Что такое GDPR? Простой гайд по защите данных в ЕС

Если ваша компания собирает, использует или отслеживает персональные данные людей из ЕС, к вам применяется Общий регламент по защите данных (General Data Protection Regulation — GDPR). Неважно, где находится ваша компания: это европейский закон о конфиденциальности, который действует по всему миру и меняет принципы обработки персональных данных компаниями.

GDPR был принят в 2016 году и вступил в силу в мае 2018 года, и в нём устанавливаются понятные определения персональных данных, способы их использования и права пользователей на свою личную информацию.

В этом гайде вы узнаете, что такое GDPR, к кому он применим, и что нужно знать бизнесу, чтобы его соблюдать.

Что такое GDPR простыми словами?

GDPR — это закон ЕС о конфиденциальности, который защищает персональные данные людей в ЕС. К ним относится любая информация, которая позволяет прямо или косвенно идентифицировать человека, например имя, адрес электронной почты, IP-адрес или файлы cookies.

GDPR предоставляет людям больше контроля над собственными данными. Также он требует от бизнесов честно обрабатывать данные, объяснять причины их сбора и безопасно хранить их. Данный регламент заменил устаревшие правила обработки данных в ЕС 25 мая 2018 года.

Причины введения GDPR

До GDPR, защита данных в ЕС регулировалась на основании Директивы о защите данных от 1995 года. В то время, интернет был новым явлением, и компании обрабатывали меньше персональных данных. По мере развития технологий и становления онлайн-сервисов повседневной частью жизни, стало понятно, что старых правил недостаточно.

В 2012 году, Европейская комиссия предложила новое регулирование, которое должно было усилить право на конфиденциальность и соответствовать новой цифровой экономике. После нескольких лет обсуждений, GDPR был принят в 2016 году и вступил в силу в 2018 году.

В отличие от старой директивы, он действует во всех странах ЕС, устанавливает единые стандарты и предоставляет людям более широких прав в отношении собственной персональной информации.

В современном мире конфиденциальность важна, как никогда раньше, а GDPR и прочие подобные законы предназначены для возвращения пользователям контроля над своими данными.

К кому применим GDPR

GDPR применим к любой организации, которая собирает, использует или хранит персональные данные людей в ЕС, независимо от нахождения компании в пределах или за пределами Европейской экономической зоны (ЕЭЗ или EEA — European Economic Area). Данный закон отслеживает данные, а не местоположение компаний.

Регламент определяет две ключевых роли:

• Регулятор данных: определяет, как и для чего обрабатываются персональные данные.
• Обработчик данных: распоряжается данными от имени регулятора, например облачный провайдер или платёжный агрегатор.

Бизнесы в ЕЭЗ

ЕЭЗ охватывает 27 государств-членов ЕС и Исландию, Лихтенштейн и Норвегию. Любая организация в границах ЕЭЗ должна соблюдать GDPR при обработке персональных данных, даже если их обработка происходит за пределами Европы. Например, если компания находится в Латвии и использует серверы в России или Украине, она всё равно должна соблюдать правила GDPR.

Компании за пределами ЕЭЗ

Нахождение за пределами ЕЭЗ не освобождает компанию от соблюдения GDPR. Данный закон всё равно применим к вашей компании, если она использует персональные данные резидентов ЕС в следующих случаях:

• Предложение товаров и услуг людям из ЕС, как бесплатно, так и за оплату.
• Мониторинг поведения людей в ЕС, например отслеживание онлайн-активности через файлы cookies и составление профиля.

Например, образовательная платформа в России или Украине, целевой аудиторией которой являются студенты из Эстонии, должна соблюдать GDPR А любая компания за пределами ЕЭЗ, которая выступает в роли обработчика данных для компании в границах ЕЭЗ, также должна соблюдать данный регламент.

Если сервис просто доступен для резидентов ЕС, при этом пользователи из ЕС не являются его целевой аудиторией, и он не обрабатывает их персональные данные, он может не попадать под действие регламента GDPR. Однако если компания не предпринимает очевидных действий по исключению резидентов ЕС, регуляторы всё равно могут посчитать такую компанию попадающей под действие GDPR.

