2020/11/27 11:39:51

GDPR
General Data Protection Regulation
Регламент Евросоюза о персональных данных

Общеевропейский регламент о персональных данных предназначен для того, чтобы защитить конфиденциальность персональных данных граждан Евросоюза и контролировать то, каким образом компании и организации обрабатывают, хранят и используют эти данные. Таким образом, положение регламента применимо к любой компании любого размера вне зависимости от того, где она расположена и где произошло событие по передаче персональных данных.

Содержание

2024: Еврокомиссия нарушила правила защиты данных при использовании Microsoft 365

Европейский надзор по защите данных (EDPS) определил, что Еврокомиссия нарушила правила защиты данных при использовании облачного программного обеспечения Microsoft 365. Об этом 13 марта 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина. Подробнее здесь.

2022

Крупные штрафы за нарушение закона о персданных в ЕС

Крупнейшие штрафы за нарушение закона о персданных в ЕС на 6 сентября 2022 г
Instagram и Facebook признаны экстремистскими организациями и запрещены в России

Европол заставили уничтожить 4 Пбайт незаконно собранных персональных данных граждан ЕС

Европейский надзорный орган по защите данных (EDPS) в январе 2022 года вынес Европолу постановление о необходимости удалить данные граждан ЕС, которые, по мнению регулятора, хранятся незаконно. Подробнее здесь.

2021

Крупнейшие штрафы

К июня 2021 г за нарушение GDPR с момента запуска с мая 2018 было наложено 648 штрафов на более чем €283 млн. Самое крупное наказание получил Google - €50 млн, банки также получали штрафы:

  • румынский Unicredit Bank SA был оштрафован на €130 тыс за раскрытие персональных данных плательщика (место жительства, личный номер) получателям денег;
  • итальянский UniCredit bank получил штраф €600 тыс за предоставление партнеру данных 700 тысяч клиентов;
  • румынский РайффазенБанк был оштрафован на €150 тыс за отправку данных 1177 клиентов по Whatsapp, позже штраф был сокращен до €15 тыс;
  • румынский Banca Transilvania за раскрытие "деловой" переписки с клиентом в интернете получил штраф €100 тыс.

В России аналогом европейского GDPR является ФЗ-152 О персональных данных: за невыполнение требований по обработке информации, в результате которого произошла утечка, штраф для физ. лиц 4-10 тыс. рублей, для компаний – 25-50 тыс. рублей.

Хранение данных европейских пользователей облачных сервисов в ЕС

Microsoft обязалась хранить в ЕС данные европейских пользователей облачных сервисов. Об этом компания сообщила 6 мая 2021 года. Подробнее здесь.

2020

Евросоюз разрешил открыть бизнесу доступ к обезличенным личным данным для развития новых сервисов

В конце ноября 2020 года Европейский Союз представил новые правила, позволяющие компаниям получать доступ к обезличенным публичным и личным данным. Это позволит европейским компаниям конкурировать с американскими и азиатскими технологическими гигантами и поощрит инновации в таких областях, как защита климата и здоровья.

Правила, инициируемые Европейской комиссией, предоставят предприятиям и исследовательским организациям доступ к данным, которые обычно блокируются из-за закона о неприкосновенности частной жизни, коммерческой конфиденциальности или прав интеллектуальной собственности. Новые правила также упростят передачу данных для некоммерческих исследований.

ЕС позволил открыть бизнесу доступ к обезличенным личным данным для развития новых сервисов

При этом по-прежнему будут применяться жесткие правила защиты данных, называемые Общим регламентом защиты данных или GDPR, поэтому компаниям и государственным учреждениям потребуется внедрять специальные технические решения для обеспечения конфиденциальности. Например, личные данные должны быть анонимизированы, прежде чем компании смогут получить к ним доступ.

«
Поскольку роль промышленных данных в нашей экономике постоянно растет, Европе необходим открытый, но суверенный единый рынок данных, - сказал комиссар по внутреннему рынку Тьерри Бретон (Thierry Breton), добавив, что новые правила регулирования «помогут Европе стать лидером на мировом рынке данных.
»

Таким образом ЕС надеется поощрить предприятия для создания новых услуг и продуктов, а также помочь исследователям в решении социальных проблем. В соответствии с новыми правилами, компаниям больше не придется иметь штаб-квартиры в Европе или хранить данные в регионе их получения, однако они должны будут назначить местных представителей для участия в программе. Доступ к данным со стороны властей третьих стран также будет строго регулироваться.[1]

Публикация запрета европейским сайтам использовать «стену cookie»

7 мая 2020 года стало известно, что Европейский совет по защите данных (European Data Protection Board, EDPB) опубликовал обновленное руководство касательно получения сайтами разрешений от пользователей на обработку их информации. Среди прочего, руководство теперь запрещает сайтам делать доступ к ним зависимым от того, дал ли пользователь согласие на обработку своих данных (так называемая «стена cookie» или cookie wall).

