GDPR: мифы и реальность

В Евросоюзе вступил в силу "Общий регламент по защите данных" (Регламент ЕС 2016/679 или GDPR — General Data Protection Regulation). Вишенкой на этом торте стало экстерриториальное действие документа: он применяется к любым обрабатывающим персональные данные резидентов и граждан ЕС компаниям независимо от их местонахождения. Разумеется, это окажет серьезное влияние на бизнес по всему миру.

Многие интернет-сервисы обновили соглашения о конфиденциальности, а свежие версии популярных мобильных приложений в последние дни валятся пачками. В примечаниях к релизам почти везде мелькает "GDPR, GDPR, GDPR…" Крупные российские компании не остались в стороне от этого праздника жизни: в Сбербанке, к примеру, готовы выложить 67,4 миллиона рублей за аудит своих систем. Сегодня мы попробуем разобраться, чем грозят изменения в европейском законодательстве отечественному бизнесу и как можно избежать связанных с ними рисков.

Как это работает?

Вокруг GDPR ходит множество слухов, поскольку формулировки в регламенте использованы достаточно общие и детали его практической реализации пока неясны. Никому не хочется на ровном месте заплатить штраф в 20 миллионов евро или 4% от мирового оборота компании. В целом все довольно логично, документ определяет, какие данные следует считать персональными — это любая информация об идентифицированном или идентифицируемом физическом лице (субъекте данных), позволяющая прямо или косвенно его определить.

Сюда может относиться имя, геолокационные сведения, различные онлайн-идентификаторы, а также "один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица". В общем, практически все, вплоть до IP-адресов, результатов анализов из поликлиники и подробностей личной жизни. Особо конфиденциальной (чувствительной) считается информация о расовой принадлежности, политических, религиозных или философских взглядах и членстве в профсоюзах. Медицинские, генетические и биометрические данные также защищены особо, наряду с сексуальной ориентацией.

Все очень серьёзно, европейские законодатели разделили понятия контроллера или сборщика данных (data controller) и обработчика данных (data processor). Первые определяют политику использования и занимаются сбором данных, а на хилые плечи вторых ложится обработка информации с согласия сборщиков. Процессором может быть сторонняя организация, к примеру, облачный сервис, который используют ваши сотрудники для работы, если там лежат данные клиентов. Ваша фирма, при этом, будет считаться контроллером. Помимо понятия обработки персональных данных, в GDPR вводится и понятие мониторинга поведения субъектов данных. Сюда попадает отслеживание резидентов ЕС в глобальной сети, а также профилирование отдельных лиц (анализ личных предпочтений и тому подобные вещи).

Дальше все просто. Общий подход описан в шести основных принципах регламента. Обработка персональных данных должна производиться законно, справедливо и прозрачно. Данные должны собираться и использоваться только в тех целях, которые были заявлены. Запрещается собирать данные в больших объемах, чем это необходимо для заявленных целей обработки.

Неточные данные должны быть удалены или исправлены по требованию физического лица. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки. При обработке данных необходимо обеспечить их защиту от несанкционированной или незаконной обработки, уничтожения и повреждения. В общем, "за все хорошее и против всего плохого".

Гражданам и резидентам ЕС GDPR даёт достаточно широкие права, а к юридическим лицам предъявляет серьезные требования. Полное их описание выходит за рамки статьи, приведём только наиболее интересные с нашей точки зрения. Юридические лица обязаны уведомлять регулирующие органы или, в ряде случаев, субъектов данных при возникновении связанных с персональными данными нарушений. Сроки очень короткие — 72 часа с момента обнаружения нарушения, то есть утаивать годами связанные с успешными хакерскими атаками на ИТ-инфраструктуру утечки компании уже не смогут.

Пользователи имеют право запрашивать подтверждение факта обработки, категории данных, а также место, цели и период их обработки. Они могут получить список третьих лиц, которым передана информация, уточнить источник, из которого организация черпает персональные данные и даже потребовать их исправления или удаления (так называемое "право на забвение"). Не менее интересно и право на переносимость данных (right to data portability): по требованию субъекта компании обязаны бесплатно предоставить электронную копию персональных данных другому юридическому лицу.

Требуется явное согласие пользователя на обработку персональных данных, выраженное в форме утверждения или в форме активных действий. Мало того, согласие можно будет признать недействительным, если у пользователя не было выбора или отсутствовала возможность его отозвать без ущерба для себя. Дети на особом счету, их персональные данные можно обрабатывать только с согласия родителей или других законных представителей — чётких возрастных рамок при этом нет, входящие в Евросоюз страны устанавливают порог самостоятельно в диапазоне от 13 до 16 лет.

