В современном мире каждый из нас делится персональными данными с самыми разными целями и с множеством поставщиков услуг. Мы делаем это, когда оформляем карты постоянного покупателя, заказываем доставку еды и, почти систематически, когда пользуемся интернетом. Наше имя, адрес электронной почты, номер телефона, дата рождения – все это персональные данные, которыми мы добровольно делимся с кем-то каждый день.
В последние годы в обществе растет беспокойство относи- тельно сбора и использования информации о физических лицах. Разоблачения в прессе, например, относительно крупномас- штабного сбора данных более 50 миллионов аккаунтов Facebook с целью прогнозирования и, в перспективе, влияния на политичес- кие тенденции, существенно отразились на общественных настро- ениях по всему миру.
Законодательные органы ЕС несколько лет наблюдали дина- мику в сфере норм защиты данных с четкой задачей униформиза- ции и адаптации устаревших сводов законов к современным реа- лиям. Но конечной целью ЕС является сущностная трансформация принципов защиты данных и возвращение гражданам контроля над информацией, которой они поделились, а также усиление осознанности компаний относительно путей использования пер- сональных данных. Для достижения этой цели европейские зако- нодатели приняли «Общие положения о защите данных» (GDPR), и влияние этого документа простирается далеко за пределы ЕС. Как и FATCA («Закон о налоговом соответствии иностранных счетов»), GDPR коснется вас, даже если ваша компания находится в России, Китае или где бы то ни было еще.
Мировое влияние
«Общие положения о защите данных» были приняты Европейским парламентом в апреле 2016 года и должны официально вступить в силу 25 мая 2018 года. Начиная с этого дня, положения о правах и обязанностях, оговоренные в этом документе, будут применяться непосредственно и без дополнительных актов.
В соответствии со статьей 3 GDPR, субъектом «Положений» яв- ляется любая компания, осуществляющая фактическое предста- вительство в ЕС и обрабатывающая персональные данные. Также они применяются в тех случаях, когда компания занимается об- работкой персональных данных, связанных с предложением това- ров и услуг, либо мониторингом поведения физических лиц, явля- ющихся резидентами ЕС.
Иными словами, GDPR вводит абсолютно новый правовой стан- дарт, непосредственно применяемый к любым компаниям неза- висимо от их местонахождения, если они функционируют на евро- пейском рынке или даже просто имеют дело с персональными данными резидентов ЕС.
Таким образом, можно сказать, что наряду с расширенной за- щитой персональных данных и связанных с ними прав, территори- альная применимость простирается далеко за границы ЕС.
Что такое персональные данные
В соответствии с GDPR любая информация, относящаяся к иденти- фицированному или доступному для идентификации физическому лицу, квалифицируется как «персональные данные».
Доступное для идентификации физическое лицо – это лицо, которое может быть напрямую или косвенно опознано, в частности, с помощью относящихся к нему справочных данных, таких как имя и фамилия, идентификационный номер, адрес проживания, учет- ная запись в онлайн-среде или одного и более факторов, харак- терных для физической, физиологической, генетической, менталь- ной, экономической, культурной или социальной идентичности физического лица (статья 4 GDPR).
На практике почти любая компания вынуждена в те или иные моменты получать подобную информацию от частных лиц, кото- рым она предлагает товары и/или услуги. И те же самые компании неизбежно делятся собственной информацией, которую затем обрабатывают третьи лица.
После вступления в силу GDPR, физические и юридические лица получат контроль над персональными данными, которыми они делятся многие годы. Также им придется оценивать и в конце кон- цов пересматривать пути обработки персональных данных, полу- чаемых в ходе профессиональной деятельности.
Вопрос подготовки
Подготовка к соблюдению норм GDPR – непростое дело, которое может повлечь за собой ощутимые затраты.
Статистика показывает, что большинство международных ком- паний (примерно 88%) оценивают свои расходы на подготовку к GDPR в 1 млн. долларов и более, а некоторые из них сообщают о расходах в 10 млн. долларов. Это наблюдение становится еще более актуальным с учетом того, что многие компании собираются предпринять оценку будущих издержек незадолго до вступления «Положений» в силу.
С практической точки зрения, подготовка к исполнению GDPR начинается с оценки компанией собственной деятельности, свя- занной с обработкой данных. Она может быть проведена своими силами или с привлечением посторонних поставщиков услуг. Эта первоначальная оценка позволяет определить, является ли ком- пания субъектом GDPR. В случае с международными компаниями, это, без сомнений, так и будет. Если же компания является субъек- том GDPR, ей предстоит установить, где и как она обрабатывает персональные данные.
Второй этап процесса заключается в прояснении вопросов, ко- торые неизбежно возникнут в связи с применением новых принци- пов защиты данных. Компании придется определить, информа- цией какого типа она располагает, где эта информация хранится, кто имеет к ней доступ, как обеспечивается ее безопасность и т.д. Иными словами, необходимо составить точную схему процессов обработки данных, связанных с бизнесом компании, чтобы в даль- нейшем разработать внятный план приведения ее в соответствие с нормами GDPR.