Помимо этого, есть некоторые специфические виды данных, которые не попадают под регулирование, в том числе данные, собираемые в целях государственной безопасности, правоприменения или исключительно по личным мотивам.

Что является персональными данными в рамках регламента GDPR?

Согласно определениям GDPR, персональные данные — это любая информация, по которой можно прямо или косвенно идентифицировать живого человека. К ним относятся:

• Полное имя
• Домашний адрес
• Адрес электронной почты с именем человека
• Номер государственного удостоверения или паспорта
• IP-адрес
• Идентификаторы файлов cookies
• Рекламные идентификаторы на устройствах
• Медицинские записи

GDPR также проводит разделение между псевдоанонимизированными данными, по которым всё равно можно отследить человека, и действительно анонимизированными данными, по которым отследить человека невозможно. Только полностью анонимизированные данные не попадают под действие регламента.

Помимо этого, GDPR определяет специальные категории персональных данных, в том числе расовое или этническое происхождение, религиозные убеждения, политические взгляды и биометрические данные. Обработка подобной информации запрещена за очень редким исключением, поскольку такая информация несёт высокие риски.

Юридические основания для обработки персональных данных

GDPR не позволяет обрабатывать персональные данные просто так. Для этого должна быть явная и юридически обоснованная причина, и регламент устанавливает шесть таких вариантов:

• Согласие: если человек даёт явное согласие на использование своих данных. Согласие должно быть добровольным, конкретным и с возможностью простого отзыва. Запрещено подтверждать согласие незаметно или заранее ставить галочки в поля.
• Договор: обработка данных необходима для заполнения договора с физическим лицом (например, для обработки платёжных данных при совершении покупки).
• Юридическое обязательство: иногда закон требует от компании обрабатывать персональные данные, например при заполнении медицинских документов в больнице.
• Жизненно важные интересы: обработка данных необходима для защиты чьей-либо жизни, например в случае экстренной медицинской помощи.
• Общественные задачи: обработка данных необходима для выполнения официальных обязанностей или задач в интересах общества (обычно связанных с государственными органами).
• Законные интересы: позволяет организациям обрабатывать данные, если у них есть обоснованная причина, которая не нарушает права граждан, например использование данных для обеспечения работы систем кибербезопасности.

7 основных принципов GDPR

GDPR основан на семи ключевых принципах, определяющих способы обработки персональных данных. Данные принципы устанавливают стандарты для честной, безопасной и ответственной обработки данных.

1. Законность, честность и прозрачность

Согласно данному принципу, данные должны собираться и использоваться только по веским причинам, определяемым GDPR, например при наличии согласия пользователя или необходимости сбора данных для предоставления услуги. Также данный принцип требует честного использования данных без ввода людей в заблуждение или использования их информации способами, не озвученными заранее. И наконец, в основе всего лежит прозрачность: компании должны простыми словами объяснять, какие данные и зачем они собирают, а также как они планируют их использовать.

2. Ограничение целей использования

В рамках GDPR, персональные данные можно собирать только для конкретных и понятных целей. Организации должны сообщать людям о целях сбора их данных в момент сбора. После сбора, данные нельзя использовать для любых других целей, отличающихся от изначально заявленных.

3. Минимизация сбора данных

GDPR требует от компаний собирать только персональные данные, которые необходимы для их конкретной задачи. Этот принцип позволяет ограничить объём удерживаемых данных о человеке, что снижает риски в случае утраты или злонамеренного использования данных. Это позволяет сделать сбор данных ограниченным и целевым.

4. Точность

Персональные данные должны быть верными. Если организация хранит данные о человеке, она должна убедиться в точности данных и, при необходимости, обновлять их. В случае изменения данных или обнаружения ошибок, компания несёт ответственность за их исправление. Обеспечение точности данных позволяет избежать ошибок, которые могут повлиять на человека, особенно если данная информация используется для совершения действий, связанных с таким человеком.

