.

Еще одним примером наложения санкций за нарушение правил сбора и обработки персональных данных является дело о приложении LaLiga. Создатели мобильного приложения LaLiga, которое транслирует спортивные матчи, были оштрафованы на 250 тысяч евро за предполагаемое нарушение принципа прозрачности при сборе данных. Приложение позиционировалось как спортивное СМИ, которое предоставляло информацию о футбольных матчах. Однако приложение имело доступ к мобильным телефонам пользователей и использовало микрофон, запись звука, даже когда приложение не было активировано. Приложение фиксировало такие данные, как IP- адрес, записывало звук, используя методику приложения Shazam, сохраняло геолокацию пользователя. Компания использовала эту информацию с целью выяснить, где и как транслируются спортивные мероприятия, чтобы понять, не нарушаются ли исключительные права компании на трансляцию в барах и ресторанах, где пользователи смотрели матчи. Испанское управление по защите данных решило, что пользователи недостаточно осведомлены о том, когда их микрофон активируется и в каких целях, и оштрафовали создателей.

В целом система привлечения к ответственности за нарушение требований GDPR находится в начале своего становления, поэтому не является предсказуемой. Самыми популярными нарушениями остаются нарушение правил сбора, обработки данных, игнорирование базовых принципов работы с персональными данными, а также утечка информации. С момента вступления GDPR в силу прошло больше двух лет, пока что нельзя сделать вывод о том, что большое количество компаний стало субъектом контроля и привлечения к ответственности. Однако с учетом активного развития IT-сферы, масштабов ее распространения, стоит привести свои процессы сбора и обработки данных в соответствие с современными требованиями, чтобы не бояться привлечения к ответственности.