Защита персональных данных по европейским принципам: необходимость или преувеличение?

Защита персональных данных по европейским принципам: необходимость или преувеличение?

Недавно многие украинские компании, которые работают не только на отечественный рынок, но и на Европу, испытали длительное волнения вследствие принятия Европейским союзом некоего GDPR.

Вследствие этого довольно существенных изменений претерпело регулирование и защита персональных данных лиц, а также, что наиболее важно – штрафы, налагаемые за нарушение условий хранения этих данных.

Что же такое этот GDPR и с чем его едят?

General Data Protection Regulation (2016/679) – это общий регламент о защите данных (далее будем называть его Регламент), был принят 27.04.2016 и начал действовать 25.05.2018.

Регламент стал ориентиром в регулировании обработки персональных данных и существенно изменил то, как компании собирают, обрабатывают и защищают персональные данные европейцев.

Да, именно европейцев, поскольку в первую очередь, он создан и разработан для защиты их персональных данных.

Для начала нужно определить понятие персональных данных.

Национальное законодательство, а именно Закон Украины «О защите персональных данных», дает следующее определение персональных данных – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Регламент определяет персональные данные как любую информацию, касающуюся физического лица, которое идентифицировано или можно идентифицировать прямо или косвенно, в частности, по таким идентификаторами как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или по одному, или по нескольким факторам, что являются для нее определяющими, физиологической, генетической, умственной, экономической, культурной или социальной сущности такого физического лица.

Проще говоря, понятие персональных данных, определенное Регламентом, включает в себя информацию о лице, которое идентифицировано или может быть идентифицировано с помощью такой информации, включая данные, которые можно объединить с другой информацией для идентификации личности.

Однако, не все так просто, как кажется. На самом деле, персональные данные – очень широкое определение. Оно может зависеть от обстоятельств и может включать данные, касающиеся идентичности, характеристик или поведения лица или влияет на то, как этот человек оценивается.

Например, персональными данными могут быть:

  1. фамилия, имя и отчество;
  2. дата рождения;
  3. адрес проживания;
  4. номер телефона;
  5. комментарии/оценки к контенту;
  6. адрес электронной почты;
  7. фото;
  8. номер кредитной карты;
  9. подборка любимых фильмов;
  10. IP-адрес;
  11. геолокации и история передвижений.

Некоторая информация о личности не может ее идентифицировать, поэтому, например, следующая информация не является персональными данными, соответственно не попадает под регулирование Регламента:

  • полностью анонимизированные данные (например: имя и любимое блюдо, без получения другой информации);
  • персональные данные умерших.

Как я уже говорил, регламент разработан и создан для защиты персональных данных европейцев, но это понятие охватывает несколько более широкую категорию лиц, кроме именно граждан европейского союза.

Так, в Регламенте указано, что его действие распространяется на персональные данные «Who are in the union», следовательно, GDPR распространяется как на граждан ЕС, так и на других лиц, находящихся в ЕС (то есть, на его территории).

Например, это могут быть:

  1. клиенты/пользователи/подписчики сервиса (даже если они не платят за сервис)
  2. сотрудники;
  3. подрядчики-ФЛП или подрядчики-физические лица.

Как же владельцу компании понять, подпадает ли его компания под действие норм этого регламента?

Учитывая изложенные выше обстоятельства логично сделать вывод, несмотря на то, что этот документ принят в ЕС, его действие распространяется как украинские компании, так на и компании из других стран, если или граждане Евросоюза каким-либо образом связаны с компанией, или компания предоставляет услуги на территории ЕС.

Соответствовать требованиям Регламента, прежде всего, надо компаниям, которые обрабатывают персональные данные людей с ЕС в любой форме, будь то гугл-таблицы, гугл-формы, или другой способ обработки данных.

Очень важной составляющей законной обработки данных является получение согласия, которое является самым простым способом получить право на такую ​​обработку. Правильно прокоммуницированное согласие должно предоставить людям контроль над их данными и укрепить доверие к вам. Помните, согласие не может быть молчаливым.

Существует следующий алгоритм действий для получения согласия:

  1. Предоставьте возможность пользователю ознакомиться с политиками вашей компании по персональным данным. Не стоит прятать эти документы очень далеко. На практике это может быть реализовано как ссылка на сайт, всплывающее окно и т.п.
  2. Предоставьте пользователю выбор: в каком объеме предоставлять вам свои персональные данные и с какой целью.
  3. Галочки по умолчанию не должны быть отмечены. Согласие на обработку данных для маркетинговых целей должно собираться отдельно (например, отдельной галочкой или кнопкой).
  4. Перед получением согласия объясните условия использования данных. Как вы будете их использовать и с какой целью, кому передавать, сколько хранить и т.п.

Ну и наконец, возможно не самая интересная, но самая большая, в цифровом выражении, часть регламента – штрафы за его нарушение.

Штрафы установлены в размере 10 и 20 миллионов евро (или 2 и 4 процента соответственно) от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше – фиксированный размер штрафа или процентный.

Поэтому советуем с особой осторожностью и внимательностью относиться к соответствию требованиям Регламента, поскольку, в случае их нарушения налагаются, как вы видите, очень большие штрафы, а в случае неуплаты этих штрафов – компания теряет возможность работать на рынке Европейского союза.

Правила Общего регламента о защите данных носят довольно жесткий характер именно для компаний, которые обрабатывают данные третьих лиц, однако, на мой взгляд, эта жесткость полностью обоснована, так как защита персональных данных лица является залогом его безопасности и безопасности его близких, как финансовой, так и личной, так как нарушение конфиденциальности данных лица может служить инструментом для совершения преступлений, начиная с воровства средств злоумышленниками и шантажа, до преследований граждан для полного контроля над всеми звеньями общества и даже для нарушения национальной безопасности других стран.