5. Ограничение хранения

Организации не должны хранить персональные данные дольше, чем они им необходимы. После того, как данные использовались для своей цели, они должны быть удалены или анонимизированы. Данный принцип гарантирует, что данные не хранятся "на всякий случай" без очевидной причины. Также это помогает снизить риски, связанные с хранением ненужной информации, например в случае возникновения утечек или проблем с конфиденциальностью.

6. Добросовестность и конфиденциальность

Очень важно обеспечить безопасное хранение персональных данных. Компании должны защищать данные от просмотра, кражи или изменения лицами, у которых не должно быть к ним доступа. Для этого необходимо иметь надёжные и безопасные технологии хранения и обработки данных.

7. Ответственность

Ответственность означает, что компании не просто должны заявить о соблюдении правил GDPR — они также должны доказать это. Это значит, что они должны предпринять соответствующие шаги по защите персональных данных, в том числе разработать способы хранения и обработки, обучить персонал и внедрить политики конфиденциальности.

Права пользователей в рамках GDPR

Право на получение информации

У вас есть право знать, когда и зачем организация собирает ваши персональные данные. Это значит, что компании должны сразу чётко объяснять, какие данные они собирают, как они планируют использовать их и кому передавать.

Информация должна быть понятной, чтобы пользователь мог принять осознанное решение о выдаче согласия на обработку своих данных.

Право доступа

Это право позволяет вам отправить в любую организацию запрос на предоставление информации о том, какие ваши персональные данные хранятся в этой компании. Вы можете запросить копию данных, а также информацию об их использовании и о том, кому они передавались. Организации обязаны предоставить данную информацию в разумные сроки.

Однако данное право не является абсолютным: оно не должно негативно влиять на права и свободы других лиц, в том числе в случае защиты коммерческой тайны или интеллектуальной собственности.

Право на исправление

Если ваши персональные данные, хранимые в компании, являются неверными или неполными, у вас есть право попросить их исправить. Организация должна исправить их, например в случае ошибки в имени, устаревшем адресе или отсутствующей информации.

Право на удаление (право быть забытым)

Вы можете попросить организацию удалить ваши персональные данные, если у компании нет веских причин хранить их. Часто это называется "право быть забытым". Данное право применимо в случаях, когда ваши данные больше не нужны для заявленных целей сбора, либо если организация обрабатывала ваши данные незаконно.

Однако данное право также не является абсолютным, поскольку компании могут хранить данные, если у них есть юридическое обязательство удерживать подобные данные, а также при наличии других веских причин.

Право ограничения обработки

Данное право позволяет вам попросить компанию ограничить использование ваших данных. Такой запрос можно отправить, если вы считаете данные неточными, если их обрабатывают незаконно, либо если они больше не нужны организации, но вы хотите сохранить их для юридической претензии. С момента начала действия запрета, организация может хранить данные, но не может использовать их для других целей, если вы не предоставили соответствующее разрешение, и у них нет на это юридических оснований.

Право на передачу

Данное право позволяет вам получить копию ваших персональных данных в доступном формате. Вы также можете попросить передать данные напрямую в другую компанию, если это технически возможно. Смысл заключается в том, чтобы у вас было больше контроля над собственной информацией, и вам было проще менять провайдеров услуг или переносить свои данные без необходимости их повторного ввода.

Право на претензию

У вас есть право опротестовать способы использования ваших персональных данных, особенно если их используют исключительно в маркетинговых целях. При отправке претензии, организация должна прекратить использование ваших данных, если она не может предъявить вескую юридически обоснованную причину продолжить их использование.

Право на оспаривание автоматизированных решений

У вас также есть право оспорить решения, принятые в вашем отношении с использованием исключительно автоматизированных процессов, особенно если данные решения имеют серьёзные последствия, например одобрение займа или согласие на работу. GDPR предоставляет пользователям право потребовать вмешательства человека в подобных случаях; вы можете запросить пересмотр данного решения человеком вместо использования только алгоритмов и автоматизированных систем.

