Есть ли жизнь после GDPR для паба в Саранске и всех остальных

Евгений Денисов, руководитель проектов в MobileUp, разобрался в вопросах обработки персональных данных в соответствии с GDPR и объясняет на примерах, зачем нужен новый регламент и кого он касается.

Сегодня вступил в силу европейский регламент о защите персональных данных GDPR. Юристы уже написали несколько статей на эту тему, но они не дают точного понимания, зачем нужен закон и на кого распространяется. Давайте разберемся без лишней юридической терминологии, что происходит в действительности. Спойлер: владельцы пабов в Саранске могут расслабиться.

Зачем нужен GDPR?

Документ рассказывает бизнесу, как собирать, хранить и любым другим способом обрабатывать персональные данные (ПДн) клиентов (но только физических лиц, юрлица не в счет). Разъясняет, какие права в отношении этих данных есть у обеих сторон и как соблюдение этих прав будет контролироваться.

А раньше персональные данные в ЕС не защищались?

Защищались. В 1995 году Европейским парламентом была принята соответствующая Директива, которая дополнялась национальными законами стран ЕС и судебными прецедентами. В целом, у граждан были практически такие же права на защиту своих ПДн, как и в новом регламенте.

Тогда зачем новый закон?

Проблема старого законодательства была в том, что мало кто его соблюдал в полном объеме. К требованиям Директивы можно было подойти формально, трактовать как удобно. В худшем случае, заплатить относительно небольшой штраф за нарушение.

GDPR составлен таким образом, что уклониться от его соблюдения становится значительно сложнее и гораздо, гораздо дороже. Кроме того, регламент подробно описывает, что является персональными данными и что подразумевается под их обработкой.

ОК, что такое персональные данные?

Регламент даёт очень краткое определение персональных данных и не предлагает исчерпывающего перечня. Скоро вы поймёте почему.

Итак, ПДн – это любые данные, которые относятся к человеку, который уже идентифицирован или может быть идентифицирован.

Звучит не очень понятно, поэтому разберем подробнее. «Идентифицирован» означает, что вы знаете, о ком речь. Например, ФИО и паспортные данные человека однозначно его идентифицируют. Именно поэтому их используют для заключения договоров или, скажем, продажи билетов на самолёт.

В то же время, для полной идентификации может хватить только имени, если появляется дополнительная информация о человеке. Например, у нас в офисе работает два Евгения, но только один из них руководит проектами. Поэтому, в рамках компании набор данных «Евгений, руководитель проектов» меня полностью идентифицирует.

На этом примере мы приходим к понятию «может быть идентифицирован»: моего имени и должности для коллег достаточно, чтобы понять, о ком идет речь. А если добавить к этому еще и название компании, то я уже «идентифицирован» и для всех остальных.

Приметы подозреваемого в полицейских сводках – это тоже данные, которые позволяют идентифицировать человека. Полиция еще не знает, кто он, но любая дополнительная информация может помочь его идентифицировать и найти.

Важно понимать, что понятие «позволяют идентифицировать» сильно зависит от контекста. Например, если я скажу, что симпатичная брюнетка весело проводит время с друзьями, очевидно, читатель не сможет ее идентифицировать — сказать, кто эта брюнетка. Но если добавить деталей, скажем, «на яхте олигарха», человек, следящий за новостями, начнет догадываться, о ком идет речь. А если конкретизировать, что это за олигарх, многие смогут назвать имя и фамилию этой барышни, то есть полностью её идентифицировать. Следовательно, данные, которые для этого потребовались являются персональными, хотя там ни слова про паспорт, имя или фамилию лица, к которому эти данные относятся.

Ещё пример. В мире довольно много премьер-министров. Но только один умудрился заснуть на церемонии открытия Олимпиады. И вы знаете, о ком речь.

Именно поэтому регламент не даёт полного перечня ПДн, а только примеры и области данных. Конкретные примеры помогают в отношении наиболее спорных моментов.

Например, онлайн-идентификатор – это персональные данные. Для коллег-айтишников, которые трекают поведение своих пользователей на сайте и считают, что если в логах нет ФИО, то это не ПДн, у меня плохие новости – вы обрабатываете персональные данные. Вот, например, статья на The Guardian (на англ.) с несколькими реальными случаями идентификации пользователей по «анонимным» данным типа идентификаторов, урлов и таймстемпов.

Хорошо, а что является обработкой ПДн?

Любые действия с данными, которые производятся вручную или автоматизированно. Даже удаление этих данных.

Давайте ближе к делу. У меня российская компания. На неё распространяется действие GDPR?