Кого это коснётся?

Российские компании могут попасть под действие  GDPR, если они работают с гражданами и резидентами Евросоюза. Даже если в вашей базе всего один такой клиент, требования регламента соблюдать придётся. Мало того, их придётся соблюдать если вы просто оказываете услуги собирающим персональные данные европейцев компаниям и организациям. В первую очередь в категорию риска попадает финансовый сектор (Сбербанк не просто так выделил десятки миллионов на аудит), энергетические и нефтегазовые компании и наша любимая сфера: медиа, ИТ, телеком. Очень показательный пример мы уже упомянули — массовое изменение онлайн-сервисами соглашений о конфиденциальности и обновление мобильных приложений. Если вы делаете популярную в странах ЕС игру для смартфонов, антивирус или, скажем, программу для блокировки нежелательных звонков, изменения в законодательстве придётся учитывать, несмотря на российскую прописку.

Немалые риски у туроператоров, гостиниц, а также у занимающихся онлайн-продажами компаний, все категории страдальцев перечислить сложно. При этом совершенно неважно, есть у вас юридическое лицо в одной из стран-членов или нет: в глобальном мире граждане Евросоюза могут покупать через интернет товары или услуги на территории России. Скажем, если РЖД продаст немцу билет на поезд Москва — Владивосток через свой сайт, компании тоже придётся соблюдать требования GDPR.

Дело осложняется тем, что документ не содержит каких-то конкретных технических требований: использование шифрования, пересмотр инфраструктуры, обеспечение максимальной безопасности. Формулировки, повторимся, довольно расплывчаты. Проблема, кстати, не специфична для российского бизнеса — работающим на европейском рынке американским компаниям тоже приходится перестраивать свою инфраструктуру на новые правила игры и эта работа ещё далека от завершения.

Есть ли свет в конце туннеля?

Пожалуй, самое время перейти от страшилок к части практической. Как мы уже говорили, вокруг GDPR возникло много мифов и самый главный из них — необходимость хранить персональные данные европейцев на территории ЕС. Такого требования нет, и этим новый европейский регламент выгодно отличается от российских законов о персональных данных, которые тоже имеют экстерриториальное действие.

Другое заблуждение касается права на забвение. На самом деле оно не абсолютно и субъект не может требовать удаления персональных данных, если они представляют общественный интерес. Радостная новость для СМИ: свобода слова и прочие фундаментальные права из статьи 11 Хартии Европейского союза круче личного права на забвение. Бизнес тоже важнее, GDPR требует удалять данные, только если для их сохранения отсутствуют веские деловые причины.

Многим компаниям придётся потратить некоторую сумму денег на перестройку ИТ-инфраструктуры. Как минимум нужно провести аудит и привести в порядок "размазанную" тонким слоем по множеству систем информацию. Если вдруг потребуется по запросу собрать все данные гражданина Евросоюза и удалить их, вы должны иметь возможность это сделать.

Речь не идёт о разовом проекте. Работая на рынке ЕС, вы должны отладить бизнес-процессы таким образом, чтобы они соответствовали регламенту и в будущем. Тем не менее, европейские законодатели не ставят перед собой задачу уничтожения вашего бизнеса, им нужно только защитить тайны своих граждан. Введённые ограничения очень больно ударят по компаниям, зарабатывающим на агрегации и продаже данных клиентов, но прочий бизнес особо не пострадает. Потратиться, повторимся, придётся. Возможно, вам потребуется внешний аудит или услуги системных интеграторов, но ничего фатального не произойдёт.

Как дальше жить?

Изначально интернет был экстерриториальным и до поры до времени государства не обращали на это особого внимания, но сеть росла и объемы попадающих в неё персональных данных также увеличивались. Сейчас интернет знает о человеке практически все и государства уже не могут закрывать на это глаза. Экстерриториальная структура потребовала экстерриториальных законов и они появились.

Сходный подход уже используется в России, теперь на горизонте возник GDPR. Скорее всего, другие государства последуют этим примерам и тоже потребуют у международного бизнеса защищать персональные данные своих граждан вне зависимости от местонахождения компании. Получится у их это или нет, зависит только от объема национального рынка. Рынок ЕС важен для всех и потому европейские политики могут диктовать бизнесу свои условия. Нравятся они вам или нет, соблюдать новые правила игры придётся или вас просто выгонят с этого рынка.