Что такое согласие в рамках GDPR и как его получить?

Чтобы согласие считалось действительным в рамках GDPR, оно должно соответствовать строгим стандартам. Для этого согласие должно быть:

• Добровольным: у вас должен быть реальный выбор, без давления или негативных последствий в случае отказа.
• Конкретным и осознанным: организации должны рассказать вам о себе, о собираемых данных, причинах сбора и способах использования.
• Недвусмысленным: согласие должно являться результатом понятного, подтверждающего действия, например проставления галочки в поле или подписания формы. Подтверждение молчаливым согласием или заранее проставленной галочкой в поле не считается.

У пользователей также есть право отозвать согласие в любой момент, и это должны быть также легко, как и предоставить его. После отзыва согласия, компания должна прекратить использование ваших данных для указанных целей.

Для сервисов с целевой аудиторией младше 16 лет обычно требуется согласие родителей, хотя в некоторых странах ЕС возраст снижен до 13 лет.

Как компании могут соблюдать требования GDPR

Чтобы соответствовать требованиям GDPR и защищать конфиденциальность пользователей, любой компании необходимо предпринять конкретные шаги.

Записи об обработке данных (RoPA — Records of processing activities)

Статья 30 регламента GDPR требует от компаний документировать способы обработки персональных данных. В данных записях должна быть информация о причинах обработки, типах собираемых данных, лицах, которым передаются данные, сроках хранения и предпринимаемых мерах защиты.

И хотя небольшие компании могут являться исключением в случае редкой обработки данных с низкими рисками, хранение подобных записей является ключом к доказательству соблюдения GDPR в случае запроса со стороны властей.

Оценка воздействия на защиту данных (DPIA — Data protection impact assessments)

Если компания планирует обрабатывать персональные данные способом, который создаёт высокие риски для прав и свобод людей, она должна провести оценку воздействия на защиту данных. Это обязательная процедура в случае использования новых технологий, мониторинга общественных пространств в больших масштабах или широкого использования особых категорий данных.

Целью оценки DPIA является определение и снижение рисков до начала обработки данных. Если предпринимаемые меры не снижают высокий уровень риска, перед обработкой данных компания должна провести консультации с органом надзора по защите данных (DPA — Data Protection Authority) — это государственный орган, который есть в каждой стране ЕС, и который отвечает за соблюдение GDPR.

Назначение ответственного за защиту данных (DPO — Data Protection Officer)

Некоторые организации должны назначить ответственного по защите данных для соблюдения GDPR. Этот человек несёт ответственность за контроль обработки персональных данных в компании и обеспечивает соблюдение требований GDPR.
Ответственного необходимо назначить, если:

• Вы регулярно или систематически отслеживаете активность пользователей в больших масштабах, например отслеживаете их поведение в интернете.
• Вы обрабатываете особые категории данных, например связанные со здоровьем, генетикой или биометрическими данными в больших масштабах.
• Вы являетесь социальным органом власти (за исключением судов и независимых судебных органов).

Ответственный может быть сотрудником компании или внешним специалистом, работающим на условиях договора оказания услуг. В любом случае, данный человек должен работать независимо и предоставлять консультации для сотрудников, контролировать предпринимаемые меры по защите данных и выступать в роли основного контактного лица при взаимодействии с органами надзора по защите данных.

Обеспечение безопасности передачи данных

При передаче персональных данных за пределы ЕС, GDPR требует от компаний обеспечения такого же уровня защиты данных при их передаче. Компании должны соблюдать меры безопасности для защиты данных, соответствующие стандартам GDPR.

Есть несколько проверенных способов защитить передачу данных:

• Решения о достаточности мер: данные можно отправлять в страны, которые ЕС считает способными обеспечить достаточный уровень защиты данных.
• Договорные обязательства по защите данных: компании могут добавить специальные пункты в договоры с контрагентами из неевропейских стран, которые будут гарантировать безопасность данных.
• Частичное отступление: В некоторых случаях, передача разрешена, если человек дал явное согласие, или если это необходимо для выполнения условий договора.

Контроль безопасности и шифрование в рамках GDPR

Организации также должны внедрять строгий контроль безопасности для защиты персональных данных от неавторизованного доступа, изменения и утраты. К подобным мерам контроля относятся технические средства, например шифрование, и организационные решения, например разрешение доступа только ограниченному кругу сотрудников.

Шифрование играет ключевую роль в защите конфиденциальности и свободы в открытых обществах, при этом оно является одним из самых эффективных инструментов защиты от утечек данных.

Информирование об утечках данных

Если утечка данных подвергает рискам права и свободы человека, компания должна уведомить соответствующий орган по надзору за защитой данных в течение 72 часов. В случае высоких рисков, компания также должна уведомить пользователей, затронутых утечкой.

Если компания не сообщит об утечке в установленный срок, на неё могут наложить штраф, поэтому в компаниях должны быть понятные процедуры по обнаружению, оценке и принятию эффективных мер в случае утечки данных.

Осведомление и обучение персонала

Соблюдение GDPR зависит не только от политики компании, но и от понимания и применения подобных политик сотрудниками. Сотрудники должны получать чёткие инструкции и проходить регулярное обучение по ответственной работе с персональными данными и соблюдению прав пользователей. Подобная осведомлённость в компании поможет предотвратить утечки данных и обеспечить соблюдение установленных требований.

Применение GDPR и штрафы за нарушения

В каждой стране Европейской экономической зоны есть собственный надзорный орган, который следит за соблюдением компаниями законов о защите данных. Подобные органы могут проводить расследования, запрашивать документы и даже проводить проверки, которые позволяют убедиться, что компания соблюдает установленные требования.

Если компания нарушит GDPR, она может получить серьёзные наказания. За самые серьёзные нарушения штраф может составить до 20 миллионов евро или 4% от общего годового оборота компании. Помимо денежных штрафов, власти также могут назначить исправительные действия, например приказать компании прекратить обработку определённых видов данных или улучшить меры по защите данных.

Подобное правоприменение гарантирует, что компании будут соблюдать GDPR в обязательном порядке. Если компания обрабатывает персональные данные, она должна серьёзно относиться к данной ответственности, либо ей придётся столкнуться с суровыми последствиями.

GDPR распространяется на США?

GDPR — это европейский регламент, но он не ограничен европейскими границами. Американские компании могут попадать под действие регламента, если они обрабатывают данные пользователей из ЕС. Это значит, что даже если компания физически не находится в Европе, она всё равно может быть обязана соблюдать GDPR в случае соответствия определённым критериям.

Соблюдение GDPR американскими компаниями

Согласно Статье 3 регламента GDPR, американские компании должны соблюдать требования, если у них есть подразделение в ЕС, или если они предлагают товары или услуги пользователям из ЕС, даже если данные услуги предоставляются бесплатно. Отслеживание онлайн-поведения пользователей из ЕС, в том числе через файлы cookies, трекеры или таргетированную рекламу, также является основанием для соблюдения GDPR американскими компаниями.

Чтобы соответствовать регламенту, американские компании должны:

• Провести аудит типов собираемых персональных данных.
• Установить понятные юридические основания для обработки каждого типа данных, например получение согласия или требования договора.
• Оценить наличие передачи данных из ЕС в США и убедиться в соблюдении необходимых мер, таких как Стандартные договорные условия (SCC — Standard Contractual Clauses).
• Назначить представителя по GDPR в ЕС, если у компании нет физического офиса в Европейском Союзе.
• Заблаговременно получить согласие на сбор данных и файлов cookies на сайте.
• Обновлять политики конфиденциальности для соблюдения требований GDPR и прав владельцев данных.

GDPR, CCPA и CPRA

GDPR требует получение явного согласия перед обработкой данных, при этом Закон штата Калифорния о защите конфиденциальности потребителей (CCPA — California Consumer Privacy Act) и его дополнения, а также Закон штата Калифорния о защите права на конфиденциальность (CPRA — California Privacy Rights Act) действуют по иному принципу, основанному на модели с возможностью отказа.