Распространяется, если ваша компания:

  • Имеет подразделение (формально, любую организационную единицу) в ЕС, которое обрабатывает ПДн физических лиц.
  • Находится в РФ или любом другом государстве, но предлагает товары и услуги лицам, которые находятся в ЕС, поэтому обрабатывает их ПДн.
  • Находится в РФ или любом другом государстве, не предлагает товары и услуги лицам, находящимся в ЕС, но мониторит их поведение на территории ЕС.

Это тонкий момент, поэтому разберем на примерах.

Допустим, вы владелец того самого паба в Саранске, и 25 июня к вам в заведение заглянула компания португальцев с целью отметить победу своей сборной над футболистами из Ирана. Более того, они даже оставили отзывы в книге жалоб и предложений с фамилиями, именами и домашними адресами. Нужно ли париться по поводу GDPR? Нет, не нужно.

Ваш паб предлагает услуги и товары клиентам на территории РФ, но не высылает эти товары по почте европейцам и не оказывает им услуги дистанционно.

Теперь предположим, что у вас в Саранске интернет-магазин, продающий куклы в национальных мордовских костюмах. Ваш сайт переведен на основные европейские языки и пересылает товары по почте. Покупатели из ЕС размещают у вас заказы, оставляя имя и почтовый адрес. Очевидно, что вы ориентируетесь на клиентов в ЕС и подпадаете под действие регламента.

А теперь самое интересное. Вообразим, что вы саратовец в семнадцатом поколении (Саратов основан в 1590 году), гордитесь своим городом и хотите, чтобы весь мир узнал, как он прекрасен. Для этого вы зарегистрировали домен saratov.eu, на нескольких европейских языках расписали историю города, разместили красивые фотографии – GDPR вас не касается, пока вы не предлагаете на этом сайте услуги или товары, например, экскурсии. Но как только вы поставили Яндекс Метрику, чтобы знать, кто и откуда к вам приходит на сайт, всё — у вашего посетителя из ЕС появился идентификатор, и вы начали мониторить его поведение на территории ЕС. Вы автоматически попали под GDPR.

Подытожим. Работаете в ЕС – соблюдайте регламент. Ориентируетесь на клиентов из ЕС – соблюдайте регламент. Мониторите поведение лиц на территории ЕС – соблюдайте регламент.

Если нет намерения оказывать услуги лицам в ЕС, то можете ни о чем не думать, разве что о российском ФЗ-152.

Допустим, я нарушаю требования GDPR. Мне грозит штраф от 20 до 40 млн. евро?

Нет. 20 млн. евро (или 2% от оборота компании, если сумма оборота выше 20 млн.) и 40 млн. евро (или 4% от оборота) – это верхние границы за разные категории нарушений. Фактическую сумму штрафа устанавливает надзорный орган в каждом конкретном случае отдельно и пропорционально тяжести нарушения. Нижней границы в регламенте не предусмотрено и, конечно, никто не отменял ваше право обжаловать решение в суде.

В целом нужно воспринимать большие суммы штрафов в законе как заградительную меру, а не новый способ пополнения местных бюджетов стран Евросоюза. Теперь дешевле правильно организовать работу компании в отношении ПДн, чем заплатить штраф. Кроме того, можно предположить, что за незначительные нарушения надзорные органы не будут штрафовать сразу, а предупредят вас и предложат в установленный срок устранить несоответствия регламенту.

Нет. Регламент не зря дорабатывали 4 года. Он составлен таким образом, чтобы защищать права граждан, но не блокировать нормальную деятельность. Например, телефонные записные книжки оказались бы вне закона – это явный перегиб. Если вы используете персональные данные в личных целях и не злоупотребляете ими, то беспокоиться не о чем. Человек обычно не против, если вы порекомендуете его как специалиста, и с этой целью дадите его рабочий имейл знакомым. В качестве проверки задавайте вопрос: «Большинство людей обычно так поступают?». Если ответ утвердительный, значит все ОК. Если нет, это повод задуматься.

Надеюсь, теперь стало более понятно, о чем вообще GDPR. За рамками статьи остались вопросы прав пользователей на свои данные и обязанностей компаний по их обработке. Если статья вызовет интерес, осветим эти моменты во второй части.

Уважайте своих пользователей =)

0
56 комментариев
Написать комментарий...
Иван Максимов

Ок. А если у меня сайт паба в Саратове. Ну сайт с меню и доставкой пива ПО ГОРОДУ и только на саратовском языке. И на нем установлена метрика.
Теоретически гражданин ЕС может посетить этот сайт. Ну там кто-нибудь запостил ссылку в фб.
Но услуги вроде как локальные.

Попадаю?

Ответить
Развернуть ветку
chachalava

Нет, не попадаете. Отслеживание должно происходить с привязкой к ЕС. Только тогда будете попадать.
Для этого нужно, чтобы сайт, например, хостился в ЕС или использовал доменную зону ЕС или одной из стран ЕС (недаром в качестве примера указан сайт в зоне .eu). И т.п.

Ответить
Развернуть ветку
3 комментария
Евгений Денисов
Автор

Иван, не подпадаете. Ниже всё правильно ответили.

И, кстати, спасибо за "саратовский язык". Заметил, что в этом примере я все-таки перепутал Саранск с Саратовым. Но ради саратовского языка ничего менять не будем, он прекрасен =)

Ответить
Развернуть ветку
Дмитрий Кедов

Не уверен, но если европейский турист приедет в Саратов и купит на сайте пивчанский то попадаете под ждпр

Ответить
Развернуть ветку
4 комментария
Vasili Chyrvon

Нет. Тк сайт не был рассчитан на граждан Евросоюза, и не таргетирован на них. Надзорные органы это учтут. И всё будет ок. Иначе бы все сайты начали блочить ip жителей Европы и это было бы уже ущемление их прав, а не защита данных. Так что все будет ок.

Ответить
Развернуть ветку
Иван Фурть

Ясно, понятно...

Ответить
Развернуть ветку
Евгений Денисов
Автор

Спасибо, поправлю. GDPR такой GDPR :)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Евгений Денисов
Автор

У GDPR даже с 152-ФЗ есть проблемы. Посмотрите отчет PwC, если интересно https://www.pwc.ru/ru/events/assets/gdpr-review.pdf (стр. 10-12 и 15).

Ответить
Развернуть ветку
Евгений Валеев

Так и есть

Ответить
Развернуть ветку
Олег Нечаев

Во второй части включите, пожалуйста, правовые основы и механизм наказания владельца паба в Саранске. На каком основании за Яндекс.Метрику может и, главное, как обрушиться наказание от ЕС? Думаю, что никак. Есть международные договоры по данным вопросам? Насколько понимаю, в противном случае российское законодательство имеет приоритет, либо вообще крутит ЕС на скрепе. Я не говорю уж о куськиной матери Европе. Думаете, заголовок в новостях "Нашу "Победу" ЕС оштрафовал на 20 млн евро" возможен? Иностранный язык присутствует, билеты продаёт не только россиянам, а кнопочек "скачать персональные данные и удалить персональные данные" я не нашёл, да и вместо страницы условий (Регистрируясь у нас, вы принимаете наши условия) я попадаю на чистую страницу.

Ответить
Развернуть ветку
Евгений Денисов
Автор

Олег, правовые основы лучше разъяснят юристы. Как мне видится, логика простая. Хочешь вести бизнес в ЕС (а продажа товаров европейцам это бизнес в ЕС) – подчиняйся европейским законам. Нарушаешь и не платишь штраф – всегда найдутся санкции. Например, у мелких компаний есть владельцы, которым может понадобится шенгенская виза и они ее не получат. У крупных компаний может быть недвижимость в ЕС и на неё судебным решением наложат арест. Европейским партнерам могут запретить работать с этой компанией. Рычагов много можно придумать.

Это примерно как "зачем платить штраф за превышение скорости в Финляндии, если я уже вернулся домой". Заплатите или нет?

Ответить
Развернуть ветку
2 комментария
Евгений Валеев

Один из пунктов GDPR - это обязанность (если компания не в ЕС) иметь законного представителя в одной из стран ЕС. С него и возьмут штраф.

Ответить
Развернуть ветку
teke teke

всегда хостил сайты в нидерландах. из-за privacy и свободы.

теперь думаю - нахрен мне теперь такая свобода нужна с такими законами

лучше хостить в др. местах

Ответить
Развернуть ветку
Евгений Денисов
Автор

Никита, это отличный вопрос!
Давайте подумаем чем, открытые ПДн отличаются от закрытых. Кажется, только тем, что их проще получить.
GDPR говорит что вы должны иметь законное основание для обработки данных. Какое у вас основание? Похоже, что основания у вас нет. Есть только цель рассылки КП с предложением товаров или услуг. На это нужно согласие лица.
Если он в ФБ написал "валяйте, шлите мне коммерческие предложения, то, возможно, это ОК", но не отменяет соблюдения регламента (в т.ч от информирования этого лица о том как вы его ПДн обрабатываете). А согласие он вправе отозвать в любой момент.