В целом компании предстоит предпринять немало действий для достижения соответствия стандартам защиты данных.
Например, нужно будет создать новую рабочую позицию – на- значить специалиста по защите данных, в обязанности которого будет входить наблюдение и обеспечение исполнения GDPR, а также взаимодействие с назначенным контролирующим органом. Кроме того, придется назначить представителя по вопросам за- щиты данных в ЕС, хотя в этой области существуют некоторые исключения.
Также компания должна будет регистрировать прошлую и те- кущую деятельность по обработке данных. Это ключевая обязан- ность, поскольку это будет иметь особое значение при возникно- вении у субъектов права вопросов относительно предоставленной ими персональной информации и ее дальнейшей судьбы. Реестр, подлежащий регулярному обновлению, должен прежде всего содержать конкретную информацию о лицах, осуществляющих обработку данных, видах деятельности компании, соответствую- щих данных и цели обработки. И, несмотря на наличие некоторых
исключений и в сфере ведения такого реестра, применение их, вероятнее всего, будет ограничено.
С точки зрения IT, многим компаниям понадобится реструкту- ризировать системы передачи и хранения информации. Ведь в соответствии с GDPR, персональные данные должны быть защи- щены не только от нелегального внешнего доступа. Внутренний доступ к ним также должен быть сведен к строгому минимуму в зависимости от цели обработки информации (в GDPR это форму- лируется как принцип «проектируемой конфиденциальности»).
Кроме того, предстоит позаботиться о прозрачности. Это дос- тигается публикацией (как правило, в интернете) четких правил соблюдения конфиденциальности в отношении субъектов данных. Подобная информация должна содержать контактные данные спе- циалиста по защите данных и представителя компании в ЕС, под- робные сведения о передаче данных третьим сторонам, сроках их хранения, правах субъектов данных и т.д. Также, в соответствии с требованиями GDPR, передаваемая субъектам данных информа- ция должна быть краткой, прозрачной и легкодоступной по форме, она должна быть сформулирована четким и понятным языком.
И наконец, компания должна обеспечить огласку любых слу- чаев нарушения безопасности данных, с которыми столкнется. О нарушениях нужно сообщать не только заинтересованным субъ- ектам данных, но и компетентным органам по защите персональ- ной информации. При этом действовать придется оперативно, т.е. в течение максимум 72 часов после того, как о нарушении стало известно. Таким образом, необходимо тщательно анализировать любые акты обработки данных и, при необходимости, применять процедуры выявления нарушений и реагирования на них.
Описанные шаги затрагивают широкий спектр областей дея- тельности и, разумеется, подлежат тщательной оценке с учетом специфики отдельных случаев.
Стремительно растущие штрафы
При подготовке GDPR европейские законодатели намеревались не только создать новую среду защиты данных, но и добиться от лиц, занимающихся обработкой данных, в особенности между- народных компаний, полного соответствия ее стандартам.
В связи с этим в GDPR предусмотрены огромные штрафы, способные оказать значительное влияние на нарушителей. Штрафы могут достигать 20 млн. евро или же 4% годового ми- рового оборота – в зависимости от того, какая сумма больше. Несвоевременное уведомление о нарушении норм безопасности данных может привести к наложению штрафа до 10 млн. евро или же 2% от годового мирового оборота. При этом за основу для вычисления размера штрафа берутся данные по обороту не только юридического лица, допустившего несоответствие нор- мам законодательства, но всей группы компаний.
Мы видим, что для любых компаний, действующих на европей- ском рынке, добросовестное применение правил защиты данных – это в действительности вопрос бюджета и менеджмента рисков.
Заключение
Изменения в области защиты данных, произошедшие за последние несколько лет, вызвали к жизни GDPR и необходимость соответ- ствовать их принципам. После их вступления в силу в ЕС в 2018 году, Швейцария также введет свой собственный свод правил. Это, ве- роятнее всего, произойдет в 2019 г. под влиянием GDPR. Однако до сих пор далеко не все компании в должной мере понимают, как это отразится на их деятельности.
Принимая во внимание экономические риски, с которыми ком- пании по всему миру могут столкнуться по причине игнорирования своих обязанностей в соответствии с GDPR, к вопросу соответствия принципам защиты данных следует отнестись со всей серьезностью. Следует провести интроспективный анализ деятельности для опре- деления масштабов соблюдения этих принципов и, при необходи- мости, разработки четкого плана подготовки к их реализации.
Ввиду вышесказанного, по мере приближения 25 мая 2018 года большинство компаний обращается к сторонним фирмам за по- мощью в изучении новых принципов защиты данных. Компании отдают предпочтение технологическим, консультационным и юри- дическим фирмам, обладающим достаточными знаниями и опы- том в этой специфической области. Altenburger Ltd legal+tax явля- ется одной из таких фирм. Мы в вашем распоряжении на пути к полному соответствию нормам GDPR.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
