Главная » Хабрахабр » “Cтрашилка” о GDPR

“Cтрашилка” о GDPR

В мае 2018 года в Европе вступают в силу обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation).

Все компании, которые обрабатывают (как внутри, так и за пределами ЕС) персональные данные граждан европейских стран, обязаны соблюдать требования этого документа. Сфера действия новых правил GDPR распространяется на все 28 стран ЕС. Этот документ заменит существующие законы о защите персональных данных в европейских странах. С учетом того, что новые правила GDPR будут применяться экстерриториально, их соблюдение будет обязательным для российских компаний, имеющих присутствие в ЕС. То есть для любого российского бизнеса, собирающему и обрабатывающему персональные данные хотя бы одного гражданина страны-члена ЕС.

По мнению Александра Бодрика, сертифицированного специалиста по управлению информационной безопасностью корпоративных и облачных ландшафтов, GDPR содержит существенное число требований, например, только обеспечение переносимости всех персональных данных (data portability) может вылиться в миллиардные затраты в масштабах страны. Российский бизнес казалось бы имеет альтернативу — просто не предлагать гражданам ЕС свои услуги в России, но как минимум два класса российских компаний точно подпадут под GPDR:

  • энергетические и финансовые гиганты, имеющие отделения в Европе;
  • интернет-компании, т. к. GPDR распространяется и на мониторинг активности граждан ЕС, а значит банальное использование cookies рекламными сетями уже подводит интернет-индустрию России под GDPR.

Для понимания значимости GDPR-риска, Александр проводит грубую оценку возможных потерь для десяти крупнейших компаний российской экономики, которые вероятно подпадут под GDPR: «Яндекс» (интернет-компания), «Альфа-банк» (инвестбанковские активы в Европе), «Газпром» (АЗС в Восточной Европе), «Сбербанк» (банковский холдинг Sberbank Europe), ВТБ (банки в Восточной Европе), «Лукойл» (активы в Восточной Европе), «Роснефть» (активы в Европе), РЖД (представительство в Европе и онлайн-продажа билетов), «Аэрофлот» (представительство в Европе и онлайн-продажа билетов), «ИнтерРАО» (активы в Европе). По данным рейтинга РБК 500 их совокупная выручка достигла 20,145 трлн. руб., соответственно, их суммарный GDPR-риск составляет 806 млрд. руб.

«Нормы GDPR конкретно коснутся тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины», – отмечает Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт» и заместитель председателя подкомитета по платежам и информационной безопасности ТПП РФ.

«К примеру, система «Платон», в которой зарегистрировано около 2 млн личных кабинетов, сразу подпадает под действие GDPR. В сфере внимания окажутся и те, кто намерен предоставлять свои товары и услуги в странах Европейской экономической зоны: использует для их описания европейские языки, ведет заметный (агрессивный) маркетинг в ЕЭЗ, осуществляет мониторинг поведения европейцев, анализируя его с целью подготовки прогнозов, выявления предпочтений и т. п.»

Текст GDPR и официальные разъяснения

  • Официальный текст на 24 европейских языках, есть на английском, но русского нет (ссылка)
  • Краткое описание (Summary) (ссылка)
  • Questions and Answers (ссылка)
  • Инфографика / краткое описание от European Commission (ссылка)
  • Контролирующие органы ЕС по защите данных (ссылка)
  • European Data Protection Supervisor (ссылка)
  • Перечень стран, обеспечивающих адекватный уровень защиты данных (ссылка)

Для подробного изучения этого вопроса мы рекомендуем ознакомиться с документом "Анализ возможных последствий и влияния Регламента General Data Protection Regulation (GDPR) Европейского Союза на бизнес российских операторов персональных данных (телекоммуникационные компании, интернет-компании) предоставляющих услуги через интернет для лиц в странах ЕС в контексте действующего и вступающего с силу регулирования в Российской Федерации" от Института Исследований Интернета. Важной особенностью является возможность изучить документ в первоисточнике, но с переводом на русский язык, который был выполнен Д.Ю.Н., Профессором Дипломатической Академии МИД РФ, Заведующей кафедрой международного частного права Касеновой М. Б. (см. приложение).

Есть так же заявление от Роскомнадзора, процитирую:

«Консультативный совет при Уполномоченном органе по защите прав субъектов персональных данных в 2018 году планирует представить предложения по правовому статусу «обезличенных» данных, а также по возможной корректировке законодательства о персональных данных в контексте реализации программы «Цифровая экономика».

Соответствующие решения приняты Советом на последнем заседании в 2017 году, состоявшемся в Роскомнадзоре.

В ходе заседания члены Консультативного совета обсудили новые требования Европейского союза, закрепленные Общим регламентом по защите данных (General Data Protection Regulation, GDPR), устанавливающим порядок обработки персональных данных. В ноябре на VIII Международной конференции «Защита персональных данных» руководитель Роскомнадзора Александр Жаров отметил, что требования Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России, поскольку Российская Федерация не является участницей международных договоров с ЕС. На них распространяется действие только российских законов в этой сфере в соответствии с общепринятыми международными принципами обработки персональных данных.»