Ответить
Развернуть ветку
Alexander Bragin

9 статья, раздел e) говорит о том, что если человек что-то опубликовал публично - эти данные можно использовать. В том числе цвет кожи, национальность, религию и т.д.

Ответить
Развернуть ветку
Коля Лучик

Не заметил чтобы кто-то спрашивал касательно самого популярного метода
http://prntscr.com/joex3m
Типа, вы у нас на сайте, мы собираем ваши куки, если не согласны, валите отсюда.
Скриншот сделан на coinmarketcap.com, т.е. он полюбому подпадает под действие GDPR. Этот метод рабочий? Или все же надо кнопку "accept/decline"?

Ответить
Развернуть ветку
Евгений Денисов
Автор

Коля, видимо, для кук это общепринятый метод. А для регистрации согласие по-умолчанию уже не прокатит, нужно активное действие.
Все, кто собрал ранее данные с установленной по-дефолту галочкой "согласен" -- с 25 мая должны будут перезапросить согласие.

Ответить
Развернуть ветку
Олег Фортеска

Ребята, помогите советом. Нахожусь в Кракове, есть сайт с ЕС хостингом. Сайт по сути визитка для презентаций.

Есть форма, которую прошу заполнить чтобы начать работу (емеил и детали презентации). Данные идут на гугл щитс, кукис отключены, метрики нет.
Нужно ли волноваться и что-то менять?

Спасибо заранее

Ответить
Развернуть ветку
Евгений Валеев

Надо составить грамотную privacy policy и сделать возможность юзеру попросить выдать ему или удалить сохранённые данные (не обязательно автоматизированную. Если пользователей немного, можно и руками такие запросы обрабатывать).

Ответить
Развернуть ветку
2 комментария
Евгений Денисов
Автор

Олег, вы в Польше собираете имейлы. Пока Польша в составе ЕС, GDPR написан для вас.

Ответить
Развернуть ветку
Artem Zyryanov

Оффтоп: от лица прогрессивной саранской общественности -- спасибо за мемас

Ответить
Развернуть ветку
Антон Склянов

Яндекс признал главенство европейского закона над своими же договорами, регулируемыми ГК РФ, с гражданами России:

6.2.1. В случае, если ресурсы Партнера попадают под действие Общего Регламента ЕС по Защите Данных 2016/679 от 27 апреля 2016 г. (GDPR), то к участию Партнера в Рекламной сети Яндекса в обязательном порядке применяются положения документа Data Processing Agreement, доступного по ссылке https://yandex.com/legal/yan_dpa_ch. Партнер соглашается и признает, что условия Data Processing Agreement имеют приоритет над любыми условиями договора РСЯ между Партнером и Яндексом, а также приоритет над настоящим документом.

Ответить
Развернуть ветку
Михаил Бойко

Вот по аналитике не ясно, добавляю я Метрику, начинаю собирать данные. Насколько они персонализированы - отдельный вопрос. Где-то читал, что по этому самому GDPR необходимо получать явное согласие, ну или как-то так, от пользователей на сбор и обработку их персональных данных. Ладно-то при заполнении формы можно галку со ссылью на политику. А в случае с системами аналитики как? Предупреждение о том, что сайт юзает куки, вряд ли является очевидным признаком использования ПДн для рядового юзера.

Ответить
Развернуть ветку
Евгений Денисов
Автор

Михаил,
лучше всех ответит на ваш вопрос сама Метрика =)
Вот здесь Яндекс все четко расписал и даже пример кода предоставил. https://yandex.ru/support/metrika/general/gdpr.html

Ответить
Развернуть ветку
1 комментарий

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Сергей Иванов

А если у меня, предположим, новостной сайт в зоне .com (хостинг в России). В день его посещает 2000 – 3000 человек из Европы и 20 000 – 30 000 из России. Весь контент только на русском языке. Попадаю ли я под GDPR ?

Ответить
Развернуть ветку
Олег Нечаев

Граждане ЕС и резиденты есть, хоть один в пользователях вашего сайта?

Ответить
Развернуть ветку
2 комментария
Евгений Валеев

Не подпадаете. Нет таргетинга на ЕС

Ответить
Развернуть ветку
Евгений Денисов
Автор

Сергей, пока у вас нет намерения работать с европейскими пользователями, GDPR вас не касается. Вы спокойно работаете по законодательству РФ.

А вот если вы сформулируете что это новости про Россию для бывших сограждан, ныне проживающих в ЕС, то это начинает выглядеть как оказание вами информационных услуг лицам находящимся в ЕС. И тогда вы подпадаете под регламент (если юристы докажут что это именно услуги, а вы действительно собираете ПДн ваших пользователей).

