Основные положения GDPR
Персональные данные можно определить, как различного рода сведения, характеризующие конкретного человека. В настоящее время, когда множество повседневных действий люди совершают посредством дистанционного взаимодействия (например, заказывают товары на дом, оформляют дисконтные карты, бронируют столик в ресторане и т.д.), предоставление персональных данных происходит практически на каждом шагу.
Персональные данные являются важной личной информацией. С одной стороны, произвольное распоряжение персональными данными может нарушать права субъектов таких данных, но с другой стороны невозможно представить в современном мире взаимодействие субъектов без обработки такой информации. В целях защиты персональных данных во многих странах разработаны законодательные акты, регулирующие правила обращения с персональными данными и предусматривающие санкции за нарушение таких правил.
Исключением не являются также и союзы государств, граждане и юридические лица которых находятся в тесном экономическом взаимодействии. Так, одним из известных документов по защите персональных данных является разработанный и утвержденный Европейским Союзом («ЕС«) Общий регламент защиты персональных данных или GDPR (General Data Protection Regulation).
Краткая характеристика GDPR
Защита физических лиц в отношении обработки персональных данных в ЕС рассматривается в качестве одного из основных прав человека. Хартия ЕС об основных правах и Договор о функционировании ЕС предусматривают, что каждый имеет право на защиту персональных данных, касающихся его или ее. GDPR был принят в 2016 году, а вступил в силу на всей территории ЕС в 2018 году.
Регламент направлен на унификацию норм о защите персональных данных стран-членов ЕС, определяет порядок сбора, обработки, хранения и распространения персональных данных в странах Евросоюза и с участием его граждан. Действие GDPR распространяется на все организации, которые обрабатывают персональные данные граждан Европейского союза, независимо от того, где зарегистрировано лицо, обрабатывающее данные.
Основные положения GDPR
GDPR разделяет лиц, которые проводят операции с персональными данными, выделяя контролера (физическое или юридическое лицо по чьему поручению обрабатываются персональные данные) и непосредственного обработчика персональных данных. Например, Вы пришли на прием к врачу и все Ваши личные данные зафиксировал врач при приеме, в таком случае врач будет непосредственным обработчиком данных, а больница от чьего лица действует врач как сотрудник контролером.
В основе GDPR лежат 6 принципов:
- законность, справедливость и прозрачность. Пользователи должны знать к каким их персональным данным контролер и непосредственный обработчик данных имеют доступ;
- ограничение цели. Контролер может собирать только те персональные данные, которые необходимы для указанных им целей, а также в отношении которых есть юридическое основание для обработки (например, требование предоставления персональных данных уставным или контрактным);
- минимизация данных. Контролер не имеет права собирать больше данных, чем необходимо для достижения указанных им целей;
- точность. Контролер должен своевременно обновлять или удалять некорректные данные;
- ограничение периода хранения персональных данных. Данные пользователей не должны храниться дольше, чем это требуется для выполнения обязательств, достижения указанных целей обработки данных;
- безопасность персональных данных. Данные следует защищать от несанкционированного доступа, незаконной обработки или повреждения;
- ответственность и принцип Accountability. Контроллеры и обработчики данных должны демонстрировать соблюдение всех принципов GDPR и быть в состоянии доказать это при запросе контрольных органов.
GDPR предусматривает, что Контролер обязан не только получать согласие на обработку данных, а также предоставлять определенную в регламенте информацию субъектам персональных данных для обеспечения честной и обозримой обработки, а также свои контакты, контакты специалиста контролера по защите персональных данных. Кроме того, GDPR обязывает контролера уведомлять о любом нарушении безопасности данных в установленные сроки, чтобы гарантировать прозрачность и защиту прав пользователей на конфиденциальность.
Нужно ли соблюдать российским предпринимателям GDPR?
Несмотря на то, что в нашей стране действует отдельный закон, регулирующий работу с персональными данными (№ 152 ФЗ), его соблюдение не означает автоматическое соблюдение Регламента ЕС о защите персональных данных. Безусловно ряд положений имеют схожее регулирование, оба акта имеют одни и те же цели, однако имеется и ряд различий в подходах к обеспечению безопасности персональных данных.
Соблюдение требований GDPR будет актуально Вам как российскому предпринимателю только в тех случаях, когда Вы работаете с гражданами ЕС независимо от Вашего местонахождения. Конечно, если Ваш бизнес зарегистрирован в России напрямую взыскать с Вас штраф в связи с нарушением GDPR у зарубежных лиц вряд ли получится, однако при поступлении жалобы от физического лица – гражданина ЕС возможно применение к Вам косвенных мер ответственности. Например, ограничение доступа к сайтам на территории ЕС, или принятие мер в отношении Вашего гендиректора (запрет на въезд и т. п.), или наложение ареста на Ваши активы, находящиеся в странах ЕС.
Кроме того, не соблюдение GDPR при взаимодействии с гражданами ЕС может повлечь для Вас репутационные риски. К примеру, если Ваш бизнес-партнёр активно сотрудничает с европейцами и соблюдает GDPR, однако у него появится информация о нарушении Вами прав граждан ЕС на защиту персональных данных при осуществлении Вашей бизнес-деятельности, последнее может негативно отразится на желании партнера в дальнейшем сотрудничать с Вами.