Согласно европейскому законодательству, наличие разрешения пользователя является одним из шести обязательных условий при обработке персональных данных. В соответствии с «Общим регламентом по защите данных» (General Data Protection Regulation, GDPR), разрешение должно быть понятным, конкретным, сознательным и добровольным. Однако владельцы сайтов нашли способ, как выпросить у посетителей заветное разрешение с помощью «стены cookie», и стали предоставлять пользователям доступ к своим ресурсам только в обмен на разрешение на обработку их данных.

Оператором такой «стены cookie» в Европе является организация Internet Advertising Bureau Europe, запрашивающая у посетителей сайтов согласие на обработку данных, если они хотят получить доступ к контенту. Однако проблема в том, что такое «согласие» не является добровольным, как того требует GDPR, поэтому обновленное руководство EDPB запретило использование «стены cookie».

Кроме того, в обновленной редакции документа уточняется, что прокрутка страниц (скроллинг) не является согласием пользователя на обработку его данных.

«
Такие действия, как прокрутка или пролистывание web-страницы или аналогичные действия пользователей, ни при каких обстоятельствах не могут считаться удовлетворяющими требования четких и утвердительных действий, - говорится в обновленном руководстве[2].
»

Общая сумма штрафов достигла 114 млн евро

За период действия GDPR по данным на январь 2020 года сумма штрафов достигла 114 млн евро. Зафиксировано регуляторами 160 тысяч нарушений.

2019: Самые крупные многомиллионные штрафы за нарушение GDPR

На 7 ноября 2019 года наибольшая доля штрафов (по количеству) приходится на Венгрию, Испанию, Чехию, Болгарию, Румынию. На Великобританию приходится около 2% от общего числа штрафов. Размеры штрафов по статистике устанавливаются пропорционально нарушению – что соответствует нормам GDPR. Наиболее крупные штрафы за утечку паспортных данных, в области здравоохранения и т.п.

Самые крупные многомиллионные штрафы за нарушение GDPR:

В июле авиакомпания British Airways была оштрафована на 183 миллиона фунтов стерлингов[3] со стороны Управления комиссара Великобритании по информации (ICO) за нарушение данных, которое произошло в сентябре 2018 года. Злоумышленникам удалось украсть персональную информацию примерно 500 000 клиентов авиакомпании. Эти данные содержали имена, номера банковских карт и их коды CVV, а также адреса электронной почты. Статья 32 закона требует, чтобы компании внедряли технические и организационные меры для обеспечения безопасности информации.

  • Marriott International, Inc.
  • Страна: Великобритания
  • Штраф: 118 714 808 €
  • Нарушенная статья GDPR: 32

В конце ноября 2018 года , Marriott International стала главным героем[4] на тот момент второго по величине нарушения данных за всю историю. Были украдены персональные данные 339 миллионов клиентов. Хакеры получили доступ к данным отеля с 2014 года.

Согласно результатам расследования, проведенного Управлением комиссара Великобритании по информации, украденные данные содержали сведения о примерно 30 миллионах клиентов из 31 страны Европейской экономической зоны. Считается, что уязвимость в защите стала использоваться с 2014 года, когда был скомпрометирован Starwood Hotel Group, а Marriott купила Starwood в 2016 году. Комиссар по информации Элизабет Денхэм объяснила: «GDPR четко дает понять, что организации должны нести ответственность за хранящиеся у них персональные данные. Это также подразумевает и проведение тщательной юридической экспертизы при совершении корпоративной сделки по приобретению».

Штраф, наложенный на Marriott International, составил 99 200 396 фунтов стерлингов.

  • Google LLC
  • Страна: Франция
  • Штраф: 50 000 000 €
  • Нарушенные статьи GDPR: 5, 6, 13, 14

Национальная комиссия по информации и свободе CNIL (Commission Nationale de l’Informatique et des Libertés), являющаяся агентством по защите данных во Франции, в январе оштрафовала Google LLC на 50 миллионов евро[5] за нарушение установленных в GDPR правил прозрачности и за отсутствие действующей правовой основы для обработки персональных данных в рекламных целях. По мнению CNIL, пользователи Google не получили достаточной информации об использовании их данных. Более того, согласие, получаемое компанией Google, не является ни «конкретным», ни «однозначным».

  • Österreichische Post AG
  • Страна: Австрия
  • Штраф: 18 000 000 €
  • Нарушенные статьи GDPR: 5, 6

В октябре австрийская почтовая компания Österreichische Post AG получила штраф в размере 18 миллионов евро[6] за создание профилей около трех миллионов человек, в которых содержалась информация об их адресах, личных предпочтениях и политической принадлежности. Затем эти профили были проданы политическим партиям и другим компаниям. Нарушенные статьи GDPR, указанные выше, связаны с получением правовой основы для обработки данных.