Требования GDPR и последствия их несоблюдения

Новый Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR) вносит ряд изменений в правила, регулирующие защиту персональных данных, включая некоторые обязанности:

  • учитывать правила защиты персональных данных на этапе планирования (например, ИТ-решений);
  • документировать процессы обработки персональных данных;
  • проводить оценку рисков, связанных с обеспечением неприкосновенности частной жизни;
  • уведомлять надзорные органы в области защиты персональных данных об инцидентах, связанных с обеспечением безопасности персональных данных.

Общий подход к обработке персональных данных сформулирован в виде 6 основных принципов:

  1. Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
  2. Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
  3. Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
  4. Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
  5. Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
  6. Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн евро или до 4 % от годового оборота компании.

Штраф может не применяться. Он должен быть действенным, соразмерным и вразумляющим, может быть наложен в дополнение или вместо других мер.

Требования действующего российского законодательства, в контексте возможных коллизий с нормами Регламента GDPR

Представляется, что настоящее время преждевременно анализировать возможные коллизии между нормативными требованиями действующего российского законодательства, и нормами Регламента GDPR. Это связано, прежде всего, с тем, что, предполагается принятие целого ряда разъяснительных и директивных документов применения Регламента GDPR Рабочей группой WP29. Во-вторых, несмотря на непосредственное действие Регламента GDPR в государствах-членах Евросоюза, на государства-члены возложена обязанность «трансформировать» национальное право к требованиям Регламента GDPR, включая «переходные положения». В-третьих, после мая 2018 г. начнет формироваться национальная правоприменительная (судебная, административная) практика. Кроме того, т.к. Регламент GDPR непосредственно будет применяться Судом справедливости Евросоюза (European Court of Justic), после мая 2018 г. также начнет формироваться практика Суда справедливости.

В действующем российском законодательстве в регулировании отношений в сфере персональных данных системообразующим актом является Федеральный закон «О персональных данных» от 27.07.2006 № 152- ФЗ, с поправками Федерального закон № 242-ФЗ 2015 г. (далее – «ФЗ РФ о персональных данных»). В этой связи целесообразно обратить внимание на то, что Регламент GDPR и ФЗ РФ о персональных данных имеют различное действие в пространстве, по кругу лиц, и во времени.

Обобщенно можно сказать о том, что Регламент GDPR и российское законодательство, регулирующее сферу персональных данных, имеют самостоятельную территориальную и «юрисдикционную» сферу применения; при этом некоторая общность подходов регулирования не дает основания сделать вывод относительно их «гармонизации».

В практическом плане для российских компаний, деятельность которых связана со сферой персональных данных, ориентированных на пользователей в Евросоюзе, имеющих договорно-правовые обязательства с контрагентами Евросоюза, – это означает «двойное обременение».

Какой подход следует избрать по мнениям экспертов?

Так как формирование практики выстраивания процессов обработки и хранения персональных данных по требования GDPR находится на начальной стадии, мы рекомендуем решить вопросы соответствия требованиям российского законодательства в области обработки и хранения ПДн (152-ФЗ и 242-ФЗ). По законам РФ допускается привлечение лица, отвечающего за обработку ПДн по поручению оператора. Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Поэтому по GDPR облако, где также хранятся персональные данные, будет являться процессором данных, а оператор ПДн — контроллером.

В случае, если в сфере защиты персональных данных по 152-ФЗ и 242-ФЗ сделано всё необходимое, следует начинать процесс адаптации к нормам GDPR.

«Для начала ИТ-директору полезно написать красочную «страшилку» и отправить руководству», – рекомендует Аитов. Адаптация к нормам GDPR – это огромная и длительная работа, которая ляжет на службы ИТ, ИБ, корпоративных юристов.

Европейцы от контроля за нормами GDPR отступать не намерены, и огромные штрафы появились неслучайно. Обстановка в мире непростая: поводы со стороны GDPR могут быть использованы в том числе для «наказания» крупных отечественных представителей бизнеса – конкуренцию никто не отменял. Однако неприятности могут возникнуть у компании любого размера.

Полезные ссылки и источники:
https://internetinstitute.ru
rkn.gov.ru
https://www.pwc.ru
https://habrahabr.ru


x

Ещё Hi-Tech Интересное!

Зачем изучать непопулярные языки. Пример сообщества F#

Но коммерческого успеха и широкой популярности нет. Бывают культовые фильмы, игры, книги или музыка — их страшно любит сплоченное сообщество, профессионалы и критики. Мне в таких ситуациях обычно до боли обидно. Например, F#. В разработке хорошие технологии тоже не всегда ...

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 9: «Безопасность Web-приложений», часть 2

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы ...