Вступает в силу регула ЕС: теперь персональные данные – это ваша собственность

«Мировую паутину» ждут большие перемены. С 25 мая вступает в силу Регламент ЕС 2016/679 (General Data Protection Regulation (GDPR); Общий регламент по защите данных). Он определяет новые правила получения, хранения, обработки и использования персональной информации. Безусловно, это коснется как онлайн-торговцев, так и поисковые системы, социальные сети – и, конечно же, процессинговые компании.

Bilderlings рассказывает об особенностях грядущих перемен.

Если предельно кратко: резиденты ЕС получают широкий спектр возможностей для полного контроля над своими персональными данными. Попросту, на эти данные фактически распространяется право собственности субъекта.

Прежде сходные функции в Евросоюзе выполняла рамочная директива ЕС от 1995 года. Во-первых, отличие директивы от регламента (регулы) в том, что регула – это документ прямого действия. То есть, если директива предусматривает необходимость внесения изменений в национальное законодательство стран-участниц ЕС, поэтому каждая страна в итоге решает этот вопрос по-своему, то регула действует непосредственно во всех 28 странах Евросоюза. И не только.

Документ европейский, но читай «мировой»

Если в ходе деятельности компании используются персональные данные резидентов ЕС – даже когда сама компания находится за пределами союза – она должна строить свою деятельность в соответствии с GDPR. Более того: этим требованиям должна отвечать и вся цепочка ее бизнес-партнеров.

К примеру, теперь любой китайский интернет-магазин, который, в ходе своей деятельности целенаправленно предлагает резидентам ЕС товары или услуги, должен работать в соответствии с GDPR. Здесь надо сделать акцент на слове «целенаправленно». Это значит, что компания активно выходит именно на европейскую целевую аудиторию, предлагая им свой продукт на понятных для них национальных языках, за национальную валюту или евро, осуществляя свою деятельность на национальных доменах верхнего уровня Евросоюза.

Если тот же китайский магазин формально ориентирован только на Поднебесную, даже если его сайт имеет и англоязычный вариант, соблюдение GDPR не требуется. Любой европеец по собственному выбору может обратиться в такую компанию. Возможно, он получит качественные товары и услуги, но никакого права распоряжаться предоставленными персональными данными у него в этом случае не возникает.

В свою очередь и такая компания de facto будет проигрывать в конкурентной борьбе. Во-первых, не имея прямого доступа на европейский рынок. А во-вторых, теряя потенциальных бизнес-партнеров, которые работают, соблюдая положения нового регламента. 

Точно так же правила GDPR должны соблюдаться, если некая структура проводит среди резидентов ЕС – или на его территории, в том числе, в его сегменте Интернета – социологический, маркетинговый или иной мониторинг, который предусматривает использование персональной информации.

То есть, документ фактически носит экстерриториальный характер и в итоге он неизбежно повлияет на онлайн-специфику во всем мире. За его нарушение предусмотрены очень значительные штрафные санкции: до 20 млн. евро или до 4% годового оборота компании.    

Знать только самое необходимое

«Персональные данные», понятие довольно широкое. Во-первых, это информация, которая непосредственно идентифицирует личность. Во-вторых, это информация, которая с большой долей вероятности делает такую идентификацию возможной. В-третьих, это информация, которая относится к идентифицируемому человеку (например, сведения о материальном положении и личной жизни). Сюда же можно отнести информацию о финансовых операциях, об образовании, об убеждениях, о сексуальной ориентации и т.д., вплоть до адреса электронной почты.

Пока неясно, в каких границах оформит это понятие практика правоприменения GDPR. Точно так же, как пока трудно сказать, что будет с системами искусственного псевдоинтеллекта, на которых основана уже ставшая привычной и удобной для многих система BIG DATA.

