GDPR — новые правила обработки персональных данных

В мае 2018 года на территории Европейского союза начал действовать новый регламент по защите персональных данных. Главное отличие GDPR от своего предшественника — обязательность исполнения требований не только компаниями из стран еврозоны, но и зарубежными партнёрами, которые официально оказывают услуги на данной территории. Несоблюдение регламента может обойтись отечественным организациям в сумму до 20 миллионов евро или штрафом в размере 4% годового дохода.

Зона действия

GDPR касается любой компании, чья работа целенаправленна на территорию Европейского союза. Таким образом, регламент касается международных организаций, имеющих официальное представительство в Европе, а отечественным владельцам небольших сайтов исполнять новые правила нет необходимости. Если, например, житель одного из европейских государств зарегистрируется на российском веб-ресурсе, то указанные личные сведения должны быть обработаны в соответствии с законодательством РФ, а не “General Data”.

Критерии, по которым оценивается направленность ресурса на граждан ЕС, представлены ниже:

• использование в интерфейсе языка одного из государств Еврозоны;
• упоминание европейской валюты на страницах интернет-магазина;
• анализ поведения европейских граждан;
• любой другой намёк на жителей Европы в качестве целевой аудитории.

Также учитывается «активность» компании в сборе сведений — при случайном, пускай и массовом взаимодействии ресурса с европейскими пользователями положения GDPR могут быть проигнорированы.

С другой стороны, под регламент попадают отечественные гостиницы и хостелы, предоставляющие услуги онлайн-бронирования.

Персональные данные

Под персональными данными в обновлённом регламенте необходимо понимать любые сведения, позволяющие в той или иной степени идентифицировать физическое лицо. К личной информации относятся:

• фамилия и имя пользователя;
• место проживания;
• дата рождения и номер телефона (только в связке с именем);
• адрес электронной почты, содержащий в себе имя владельца аккаунта («зашифрованные» логины под регламент фактически не попадают);
• паспортные и биометрические данные;
• место работы, доход и тому подобные сведения.

Важно отметить, что некоторые из перечисленных пунктов могут не попадать под классификацию персональных данных. При невозможности распознать человека по лишь одному признаку представленный атрибут не будет считаться личным: например, номер телефона и место трудоустройства сами по себе ничего не значат и приобретают ценность только в связке с именем или биометрическими данными.

Основные принципы

Грубо говоря, вся сущность GDPR сводится к следующим принципам:

• прозрачная политика обработки пользовательских данных. Компания обязана предельно ясно излагать свои цели и средства обработки персональных данных.
• Соблюдение заявленных целей. Организация не имеет права использовать полученную информацию о человеке в отличных от декларированных целях.
• Общее уменьшение баз данных. Любая компания должна стремиться снизить объём получаемых персональных данных — запрещается собирать больше необходимого для оказания качественных услуг количества информации.
• Релевантность сведений. Любая недостоверная информация о пользователе и потребителе должна быть исправлена по просьбе физического лица или полностью стёрта из без данных.
• Соблюдение конфиденциальности. Любые сведения должны быть защищены от использования третьими лицами, также организация обязана гарантировать сохранность информации от несанкционированных корректировок или удвоения.
• Временные ограничения. Компания не может хранить персональные данные дольше, чем это необходимо для оказания услуг — после завершения отношений с пользователем все полученные сведения должны быть удалены или сведены к необходимому минимуму.

Также физическое лицо вправе потребовать у компании отчёт об использовании предоставленных ей сведений.

Главное требование

Ключевое требование к организациям — уведомлять представителей власти о нарушениях нового регламента в течение трёх суток после обнаружения несоответствия собственных действий закону. В некоторых случаях фирма также обязана отчитываться перед пользователями.

Осенью 2017 года стало известно о кибер-атаке на базы данных сервиса Uber, которая случилась ещё в 2016 году и привела к утечке сведений о 57 миллионах пассажиров и водителей. Компания скрывала факт нападения в течение целого года — сегодня подобное умалчивание стало бы причиной штрафа в размере 4% от ежегодной выручки. Описанная ситуация прекрасно иллюстрирует главное требование GDPR.

Что делать?

Теперь любая организация, осуществляющая деятельность на территории Европейского союза, обязана «дотянуть» свою политику конфиденциальности до норм нового регламента и уведомить о данных изменениях пользователей. Ниже представлены дополнительные рекомендации по соблюдению GDPR для компаний в области высоких технологий и онлайн-услуг.

Аккаунты

Количество хранящихся в аккаунтах пользователей сведений должно быть сведено к минимуму.

Также европеец имеет право на безопасный перенос личной информации с одного ресурса на другой — в случае подобного требования организация обязана гарантировать не только безоговорочную передачу сведений указанному получателю, но и сохранность персональных данных от посторонних лиц.

Услуги

Услуга должна оказываться анонимно.

Также полученная информация о потребителе подлежит удалению из баз данных после окончания отношений организации и физического лица.

Приложения

Разработчики приложений должны убрать всю информацию о пользователях из публичного доступа, если противное не подразумевается принципами функционирования сервиса — например, владельцы социальных сетей обязаны предоставить физическому лицу возможность самостоятельной анонимизации учётной записи, но не скрывать персональные данные «исподтишка».