  • 1&1 Telecom
  • Страна: Германия
  • Штраф: 9 550 000 €
  • Нарушенная статья GDPR: 32

В декабре немецкий федеральный комиссар по защите данных и свободе информации (BfDI) оштрафовал телекоммуникационную компанию 1&1 Telecom на 9,5 миллионов евро. Компания не смогла реализовать необходимые технические и организационные меры для защиты персональных данных в своих колл-центрах: было установлено, что достаточно просто можно было получить информацию о клиентах, указав их ФИО и дату рождения. По данным BfDI, такого уровня аутентификации было недостаточно для надлежащей защиты клиентских данных.

2018

Ключевые отличия GDPR от 152 ФЗ

WP29 заменен на European Data Protection Board (EDPB)

С 25 мая 2018 года WP29 заменен на European Data Protection Board (EDPB) – тоже общеевропейский надзорный орган. Начали появляться разъяснения GDPR. Разрешает споры. С мая 2018 года по сентябрь 2019 года EDPB наложил 74 штрафа, среди которых British Airways и Marriott. Отдельные регулирующие органы стран ЕС также выпускают различные разъяснения, но они же являются членами EDPB.

2016: Принят Общеевропейский регламент о персональных данных (GDPR)

В мае 2016 года в ЕС принят Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR) - замена Data Protection Directive (официально Директива 95/46 / EC о защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных)). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ)[7].

GDPR применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. Персональные данные согласно GDPR - это любая информация, относящаяся к физическому лицу или данные, которые могут прямо или косвенно идентифицировать этого человека. Например:

  • Имя, адрес электронной почты, адрес проживания, номер телефона;
  • Персональная информация (например, сексуальная ориентация, расовая принадлежность, политические пристрастия);
  • Банковские сведения;
  • IP-адрес компьютера, cookie ID.

Согласно новому закону потребители получат более широкий контроль над своими данными. Физические лица (ФЛ) получат следующие права:

  • Право доступа - знать, какая информация о них хранится и как она обрабатывается;
  • Право на исправление – вносить изменения в личные данные, если они являются неточными или неполными;
  • Право на забвение – удалить свои личные данные без необходимости указания конкретной причины;
  • Право на ограниченную обработку - блокировать или запрещать обработку своих персональных данных.
  • Право на перенос данных - сохранять и повторно использовать свои личные данные для собственных целей;
  • Право на возражение - возражать против использования персональных данных. Например, в целях маркетинга, научных и исторических исследований и т.д.

Критерии применимости GDPR

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Действие GDPR распространяется на обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС (например, российские юридические лица), в тех случаях, когда такая деятельность по обработке относится к:

  • предложению товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе;
  • отслеживанию их действий при условии, что таковые осуществляются в пределах ЕС.

Следует отметить, что в критериях отсутствует привязка к гражданству субъекта персональных данных. Под защиту GDPR попадают персональные данные (ПДн) всех субъектов в момент нахождения их внутри ЕС (включая граждан РФ).

Таким образом, потенциально под действие GDPR могут попасть следующие типы российских организаций:

  • Дочерние общества крупных российских холдингов (торговые предприятия компаний-экспортеров, дочерние банки крупных банковских групп и т.п.), находящиеся на территории ЕС.

  • Компании банковского и телекоммуникационного сектора. Мониторинг транзакций по банковской карте, а также анализ звонков субъекта ПДн (например, в рамках процессов по предотвращению мошеннической деятельности), находящегося на территории ЕС попадает под критерий «отслеживания действий».

  • Компании, предоставляющие услуги потребителям из ЕС (интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг). Критериями ориентированности на рынок ЕС могут служить: наличие веб-сайта на одном из официальных языков ЕС, возможность получения оплаты услуг в валюте ЕС, а также явное аффилированние услуг компании с партнерами из ЕС (например, наличие на веб-сайте российского интернет-магазина информации о сотрудничестве с локальными курьерскими службами доставки, работающими в ЕС).

Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн. евро или до 4% от годового оборота компании (в зависимости от того, какая сумма будет больше) - по итогам международного исследования, проведенного E&Y и IAPP (International Association of Privacy Professionals) в 2017 г.

Документ начинает действовать с 25 мая 2018 года, но целый ряд российских компаний, присутствующих на территории ЕС, уже приступил к приведению процессов обработки персональных данных в соответствие с GDPR.

Что будет, если предприятия России нарушат GDPR?

Данный регламент имеет экстерриториальный характер и под его действие подпадает любая компания, которая осуществляет обработку и хранение персональных данных резидентов и граждан Европейского союза. Если ваша компания подпадает под действие этого закона, то готовы ли вы к его вступлению в законную силу? Вероятность того, что ваша компания еще не готова, достаточно высока, т.к. даже в Евросоюзе почти 60% компаний заявили, что они не готовы внедрять изменения, которые требуются согласно новому законодательству о защите персональных данных. Согласно недавнему исследованию Forrester, огромное количество предприятий работают над своей адаптацией к новому регламенту, но только 22% из них рассчитывают привести свое предприятие в соответствие требованиям GDPR в 2018 году. Впрочем, и это может оказаться слишком поздно, потому что о вступлении 25 мая 2018 года в силу данного регламента было известно еще два года назад[8].

GDPR: что это такое и почему следует обратить на него внимание?

Если ваша компания обрабатывает данные граждан и резидентов Евросоюза, то вам следует позаботиться о соответствии требованиям регламента. Но почему? Потому что вне зависимости от того, где расположено ваше предприятие, вы должны соответствовать требованиям GDPR. Очевидно, что многие компании не знают о том, какой глобальный охват имеет данный регламент, причем его действие распространяется не только на компании из Евросоюза. На самом деле, 43% ИТ-специалистов в США не верят, что GDPR как-то повлияет на работу их предприятия.

GDPR предоставляет физическим лицам расширенные права для контроля и доступа к своим персональным данным. В свою очередь, компании несут дополнительную ответственность за защиту этих данных. Среди основных нововведений отметим требование на получение явного и активного согласия физического лица на обработку, хранение и использование его персональных данных (информирование пользователя уже не достаточно: он именно должен предоставить свое согласие). Существует также требование уведомлять надзорные органы о нарушениях конфиденциальности и целостности персональных данных в течение 72 часов с того момента, как предприятию стало известно об инциденте. Кроме того, GDPR содержит новые права, такие как:

  • право на забвение - пользователь может требовать от предприятия удаления своих персональных данных при определенных обстоятельствах: если отозвано согласие, если перестала существовать причина, по которой ранее эти персональные данные передавались и т.д.
  • право на переносимость – пользователи имеют право требовать от предприятия, которое хранит его персональные данные, предоставить ему копию этих данных для переноса в другую организацию.

Несмотря на требования GDPR к компаниям усилить контроль персональных данных, некоторые компании, сильно связанные с вопросами персональных данных (например, в сфере связи или розничной торговли), наименее подготовлены к вступлению в силу данного регламента. По данным Forrester, всего лишь 27% компаний заявили, что они полностью соответствуют требованиям GDPR, а многие признались, что они начали внедрять изменения на своих предприятиях только лишь в результате «давления со стороны своих клиентов».


Риски не соответствия требованиям GDPR

Нарушение требований GDPR может иметь различные последствия:

  • Экономические: Эти, наиболее обсуждаемые последствия больше всего волнуют представителей компаний, т.к. власти смогут назначать штрафы размером до 20 миллионов евро или 4% от годового оборота компании. Очевидно, что размер штрафов будет зависеть от многих факторов, таких как суть нарушения, его степень серьезности и продолжительность (например, сколько людей пострадали от нарушения и какой ущерб им был причинен), были ли эти нарушения вызваны неосторожностью или они были сознательны, имеются ли у предприятия другие случаи нарушения регламента и пр.

Наиболее серьезные штрафы будут налагаться на компании, которые не соблюдают основные принципы обработки персональных данных и нарушают права пользователей или передают персональные данные третьим странам или международным организациям, которые не могут обеспечить должного уровня их защиты.

В дополнение к этим административным штрафам, компании также могут столкнуться с дополнительными финансовыми последствиями в результате судебных требований от физических лиц по компенсации ущерба в результате того, что конфиденциальность и целостность их персональных данных были нарушены.

  • Репутационные: Несоблюдение требований GDPR может привести к общественному порицанию таких компаний. Более высокая степень прозрачности, которая требуется в соответствии с этим регламентом, и требование уведомлять надзорные органы о нарушениях персональных данных может привлечь еще больше внимания к вашей компании – в обществе будет складываться негативное мнение о вашей компании, которая не способна защитить их персональные данные. Недостаток доверия и негативное общественное мнение может серьезно сказаться на успехе вашей компании – эти последствия могут быть даже более разрушительными, чем финансовые штрафы.
  • Коммерческие: Неспособность показать, что ваша компания соблюдает требования законодательства может привести к тому, что вы потеряете клиентов и столкнетесь с проблемами при заключении договоров с другими компаниями. Клиенты не желают подвергать риску свои персональные данные, если ваш конкурент соответствует требованиям GDPR и способен защитить их данные. Это также может повлиять и на деловую активность предприятия: многие компании могут не захотеть быть вашим партнером и делиться информацией о своих клиентах с вашей компанией, которая может подвергнуть ее серьезному риску.

См. также

Примечания