Согласно новой регуле, компания отныне будет обязана:

  • Получить предварительно явно выраженное согласие субъекта на обработку его персональной информации. Причем человек должен быть поставлен в известность, каким образом эта информация будет использована.
  • Информация о человеке должна собираться в минимально-необходимом объеме и использоваться только и исключительно для заявленных целей.
  • Формы хранения информации должны быть такими, чтобы идентифицировать субъекта данных было возможно только на срок достижения этих целей.
  • Информация, которая позволяет идентифицировать личность человека должна храниться отдельно от остальной его персональной информации.
  • В случае взлома базы данных, или иного их похищения, необходимо поставить в известность органы власти и пользователей в течение 72 часов.
  • В каждой крупной организации вводится должность Data Protection Officer (Инспектор по защите данных).
  • В каждой стране создается соответствующая структура: национальный регулятор в сфере персональных данных. Со списком национальных регуляторов по всем странам ЕС уже можно ознакомиться в Интернете.

«Право на забвение»

В свою очередь субъект данных (физическое лицо, резидент ЕС) отныне имеет право:

  • Получать информацию о том, где, как, в какие сроки и с какой целью обрабатываются их данные, а также какие третьи лица имеют к ним доступ.
  • Уточнять, откуда компания получила его персональные данные и, при необходимости, вносить в них изменения.
  • Дальнейшее развитие получило и «право на забвение» (right to erasure, right to be forgotten), которое существовало еще в действовавшей прежде Директиве. То есть, по требованию европейца вся его персональная информация должна быть удалена из баз данных и результатов работы поисковых систем. Но – только в том случае, если эта информация не представляет общественной значимости, а ее удаление не нарушает фундаментальных прав человека.

В работе процессинговой компании, в частности — Bilderlings, это право имеет свою, более узкую специфику. Например, информация о клиенте должна быть удалена из текущей базы данных в случае окончания или расторжения договора. Точно так же, в случае возникновения каких-либо подозрений, клиент может запросить, какая информация о нем существует в нашей базе данных, как она была получена и кому могла быть передана. Ответ мы обязаны дать в течение 30 дней.

  • Одно из новшеств GDPR, это Право на перенос данных (right to data portability). По требованию субъекта персональной информации его данные должны быть бесплатно предоставлены третьей стороне. В случае процессинговой компании это бывает необходимо, например, если клиент переходит в другую фирму.
  • Особо оговаривается в документе защита прав несовершеннолетних. Возрастной предел каждая из стран устанавливает самостоятельно, как правило, это 13-16 лет. До этого возраста обработка персональных данных несовершеннолетнего возможна лишь с согласия родителей или лиц, их заменяющих.

Двойная ответственность

В целом регула занимает 260 страниц и осветить подробно все ее аспекты в небольшой статье не представляется возможным. Безусловно, многим компаниям потребуется очень серьезная переработка своего программного обеспечения.

Однако процессинговые компании традиционно уделяют большое внимание мерам по защите финансовой и личной информации своих клиентов. Существует стандарт PCI DSS, подтверждающий высший уровень защиты информации. Фактически он гарантирует выполнение всех требований GDPR и мы рады признать, что Bilderlings этому стандарту соответствует.

В то же время и прошедшие с момента принятия GDPR два года мировые разработчики софта не сидели, сложа руки. Так, компания Microsoft в свой программный продукт бизнес-класса, использующий «облачные» технологии, Office 365 внедрила GDPR Compliance Manager.

Это приложение, как следует из названия, предназначено для проверки соответствия практики работы с данными в организации требованиям регулы ЕС. Оно доступно пользователям Office 365, в том числе и нашей компании. Приложение предоставляет все необходимые инструменты и анализирует скопированные в него документы. Итогом становится список рекомендаций, либо констатация соответствия вашей бизнес-структуры требованиям GDPR. 

«Разумеется, новые меры безопасности усложняют деятельность компаний, которые работают с финансами. Если прежде мы беспокоились прежде всего о деньгах клиента, а всё остальное было своего рода дополнительной гарантией с нашей стороны, — то теперь наша зона обязательной ответственности расширилась. Деньги – и личная информация клиента становятся практически равноценными. Но мы к этому уже были готовы», — подчеркивает Сергей Кравченко, руководитель отдела информационной безопасности Bilderlings

0 Comments Присоединиться к дискуссии →