Hi-Tech

Есть ли жизнь после GDPR для паба в Саранске и всех остальных

Юристы уже написали несколько статей на эту тему, но они не дают точного понимания, зачем нужен закон и на кого распространяется. Сегодня вступил в силу европейский регламент о защите персональных данных GDPR. Спойлер: владельцы пабов в Саранске могут расслабиться. Давайте разберемся без лишней юридической терминологии, что происходит в действительности.

Зачем нужен GDPR?

Разъясняет, какие права в отношении этих данных есть у обеих сторон и как соблюдение этих прав будет контролироваться. Документ рассказывает бизнесу, как собирать, хранить и любым другим способом обрабатывать персональные данные (ПДн) клиентов (но только физических лиц, юрлица не в счет).

А раньше персональные данные в ЕС не защищались?

В 1995 году Европейским парламентом была принята соответствующая Директива, которая дополнялась национальными законами стран ЕС и судебными прецедентами. Защищались. В целом, у граждан были практически такие же права на защиту своих ПДн, как и в новом регламенте.

Тогда зачем новый закон?

К требованиям Директивы можно было подойти формально, трактовать как удобно. Проблема старого законодательства была в том, что мало кто его соблюдал в полном объеме. В худшем случае, заплатить относительно небольшой штраф за нарушение.

Кроме того, регламент подробно описывает, что является персональными данными и что подразумевается под их обработкой. GDPR составлен таким образом, что уклониться от его соблюдения становится значительно сложнее и гораздо, гораздо дороже.

ОК, что такое персональные данные?

Скоро вы поймёте почему. Регламент даёт очень краткое определение персональных данных и не предлагает исчерпывающего перечня.

Итак, ПДн – это любые данные, которые относятся к человеку, который уже идентифицирован или может быть идентифицирован.

«Идентифицирован» означает, что вы знаете, о ком речь. Звучит не очень понятно, поэтому разберем подробнее. Именно поэтому их используют для заключения договоров или, скажем, продажи билетов на самолёт. Например, ФИО и паспортные данные человека однозначно его идентифицируют.

Например, у нас в офисе работает два Евгения, но только один из них руководит проектами. В то же время, для полной идентификации может хватить только имени, если появляется дополнительная информация о человеке. Поэтому, в рамках компании набор данных «Евгений, руководитель проектов» меня полностью идентифицирует.

А если добавить к этому еще и название компании, то я уже «идентифицирован» и для всех остальных. На этом примере мы приходим к понятию «может быть идентифицирован»: моего имени и должности для коллег достаточно, чтобы понять, о ком идет речь.

Полиция еще не знает, кто он, но любая дополнительная информация может помочь его идентифицировать и найти. Приметы подозреваемого в полицейских сводках – это тоже данные, которые позволяют идентифицировать человека.

Например, если я скажу, что симпатичная брюнетка весело проводит время с друзьями, очевидно, читатель не сможет ее идентифицировать — сказать, кто эта брюнетка. Важно понимать, что понятие «позволяют идентифицировать» сильно зависит от контекста. А если конкретизировать, что это за олигарх, многие смогут назвать имя и фамилию этой барышни, то есть полностью её идентифицировать. Но если добавить деталей, скажем, «на яхте олигарха», человек, следящий за новостями, начнет догадываться, о ком идет речь. Следовательно, данные, которые для этого потребовались являются персональными, хотя там ни слова про паспорт, имя или фамилию лица, к которому эти данные относятся.

В мире довольно много премьер-министров. Ещё пример. И вы знаете, о ком речь. Но только один умудрился заснуть на церемонии открытия Олимпиады.

Конкретные примеры помогают в отношении наиболее спорных моментов. Именно поэтому регламент не даёт полного перечня ПДн, а только примеры и области данных.

Для коллег-айтишников, которые трекают поведение своих пользователей на сайте и считают, что если в логах нет ФИО, то это не ПДн, у меня плохие новости – вы обрабатываете персональные данные. Например, онлайн-идентификатор – это персональные данные. Вот, например, статья на The Guardian (на англ.) с несколькими реальными случаями идентификации пользователей по «анонимным» данным типа идентификаторов, урлов и таймстемпов.

Хорошо, а что является обработкой ПДн?

Даже удаление этих данных. Любые действия с данными, которые производятся вручную или автоматизированно.

