Фото для иллюстрации

В Евросоюзе готовятся работать в интернете по новым правилам. 25 мая 2018 года вступает в силу Регламент ЕС N 2016/679 о защите физических лиц при обработке персональных данных, основная задача которого – предотвратить их неоправданное использование и утечку.

Прежние правила действовали с 1995 года. Новые были приняты после четырёх с лишним лет обсуждения и стали результатом серьёзного ужесточения и унификации всех существовавших на протяжении двадцати лет и различавшихся в разных европейских странах норм о защите персональных данных.

Европарламент окончательно ратифицировал «Общие положения о защите данных» (General Data Protection Regulation, GDPR) в апреле 2016 года. Закон основан на двух нормах законодательства, образующих вместе пакет по защите данных: постановление об обращении персональных данных в Европейском Союзе и директивы по данным, обработанным полицией и судебными органами.

Новая система распространяется на следующие категории субъектов:

  • организации, учреждённые в ЕС, осуществляющие и контролирующие «обработку» персональных данных;
  • организации, осуществляющие обработку персональных данных европейских граждан в связи с реализацией товаров или услуг;
  • организации, осуществляющие мониторинг поведения европейских граждан в сети интернет, включая последующую их обработку, для составления «профилей» пользователей;
  • организации, учреждённые за пределами ЕС, чья деятельность по обработке персональных данных связана с предложением товаров и услуг (даже безвозмездным) субъектам данных в Евросоюзе.

Права носителей данных

Под понятием персональных данных в GDPR подразумевается любая информация, позволяющая раскрыть личность пользователя сети: от фото до адреса интернет-протокола. Одной из главных целей Еврокомиссии при разработке новой системы было повышение защиты прав граждан. GDPR даёт новые и гарантирует настоящие права физическим лицам, а также устанавливает ограничения для юридических лиц в данной сфере.

В частности, это право лица требовать информацию об обработке его персональных данных, право доступа к данным при определённых обстоятельствах, исправления неправильных данных, возражения против обработки данных в целях прямого маркетинга и требования их возврата. Иными словами, компании должны быть готовы предоставить сведения о том, как они распоряжаются персональными данными физических лиц, а также перенести или уничтожить их по запросу.

В этой связи GDPR обязует организации публиковать корпоративные политики защиты данных в понятном и легкодоступном для пользователей виде. Специальные «иконки» на веб-сайтах будут объяснять, каким образом, кем и под чью ответственность будет обрабатываться информация.

Изменяются условия получения согласия на обработку персональных данных. Согласие должно быть дано свободно, быть конкретным, информативным и однозначным. Запросы на получение согласия должны быть чётко отделены от других условий, а также изложены чётким и понятным языком.

Одним из важнейших изменений, которые вводит в обиход GDPR, является «право на забвение», то есть на полную ликвидацию персональных данных из баз данных по желанию их обладателя. «Право на забвение» касается не только фото, но и другой информации о личной жизни и профессиональной деятельности человека.

Обязанности обработчиков данных

Существенным отличием новой системы от предшественниц – определение прямых обязанностей обработчиков данных. Речь идёт, например, об обязанности вести письменный реестр операций по обработке персональных данных; назначить, если требуется, инспектора по защите данных, представителя в ЕС (если у обработчика нет представи­тельства в ЕС); уведомлять регулятора и самих пользователей об имевших место случаях взлома или компрометации персональных данных (не позднее 72 часов с того момента, как организации стало известно о взломе).

Регламент также содержит обязательство получения согласия детей на обработку их персональных данных и реализации целого ряда мер организационного характера в отношении управления личной информацией, включая оценку воздействия на личность высокорискованных методик по обработке персональных данных, бдительность при выборе субподрядчиков, участвующих в обработке, и учёт всех действий по обработке персональных данных.

При определённых условиях организации обязаны в рамках своей программы отчётности назначать ответственное лицо – инспектора по защите данных (Data Protection Officer). Это будет происходить в том случае, если обработка данных осуществляется государственным органом, если основная деятельность организации требует регулярного и систематического мониторинга субъектов данных или при обработке специальных категорий данных.

Штрафы

GDPR устанавливает многоуровневые санкции в зависимости от состава нарушения законодательства о за­щите данных:

  • 20 млн евро или 4% от оборота (большее из указанного) за нарушение требований к международной передаче данных, основных принципов, прав субъектов персональных данных и некоторые другие нарушения;
  • 10 млн евро или 2% от оборота (большее из указанного) за нарушение положений о получении согласия на обработку персональных данных детей, принятии технических и организационных мер для их защиты, назначении представителя в ЕС и др.

В комментариях к регламенту поясняется, что вместо штрафа может быть сделан выговор в тех случаях, когда совершённое правонарушение является незначительным или наложенный штраф будет чрезмерен (несопоставим с нарушением). Полномочия по определению конкретных сумм штрафов предоставлены национальным органам власти государств-членов ЕС.

Новая «цифровая» война?

По мнению аналитиков, вступление в силу GDPR может привести к новому конфликту России и Европейского союза. Причиной тому является закон Ирины Яровой, обязывающий российских операторов начиная с июля 2018 года хранить трафик всех клиентов в течение шести месяцев.

«Законодательство ЕС предполагает избирательное хранение данных пользователей и не всех, а только определённых – в целях обеспечения национальной безопасности и правопорядка и только при наличии соответствующих подтверждений от спецслужб, а закон Яровой подразумевает хранение данных всех абонентов без исключения», – указывает на разницу европейского и российского подхода директор по стратегическим проектам Института исследований интернета Ирина Левова.

«В законе Яровой нет норм, ограничивающих или запрещающих хранение трафика иностранных граждан или подданных. Если же российская компания будет хранить данные пользователя из ЕС без его согласия или предоставит эти данные российским правоохранительным органам без решения суда, она нарушит новый регламент Евросоюза, что неизбежно и грозит серьёзными последствиями», – вторит Левовой аналитик Российской ассоциации электронных коммуникаций Карен Казарян.

Это может привести к тому, что в соответствии с GDPR Евросоюз исключит Россию из перечня стран с адекватным уровнем обработки персональных данных и значительно осложнит взаимодействие европейских и российских операторов связи. Тем не менее ни Москва, ни Брюссель не проявили заинтересованность в разрешении потенциального конфликта. В январе руководитель Роскомнадзора Александр Жаров повторил, что требования европейского законодательства по защите персональных данных на российских операторов на территории Российской Федерации распространяться не будут.

comments powered by HyperComments