Евгений Денисов, руководитель проектов в MobileUp, разобрался в вопросах обработки персональных данных в соответствии с GDPR и объясняет на примерах, зачем нужен новый регламент и кого он касается.
Сегодня вступил в силу европейский регламент о защите персональных данных GDPR. Юристы уже написали несколько статей на эту тему, но они не дают точного понимания, зачем нужен закон и на кого распространяется. Давайте разберемся без лишней юридической терминологии, что происходит в действительности. Спойлер: владельцы пабов в Саранске могут расслабиться.
Зачем нужен GDPR?
Документ рассказывает бизнесу, как собирать, хранить и любым другим способом обрабатывать персональные данные (ПДн) клиентов (но только физических лиц, юрлица не в счет). Разъясняет, какие права в отношении этих данных есть у обеих сторон и как соблюдение этих прав будет контролироваться.
А раньше персональные данные в ЕС не защищались?
Защищались. В 1995 году Европейским парламентом была принята соответствующая Директива, которая дополнялась национальными законами стран ЕС и судебными прецедентами. В целом, у граждан были практически такие же права на защиту своих ПДн, как и в новом регламенте.
Тогда зачем новый закон?
Проблема старого законодательства была в том, что мало кто его соблюдал в полном объеме. К требованиям Директивы можно было подойти формально, трактовать как удобно. В худшем случае, заплатить относительно небольшой штраф за нарушение.
GDPR составлен таким образом, что уклониться от его соблюдения становится значительно сложнее и гораздо, гораздо дороже. Кроме того, регламент подробно описывает, что является персональными данными и что подразумевается под их обработкой.
ОК, что такое персональные данные?
Регламент даёт очень краткое определение персональных данных и не предлагает исчерпывающего перечня. Скоро вы поймёте почему.
Итак, ПДн – это любые данные, которые относятся к человеку, который уже идентифицирован или может быть идентифицирован.
Звучит не очень понятно, поэтому разберем подробнее. «Идентифицирован» означает, что вы знаете, о ком речь. Например, ФИО и паспортные данные человека однозначно его идентифицируют. Именно поэтому их используют для заключения договоров или, скажем, продажи билетов на самолёт.
В то же время, для полной идентификации может хватить только имени, если появляется дополнительная информация о человеке. Например, у нас в офисе работает два Евгения, но только один из них руководит проектами. Поэтому, в рамках компании набор данных «Евгений, руководитель проектов» меня полностью идентифицирует.
На этом примере мы приходим к понятию «может быть идентифицирован»: моего имени и должности для коллег достаточно, чтобы понять, о ком идет речь. А если добавить к этому еще и название компании, то я уже «идентифицирован» и для всех остальных.
Приметы подозреваемого в полицейских сводках – это тоже данные, которые позволяют идентифицировать человека. Полиция еще не знает, кто он, но любая дополнительная информация может помочь его идентифицировать и найти.
Важно понимать, что понятие «позволяют идентифицировать» сильно зависит от контекста. Например, если я скажу, что симпатичная брюнетка весело проводит время с друзьями, очевидно, читатель не сможет ее идентифицировать — сказать, кто эта брюнетка. Но если добавить деталей, скажем, «на яхте олигарха», человек, следящий за новостями, начнет догадываться, о ком идет речь. А если конкретизировать, что это за олигарх, многие смогут назвать имя и фамилию этой барышни, то есть полностью её идентифицировать. Следовательно, данные, которые для этого потребовались являются персональными, хотя там ни слова про паспорт, имя или фамилию лица, к которому эти данные относятся.
Ещё пример. В мире довольно много премьер-министров. Но только один умудрился заснуть на церемонии открытия Олимпиады. И вы знаете, о ком речь.
Именно поэтому регламент не даёт полного перечня ПДн, а только примеры и области данных. Конкретные примеры помогают в отношении наиболее спорных моментов.
Например, онлайн-идентификатор – это персональные данные. Для коллег-айтишников, которые трекают поведение своих пользователей на сайте и считают, что если в логах нет ФИО, то это не ПДн, у меня плохие новости – вы обрабатываете персональные данные. Вот, например, статья на The Guardian (на англ.) с несколькими реальными случаями идентификации пользователей по «анонимным» данным типа идентификаторов, урлов и таймстемпов.
Хорошо, а что является обработкой ПДн?
Любые действия с данными, которые производятся вручную или автоматизированно. Даже удаление этих данных.
Давайте ближе к делу. У меня российская компания. На неё распространяется действие GDPR?
Распространяется, если ваша компания:
- Имеет подразделение (формально, любую организационную единицу) в ЕС, которое обрабатывает ПДн физических лиц.
- Находится в РФ или любом другом государстве, но предлагает товары и услуги лицам, которые находятся в ЕС, поэтому обрабатывает их ПДн.
- Находится в РФ или любом другом государстве, не предлагает товары и услуги лицам, находящимся в ЕС, но мониторит их поведение на территории ЕС.
Это тонкий момент, поэтому разберем на примерах.
Допустим, вы владелец того самого паба в Саранске, и 25 июня к вам в заведение заглянула компания португальцев с целью отметить победу своей сборной над футболистами из Ирана. Более того, они даже оставили отзывы в книге жалоб и предложений с фамилиями, именами и домашними адресами. Нужно ли париться по поводу GDPR? Нет, не нужно.
Ваш паб предлагает услуги и товары клиентам на территории РФ, но не высылает эти товары по почте европейцам и не оказывает им услуги дистанционно.
Теперь предположим, что у вас в Саранске интернет-магазин, продающий куклы в национальных мордовских костюмах. Ваш сайт переведен на основные европейские языки и пересылает товары по почте. Покупатели из ЕС размещают у вас заказы, оставляя имя и почтовый адрес. Очевидно, что вы ориентируетесь на клиентов в ЕС и подпадаете под действие регламента.
А теперь самое интересное. Вообразим, что вы саратовец в семнадцатом поколении (Саратов основан в 1590 году), гордитесь своим городом и хотите, чтобы весь мир узнал, как он прекрасен. Для этого вы зарегистрировали домен saratov.eu, на нескольких европейских языках расписали историю города, разместили красивые фотографии – GDPR вас не касается, пока вы не предлагаете на этом сайте услуги или товары, например, экскурсии. Но как только вы поставили Яндекс Метрику, чтобы знать, кто и откуда к вам приходит на сайт, всё — у вашего посетителя из ЕС появился идентификатор, и вы начали мониторить его поведение на территории ЕС. Вы автоматически попали под GDPR.
Подытожим. Работаете в ЕС – соблюдайте регламент. Ориентируетесь на клиентов из ЕС – соблюдайте регламент. Мониторите поведение лиц на территории ЕС – соблюдайте регламент.
Если нет намерения оказывать услуги лицам в ЕС, то можете ни о чем не думать, разве что о российском ФЗ-152.
Допустим, я нарушаю требования GDPR. Мне грозит штраф от 20 до 40 млн. евро?
Нет. 20 млн. евро (или 2% от оборота компании, если сумма оборота выше 20 млн.) и 40 млн. евро (или 4% от оборота) – это верхние границы за разные категории нарушений. Фактическую сумму штрафа устанавливает надзорный орган в каждом конкретном случае отдельно и пропорционально тяжести нарушения. Нижней границы в регламенте не предусмотрено и, конечно, никто не отменял ваше право обжаловать решение в суде.
В целом нужно воспринимать большие суммы штрафов в законе как заградительную меру, а не новый способ пополнения местных бюджетов стран Евросоюза. Теперь дешевле правильно организовать работу компании в отношении ПДн, чем заплатить штраф. Кроме того, можно предположить, что за незначительные нарушения надзорные органы не будут штрафовать сразу, а предупредят вас и предложат в установленный срок устранить несоответствия регламенту.
А если я просто дал другу имейл хорошего специалиста по GDPR, опять штраф?
Нет. Регламент не зря дорабатывали 4 года. Он составлен таким образом, чтобы защищать права граждан, но не блокировать нормальную деятельность. Например, телефонные записные книжки оказались бы вне закона – это явный перегиб. Если вы используете персональные данные в личных целях и не злоупотребляете ими, то беспокоиться не о чем. Человек обычно не против, если вы порекомендуете его как специалиста, и с этой целью дадите его рабочий имейл знакомым. В качестве проверки задавайте вопрос: «Большинство людей обычно так поступают?». Если ответ утвердительный, значит все ОК. Если нет, это повод задуматься.
Надеюсь, теперь стало более понятно, о чем вообще GDPR. За рамками статьи остались вопросы прав пользователей на свои данные и обязанностей компаний по их обработке. Если статья вызовет интерес, осветим эти моменты во второй части.
Уважайте своих пользователей =)
А если у меня, предположим, новостной сайт в зоне .com (хостинг в России). В день его посещает 2000 – 3000 человек из Европы и 20 000 – 30 000 из России. Весь контент только на русском языке. Попадаю ли я под GDPR ?
Не подпадаете. Нет таргетинга на ЕС