Есть ли жизнь после GDPR для паба в Саранске и всех остальных

Евгений Денисов, руководитель проектов в MobileUp, разобрался в вопросах обработки персональных данных в соответствии с GDPR и объясняет на примерах, зачем нужен новый регламент и кого он касается.

Есть ли жизнь после GDPR для паба в Саранске и всех остальных

Сегодня вступил в силу европейский регламент о защите персональных данных GDPR. Юристы уже написали несколько статей на эту тему, но они не дают точного понимания, зачем нужен закон и на кого распространяется. Давайте разберемся без лишней юридической терминологии, что происходит в действительности. Спойлер: владельцы пабов в Саранске могут расслабиться.

Зачем нужен GDPR?

Документ рассказывает бизнесу, как собирать, хранить и любым другим способом обрабатывать персональные данные (ПДн) клиентов (но только физических лиц, юрлица не в счет). Разъясняет, какие права в отношении этих данных есть у обеих сторон и как соблюдение этих прав будет контролироваться.

А раньше персональные данные в ЕС не защищались?

Защищались. В 1995 году Европейским парламентом была принята соответствующая Директива, которая дополнялась национальными законами стран ЕС и судебными прецедентами. В целом, у граждан были практически такие же права на защиту своих ПДн, как и в новом регламенте.

Тогда зачем новый закон?

Проблема старого законодательства была в том, что мало кто его соблюдал в полном объеме. К требованиям Директивы можно было подойти формально, трактовать как удобно. В худшем случае, заплатить относительно небольшой штраф за нарушение.

GDPR составлен таким образом, что уклониться от его соблюдения становится значительно сложнее и гораздо, гораздо дороже. Кроме того, регламент подробно описывает, что является персональными данными и что подразумевается под их обработкой.

ОК, что такое персональные данные?

Регламент даёт очень краткое определение персональных данных и не предлагает исчерпывающего перечня. Скоро вы поймёте почему.

Итак, ПДн – это любые данные, которые относятся к человеку, который уже идентифицирован или может быть идентифицирован.

Звучит не очень понятно, поэтому разберем подробнее. «Идентифицирован» означает, что вы знаете, о ком речь. Например, ФИО и паспортные данные человека однозначно его идентифицируют. Именно поэтому их используют для заключения договоров или, скажем, продажи билетов на самолёт.

В то же время, для полной идентификации может хватить только имени, если появляется дополнительная информация о человеке. Например, у нас в офисе работает два Евгения, но только один из них руководит проектами. Поэтому, в рамках компании набор данных «Евгений, руководитель проектов» меня полностью идентифицирует.

На этом примере мы приходим к понятию «может быть идентифицирован»: моего имени и должности для коллег достаточно, чтобы понять, о ком идет речь. А если добавить к этому еще и название компании, то я уже «идентифицирован» и для всех остальных.

Приметы подозреваемого в полицейских сводках – это тоже данные, которые позволяют идентифицировать человека. Полиция еще не знает, кто он, но любая дополнительная информация может помочь его идентифицировать и найти.

Важно понимать, что понятие «позволяют идентифицировать» сильно зависит от контекста. Например, если я скажу, что симпатичная брюнетка весело проводит время с друзьями, очевидно, читатель не сможет ее идентифицировать — сказать, кто эта брюнетка. Но если добавить деталей, скажем, «на яхте олигарха», человек, следящий за новостями, начнет догадываться, о ком идет речь. А если конкретизировать, что это за олигарх, многие смогут назвать имя и фамилию этой барышни, то есть полностью её идентифицировать. Следовательно, данные, которые для этого потребовались являются персональными, хотя там ни слова про паспорт, имя или фамилию лица, к которому эти данные относятся.

Ещё пример. В мире довольно много премьер-министров. Но только один умудрился заснуть на церемонии открытия Олимпиады. И вы знаете, о ком речь.

Именно поэтому регламент не даёт полного перечня ПДн, а только примеры и области данных. Конкретные примеры помогают в отношении наиболее спорных моментов.

Например, онлайн-идентификатор – это персональные данные. Для коллег-айтишников, которые трекают поведение своих пользователей на сайте и считают, что если в логах нет ФИО, то это не ПДн, у меня плохие новости – вы обрабатываете персональные данные. Вот, например, статья на The Guardian (на англ.) с несколькими реальными случаями идентификации пользователей по «анонимным» данным типа идентификаторов, урлов и таймстемпов.

Хорошо, а что является обработкой ПДн?

Любые действия с данными, которые производятся вручную или автоматизированно. Даже удаление этих данных.

Давайте ближе к делу. У меня российская компания. На неё распространяется действие GDPR?

Распространяется, если ваша компания:

  • Имеет подразделение (формально, любую организационную единицу) в ЕС, которое обрабатывает ПДн физических лиц.
  • Находится в РФ или любом другом государстве, но предлагает товары и услуги лицам, которые находятся в ЕС, поэтому обрабатывает их ПДн.
  • Находится в РФ или любом другом государстве, не предлагает товары и услуги лицам, находящимся в ЕС, но мониторит их поведение на территории ЕС.

Это тонкий момент, поэтому разберем на примерах.

Допустим, вы владелец того самого паба в Саранске, и 25 июня к вам в заведение заглянула компания португальцев с целью отметить победу своей сборной над футболистами из Ирана. Более того, они даже оставили отзывы в книге жалоб и предложений с фамилиями, именами и домашними адресами. Нужно ли париться по поводу GDPR? Нет, не нужно.

Ваш паб предлагает услуги и товары клиентам на территории РФ, но не высылает эти товары по почте европейцам и не оказывает им услуги дистанционно.

Теперь предположим, что у вас в Саранске интернет-магазин, продающий куклы в национальных мордовских костюмах. Ваш сайт переведен на основные европейские языки и пересылает товары по почте. Покупатели из ЕС размещают у вас заказы, оставляя имя и почтовый адрес. Очевидно, что вы ориентируетесь на клиентов в ЕС и подпадаете под действие регламента.

А теперь самое интересное. Вообразим, что вы саратовец в семнадцатом поколении (Саратов основан в 1590 году), гордитесь своим городом и хотите, чтобы весь мир узнал, как он прекрасен. Для этого вы зарегистрировали домен saratov.eu, на нескольких европейских языках расписали историю города, разместили красивые фотографии – GDPR вас не касается, пока вы не предлагаете на этом сайте услуги или товары, например, экскурсии. Но как только вы поставили Яндекс Метрику, чтобы знать, кто и откуда к вам приходит на сайт, всё — у вашего посетителя из ЕС появился идентификатор, и вы начали мониторить его поведение на территории ЕС. Вы автоматически попали под GDPR.

Подытожим. Работаете в ЕС – соблюдайте регламент. Ориентируетесь на клиентов из ЕС – соблюдайте регламент. Мониторите поведение лиц на территории ЕС – соблюдайте регламент.

Если нет намерения оказывать услуги лицам в ЕС, то можете ни о чем не думать, разве что о российском ФЗ-152.

Допустим, я нарушаю требования GDPR. Мне грозит штраф от 20 до 40 млн. евро?

Нет. 20 млн. евро (или 2% от оборота компании, если сумма оборота выше 20 млн.) и 40 млн. евро (или 4% от оборота) – это верхние границы за разные категории нарушений. Фактическую сумму штрафа устанавливает надзорный орган в каждом конкретном случае отдельно и пропорционально тяжести нарушения. Нижней границы в регламенте не предусмотрено и, конечно, никто не отменял ваше право обжаловать решение в суде.

В целом нужно воспринимать большие суммы штрафов в законе как заградительную меру, а не новый способ пополнения местных бюджетов стран Евросоюза. Теперь дешевле правильно организовать работу компании в отношении ПДн, чем заплатить штраф. Кроме того, можно предположить, что за незначительные нарушения надзорные органы не будут штрафовать сразу, а предупредят вас и предложат в установленный срок устранить несоответствия регламенту.

Нет. Регламент не зря дорабатывали 4 года. Он составлен таким образом, чтобы защищать права граждан, но не блокировать нормальную деятельность. Например, телефонные записные книжки оказались бы вне закона – это явный перегиб. Если вы используете персональные данные в личных целях и не злоупотребляете ими, то беспокоиться не о чем. Человек обычно не против, если вы порекомендуете его как специалиста, и с этой целью дадите его рабочий имейл знакомым. В качестве проверки задавайте вопрос: «Большинство людей обычно так поступают?». Если ответ утвердительный, значит все ОК. Если нет, это повод задуматься.

Надеюсь, теперь стало более понятно, о чем вообще GDPR. За рамками статьи остались вопросы прав пользователей на свои данные и обязанностей компаний по их обработке. Если статья вызовет интерес, осветим эти моменты во второй части.

Уважайте своих пользователей =)

5959
56 комментариев

Ок. А если у меня сайт паба в Саратове. Ну сайт с меню и доставкой пива ПО ГОРОДУ и только на саратовском языке. И на нем установлена метрика.
Теоретически гражданин ЕС может посетить этот сайт. Ну там кто-нибудь запостил ссылку в фб.
Но услуги вроде как локальные.

Попадаю?

5
Ответить

Нет, не попадаете. Отслеживание должно происходить с привязкой к ЕС. Только тогда будете попадать.
Для этого нужно, чтобы сайт, например, хостился в ЕС или использовал доменную зону ЕС или одной из стран ЕС (недаром в качестве примера указан сайт в зоне .eu). И т.п.

6
Ответить

Иван, не подпадаете. Ниже всё правильно ответили.

И, кстати, спасибо за "саратовский язык". Заметил, что в этом примере я все-таки перепутал Саранск с Саратовым. Но ради саратовского языка ничего менять не будем, он прекрасен =)

5
Ответить

Не уверен, но если европейский турист приедет в Саратов и купит на сайте пивчанский то попадаете под ждпр

1
Ответить

Нет. Тк сайт не был рассчитан на граждан Евросоюза, и не таргетирован на них. Надзорные органы это учтут. И всё будет ок. Иначе бы все сайты начали блочить ip жителей Европы и это было бы уже ущемление их прав, а не защита данных. Так что все будет ок.

3
Ответить

Ясно, понятно...

5
Ответить

Спасибо, поправлю. GDPR такой GDPR :)

Ответить