В Калифорнии, обычно бизнесу не нужно получать предварительное согласие на сбор и обработку персональной информации, за исключением особых случаев, например при продаже или передаче данных, обработки данных несовершеннолетних или обработке чувствительной информации.

Вместо этого, данные законы ориентированы на прозрачность, требуют от бизнеса уведомлять пользователей о способах обработки данных и предоставлять простой способ отказаться от продажи или передачи их персональных данных. В итоге можно сказать, что в калифорнийских законах упор делается на контроль и видимость, а не на предварительное согласие.

Для американских компаний это подчёркивает важное различие: строгие требования к согласию, установленные в GDPR, не имеют аналога в законах США, поэтому если компания работает и в США, и в Европе, ей необходимо соответствовать требованиям каждого региона.

В чём заключается роль файлов cookies в рамках GDPR?

В рамках GDPR, файлы cookies, по которым можно определить человека или отследить его поведение в интернете, считаются персональными данными. К ним также относятся технологии, используемые в традиционных файлах cookies, например цифровой отпечаток браузера, который позволяет создать уникальный идентификатор пользователя с учётом его устройства и настроек браузера.

Сайты должны предоставлять пользователям возможность выбрать типы файлов cookies, с которыми они согласны, — эта концепция известна как granular consent (детализированное или раздельное согласие). Однако согласие не требуется для сбора строго необходимых файлов cookies.

GDPR описывает правила получения согласия, однако использование файлов cookies в ЕС также регулируется Директивой о конфиденциальности электронных данных (ePrivacy Directive), которая дополняет GDPR требованиями к технологиям онлайн-отслеживания, в том числе к файлам cookies. Именно поэтому многие сайты показывают банеры для посетителей из ЕС и просят установить предпочтения перед использованием необязательных файлов cookies.

Если вы хотите минимизировать отслеживание своей активности при использовании интернета, вы можете использовать виртуальную частную сеть (VPN), которая поможет вам просматривать сайты более конфиденциально за счёт скрытия IP-адреса и шифрования трафика.

Популярные заблуждения о GDPR

GDPR вступил в силу несколько лет назад, но несмотря на это, в обществе до сих пор существуют популярные заблуждения о его значении для бизнеса. Давайте их проясним.

GDPR применим только к европейским компаниям

Часто можно услышать, что GDPR действует только для компаний из ЕС, однако данный регламент имеет более широкую географию. Любая компания за пределами ЕС, в том числе из США, России или Украины, должна соблюдать данный регламент, если она предлагает товары и услуги людям из ЕС или отслеживает их онлайн-поведение, например при помощи технологий трекеров.

Пользователи всегда должны предоставить согласие

Ещё одним популярным заблуждением является обязательное требование GDPR на получение согласия пользователя для обработки персональных данных. В действительности, согласие является лишь одним из нескольких законных оснований. В качестве основания, компании также могут указать требования договора, юридическое обязательство, жизненно важные интересы, общественные задачи или юридические интересы, при условии соблюдения прав человека. Согласие необходимо, только если другие законные основания не подходят.

GDPR существует только для наложения штрафов

Многие считают, что GDPR используется исключительно как система наложения крупных штрафов, однако его основной задачей является усиление права на конфиденциальность и продвижение ответственного отношения к обработке данных. И хотя наказания могут быть серьёзными, данный регламент в первую очередь ориентирован на прозрачную и безопасную обработку персональных данных компаниями с соблюдением прав пользователей.

GDPR запрещает маркетинг

Есть ещё одно ошибочное мнение, что с GDPR маркетинг становится невозможным. Данный регламент не блокирует маркетинг; вместо этого, он устанавливает рамки, чтобы исключить недобросовестное использование персональных данных компаниями. При наличии действительного юридического основания, например согласия или юридического интереса, компании могут рекламировать свои товары и услуги пользователям в ЕС, при условии соблюдения их конфиденциальности.