Что российским фондам нужно знать про правила защиты персональных данных GDPR

Как и где действует GDPR? Изображение с сайта groupe-profina.com.
Как и где действует GDPR? Изображение с сайта groupe-profina.com.

В 2018 году в Европейском союзе (ЕС) вступил в силу общий регламент по защите данных (General Data Protection Regulation, GDPR). Журналист Теплицы Юлия Каленкова рассказала, почему нововведения коснутся не только Европы и на что обратить внимание российским фондам.

«GDPR – новаторский документ. Он создает инструменты для регулирования и защиты данных, в том числе предусматривает корпоративную ответственность. Это новые реалии, к которым нужно привыкнуть», – считает ведущий юрист «Роскомсвободы», руководитель Центра цифровых прав Саркис Дарбинян. По его словам, регламент задает новый вектор развития цифрового общества.

Согласно новым правилам, регулятором в области персональных данных во всех 28 странах ЕС станет Европейский совет по защите данных (European Data Protection Board – EDPB). Также будут действовать национальные регуляторы.

Действует 6 основных принципов GDPR

  • Персональные данные должны обрабатываться законно, справедливо и прозрачно. Информацию о целях, методах и объемах обработки необходимо излагать максимально доступно и просто.
  • Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
  • Минимизация данных: нельзя собирать личные данные в большем объеме, чем это необходимо для целей обработки.
  • Личные данные, которые являются неточными, должны быть удалены или исправлены по требованию пользователя.
  • Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
  • При обработке данных необходимо обеспечить их защиту от несанкционированного или незаконного доступа, уничтожения и повреждения.

Ключевые требования GDPR

  • О нарушениях GDPR необходимо сообщать регулятору в течение 72 часов.
  • Пользователи могут запросить подтверждение факта обработки их данных, а также уточнить, кому и какая информация передается, узнать источник получения данных. Более того, можно потребовать прекращения обработки своих данных.
  • Право на забвение, позволяющее удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
  • Право на переносимость данных, обязывающее одну компанию предоставлять бесплатно электронную копию данных другой компании по требованию пользователя. Например, пользуясь услугами одного сервиса, вы предоставили свои данные, но потом решили перейти на другой сервис. Первый передаст всю информацию второму бесплатно.
  • Согласие на обработку персональных данных должно быть выражено в форме утверждения. Если речь идет о детях, согласие должно быть подписано родителями или законными представителями ребенка.
  • Любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением GDPR. Эта информация должна быть опубликована и передана национальному регулятору.

Видео c youtube-канала MercatorInfogr

С одной стороны, правила понятны и очевидны, однако на практике не все так просто. С момента вступления в силу 25 мая 2018 года по 28 января 2019 года регламент был нарушен около 60 000 раз.

По мнению Саркиса Дарбиняна, это связано с тем, что никто не привык относиться к данным как к серьезным активам: сложно осознать, что нужно и юридически, и технически активно работать с данными пользователей.

Что делать фондам

GDPR действует по экстерриториальному принципу. То есть его правила работают вне зависимости от места их применения. Таким образом, если ваша компания или некоммерческая организация ориентирована на европейский или международный рынок, необходимо изучить положения регламента.

Отдельный вопрос – как быть российским фондам, работающим с Европой. Все зависит от того, как именно выстраивается эта работа, считает ведущий юрист Центра цифровых прав Екатерина Абашина: «Нужно как минимум провести аудит, чтобы понять, подпадает ли деятельность фонда под действие GDPR. Например, если у фонда есть европейские партнеры (юрлица), скорее всего, они уже в обязательном порядке включают требование о соблюдении GDPR в соглашение. Тогда придется выбирать: либо отказываться от партнерства, либо проводить GDPR-комплаенс (от англ. compliance – согласие, привести в соответствие. – Прим. ред.).

Другой пример: деятельность фонда нацелена на европейскую аудиторию, он собирает через свой сайт данные пользователей, находящихся на территории ЕС (для оформления подписки, сбора пожертвований). В этом случае эксперт советует НКО также проработать положения GDPR: проверить систему обработки данных, пользовательское соглашение сайта, политику конфиденциальности, внутренние документы по обработке данных. В каждом конкретном случае могут понадобиться разные решения, а могут и вовсе не понадобиться.

Самый проблемный момент, по мнению Абашиной, это принятие мысли о необходимости проведения GDPR-комплаенс вместо «косметических» изменений.

Еще по теме: Как не получить штраф: 6 вопросов юристу про персональные данные на сайте НКО

Международный Комитет Красного Креста (МККК) не входит в число тех, кто обязан обрабатывать данные в соответствии с GDPR или любыми другими национальными законами о защите данных. Однако команда уделяет особое внимание защите личных данных участников и единомышленников, поэтому разработала правила по защите личных данных.

Они включают все признанные международные стандарты защиты данных, и наши европейские доноры осведомлены о позиции МККК и всех тех усилиях, которые прилагаются к защите персональных данных всеми нашими сотрудниками и партнерами, – комментирует Ада Быковская, руководитель интернет-проектов МККК С нашими стандартами можно ознакомиться онлайн, они демонстрируют, с какой тщательностью мы подходим к этому вопросу, вне зависимости от контекста».

Таким образом, даже если формально в организации не действуют положения GDPR, она самостоятельно может выбрать линию поведения. В данном случае МККК разработал собственные стандарты, основываясь на принципах регламента.

Алгоритм определения сферы действия GDPR. Изображение с сайта habr.com.
Алгоритм определения сферы действия GDPR. Изображение с сайта habr.com.

Из схемы понятен первый и главный критерий применения GDPR: регистрация в ЕС (или в трех странах Европейской ассоциации свободной торговли: Исландии, Лихтенштейне, Норвегии). Второй критерий: предоставление услуг или товаров лицам, находящимся в ЕС. В этих двух случаях однозначно работают правила регламента.

В схеме также обозначен мониторинг – здесь речь идет о потенциальной возможности обработать персональные данные, например, для прогнозирования предпочтений и особенностей поведения пользователей. Если, например, компания изучает поведение лиц, находящихся в ЕС (с помощью Яндекс Метрики или Google Analytics), чтобы продавать им товары или услуги, она подчиняется GDPR.

Пока эксперты говорят лишь о возможном прямом или косвенном применении регламента к российским компаниям. Полина Колозариди, социолог, интернет-исследователь, координатор Клуба любителей Интернета и общества, считает: ждать, пока примут российский GDPR, неправильно, государство – это только один из стейкхолдеров (заинтересованных сторон. – Прим. ред.), который имеет свою ставку в дискуссии о цифровых правах: «Представители бизнеса также преследуют свои интересы. А вот есть ли у нас общественные движения, готовые работать с разными группами людей и защищать их свободу в Сети – большой вопрос».

На рассмотрение регламента ушло четыре года. К моменту вступления в силу этого документа больше половины IT-компаний оказались не готовы к нововведениям. С учетом скорости развития современных технологий его положения вызывают все больше вопросов. Однако работа в этом направлении кажется хоть и трудным, но необходимым этапом.