Ответить
Развернуть ветку
2 комментария
Семен Смирнов

Люди делятся на 3 группы

Те, кто уже подготовился к GDPR
Те, кому он не нужен
И те, кто задаёт глупые вопросы по нему

Ответить
Развернуть ветку
Максим Федоров

Работка нашим ребятам программистам-аутсорсерам прилетела :)

Ответить
Развернуть ветку
Margarita Casati

Большое спасибо за статью. Очень понятно и хорошо написана.
У меня европейский микробизнес, не напрямую, но все-таки связанный со сбором персональных данных.
Не думаю, что моя деятельность ввиду своих размеров будет интересна регуляторам, но в несезон займёмся наконец-то проработкой вопроса обработки персональных данных и разрешений.

Ответить
Развернуть ветку
Евгений Валеев

Не будет интересна, пока не пожалуется какой-нибудь пользователь.

Ответить
Развернуть ветку
Andrew Stoleshnikov

Так а как сделать все по правилам, если я, к примеру, продаю цифровые услуги европейцам, хотя сам нахожусь в России?

Ответить
Развернуть ветку
teke teke

1) что за европейские языки? английский - это европейский? латинский? испанский?

2) что считается - переведённым на этот язык? если у меня на сайте иногда а) попадаются слова на одном из этих языков? б) или даже статьи и абзацы?

3) если, вчера было что-то на этом языке, а сегодня? вчера я собирался email'ы, а на момент жалобы пользовател - уже нет? я вообще, я изменил сайт по неузнаваемости после жалобы так, что он вообще не попадает под действие этого закона.

4) короче говоря, если самим пользователям из EU - пофиг и никто не жалуется - можно не парится? то есть, сами контролирующие органы по своей инициативе туда не прийдут разбираться, если пользователей всё пока устраивает?

Ответить
Развернуть ветку
Евгений Денисов
Автор

1, 2) Европейские - это те, на которых преимущественно говорят жители ЕС. Вы свой сайт перевели на один из них. Зачем? Чтобы им было проще воспользоваться вашими услугами, верно? Значит, таргетировали на ЕС. Еще и оплату в евро принимаете на сайте и домен eu выбрали. Примерно так будут рассуждать надзорники.

3). Главная фишка GDPR заключается в том что не надзорники должны что-то доказывать, вы должны доказать что действовали в соответствии. Поэтому можно хитрить как угодно пока вы в состоянии доказать что не нарушаете.

4) Учитывая общее кол-во сайтов врядли к вам придут без жалобы со стороны пользователя.

Ответить
Развернуть ветку
2 комментария
Максим Ростокин

Кто и как будет меня штрафовать, если я люто нарушаю GDPR, но активы (финансы) моей компании полностью хранятся на территории РФ?

Ответить
Развернуть ветку
Кирилл Сидоров

Безусловно оштрафовать ваши активы в РФ никто не сможет, но заблокировать ваш ресурс контрольный орган сможет без всяких проблем.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Nikita Bragin

1. Можем ли мы собирать открытые данные Европейцев в свой базу. Такие как имя, фамилия, социальный профиль, место работы, email?
2. Можем ли мы использовать эти данные для показа им рекламы, отправки им наших коммерческих предложений?
3. Если на первые два пункта ответ отрицательный, то правильно ли я понимаю, что при работе с Европейцами можно рассчитывать только на входящий поток клиентов? И работа "в холодную" вне закона?

Ответить
Развернуть ветку
Кирилл Сидоров

1) Даже если данные открытые (что весьма странно, потому что вы указали данные, которые в любом контексте идентифицируют человека) вы должны получить согласие на их обработку. Так же важен момент того, что пользователь дал вам активное согласие на обработку. То есть если вы написали ему письмо в стиле "Если вы не отказываетесь в течение месяца, мы обрабатываем ваши данные...", то это нарушение.
2) Можете использовать для всего, что разрешит пользователь. Отсюда вывод - расскажите пользователю для чего вы собираете их данные и сколько будете хранить. Один сбор данных - одна цель. Цель реализована - данные удалены.
3) Вопрос сложный. Зависит напрямую от того как вы получили холодных клиентов? Купили базу - штраф. Насобирали свою, не предупреждая о сборе - штраф. Провели акцию и предложили всем участвующим оставить свои данные (заметьте не обязали, а предложили, то есть в акции можно было поучаствовать и не оставляя данных) - все круто, они ваши пока пользователь не уведомил вас об обратном.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
53 комментария
Раскрывать всегда