Давайте ближе к делу. У меня российская компания. На неё распространяется действие GDPR?

Распространяется, если ваша компания:

  • Имеет подразделение (формально, любую организационную единицу) в ЕС, которое обрабатывает ПДн физических лиц.
  • Находится в РФ или любом другом государстве, но предлагает товары и услуги лицам, которые находятся в ЕС, поэтому обрабатывает их ПДн.
  • Находится в РФ или любом другом государстве, не предлагает товары и услуги лицам, находящимся в ЕС, но мониторит их поведение на территории ЕС.

Это тонкий момент, поэтому разберем на примерах.

Более того, они даже оставили отзывы в книге жалоб и предложений с фамилиями, именами и домашними адресами. Допустим, вы владелец того самого паба в Саранске, и 25 июня к вам в заведение заглянула компания португальцев с целью отметить победу своей сборной над футболистами из Ирана. Нет, не нужно. Нужно ли париться по поводу GDPR?

Ваш паб предлагает услуги и товары клиентам на территории РФ, но не высылает эти товары по почте европейцам и не оказывает им услуги дистанционно.

Ваш сайт переведен на основные европейские языки и пересылает товары по почте. Теперь предположим, что у вас в Саранске интернет-магазин, продающий куклы в национальных мордовских костюмах. Очевидно, что вы ориентируетесь на клиентов в ЕС и подпадаете под действие регламента. Покупатели из ЕС размещают у вас заказы, оставляя имя и почтовый адрес.

Вообразим, что вы саратовец в семнадцатом поколении (Саратов основан в 1590 году), гордитесь своим городом и хотите, чтобы весь мир узнал, как он прекрасен. А теперь самое интересное. Но как только вы поставили Яндекс Метрику, чтобы знать, кто и откуда к вам приходит на сайт, всё — у вашего посетителя из ЕС появился идентификатор, и вы начали мониторить его поведение на территории ЕС. Для этого вы зарегистрировали домен saratov.eu, на нескольких европейских языках расписали историю города, разместили красивые фотографии – GDPR вас не касается, пока вы не предлагаете на этом сайте услуги или товары, например, экскурсии. Вы автоматически попали под GDPR.

Работаете в ЕС – соблюдайте регламент. Подытожим. Мониторите поведение лиц на территории ЕС – соблюдайте регламент. Ориентируетесь на клиентов из ЕС – соблюдайте регламент.

Если нет намерения оказывать услуги лицам в ЕС, то можете ни о чем не думать, разве что о российском ФЗ-152.

Допустим, я нарушаю требования GDPR. Мне грозит штраф от 20 до 40 млн. евро?

20 млн. Нет. евро (или 4% от оборота) – это верхние границы за разные категории нарушений. евро (или 2% от оборота компании, если сумма оборота выше 20 млн.) и 40 млн. Нижней границы в регламенте не предусмотрено и, конечно, никто не отменял ваше право обжаловать решение в суде. Фактическую сумму штрафа устанавливает надзорный орган в каждом конкретном случае отдельно и пропорционально тяжести нарушения.

Теперь дешевле правильно организовать работу компании в отношении ПДн, чем заплатить штраф. В целом нужно воспринимать большие суммы штрафов в законе как заградительную меру, а не новый способ пополнения местных бюджетов стран Евросоюза. Кроме того, можно предположить, что за незначительные нарушения надзорные органы не будут штрафовать сразу, а предупредят вас и предложат в установленный срок устранить несоответствия регламенту.

Регламент не зря дорабатывали 4 года. Нет. Например, телефонные записные книжки оказались бы вне закона – это явный перегиб. Он составлен таким образом, чтобы защищать права граждан, но не блокировать нормальную деятельность. Человек обычно не против, если вы порекомендуете его как специалиста, и с этой целью дадите его рабочий имейл знакомым. Если вы используете персональные данные в личных целях и не злоупотребляете ими, то беспокоиться не о чем. Если ответ утвердительный, значит все ОК. В качестве проверки задавайте вопрос: «Большинство людей обычно так поступают?». Если нет, это повод задуматься.

За рамками статьи остались вопросы прав пользователей на свои данные и обязанностей компаний по их обработке. Надеюсь, теперь стало более понятно, о чем вообще GDPR. Если статья вызовет интерес, осветим эти моменты во второй части.

Уважайте своих пользователей =)

Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть