В 1995 году странами Евросоюза была принята Директива № 95/46/ЕС о защите прав частных лиц при обработке персональных данных (ПД). Однако компании в основном игнорировали ее. В итоге 25 мая 2018 года на смену документу пришел Общий регламент по защите данных (General Data Protection Regulation или GDPR). Важным отличием GDPR является его экстерриториальный принцип действия. Закон может затрагивать и российские компании. РБК Тренды разобрались, в чем преимущества этого документа для интернет-пользователей и в чем его отличие от российского аналога.
К каким компаниям применяется GDPR
Требования GDPR работают не только для европейских организаций, но и для иностранных компаний, которые имеют дело с персональными данными граждан ЕС или лиц, находящихся в ЕС.
Чтобы деятельность структуры была нацелена на ЕС, достаточно, чтобы на ее сайте было предусмотрено использование национального языка и валюты государства — члена Евросоюза, либо содержалось упоминание о потребителях или пользователях из этого региона.
Даже если сайт компании не содержит подобных упоминаний, достаточно того, что она может отслеживать активность любых пользователей и собирать эту информацию в своих целях. Важно, что GDPR применяется только при использовании персональных данных для маркетинговых целей и при мониторинге поведения пользователей в Европе. К примеру, на сайте организации может работать «Яндекс.Метрика» или Google Analytics, соответственно, он подпадает под действие GDPR. В 2018 году журналист «Медузы» (признана иноагентом в России) Султан Сулейманов, живущий в Латвии, воспользовался GDPR, чтобы запросить у «Яндекса» информацию о себе. Ответ пришел через два с половиной месяца после запроса. Он содержал ссылки на «Яндекс.Диск» с архивом копий данных, инструкции о том, как выгрузить письма из «Яндекс.Почты» и все файлы с «Яндекс.Диска». Архив включал текстовые документы в машиночитаемом виде по папкам в соответствии с сервисами «Яндекса»: «Карты», «Такси», «Кинопоиск», «Поиск» и др. Никаких пояснений к данным не было.
Организация обязана назначить себе представителя в ЕС при хотя бы одном из условий:
- постоянная обработка данных;
- обработка в крупных размерах специальных категорий персональных данных;
- обработка ПД, связанных с судимостями или преступлениями;
- высокий риск нарушения прав и свобод человека.
Представителем компании может стать физическое или юридическое лицо, которое должно находиться в той же стране ЕС, что и субъекты данных. Оно взаимодействует с органами власти и несет ответственность за нарушения.
Кто отвечает за обработку данных
Процесс обработки информации включает субъекта персональных данных, а также контролера и процессора. В соответствии с GDPR контролер — это физические или юридические лица, которые определяют, с какой целью и какими средствами обрабатываются данные. На них ложится вся ответственность за выполнение требований по обработке и защите ПД. Процессор или обработчик — это физические или юридические лица, которые занимаются обработкой персональных данных по поручению контролера. Таким образом, обработка ПД становится возможной только от имени контролирующей организации. Контролер может сам выступать процессором, либо поручать эту работу сторонней компании.
GDPR и ФЗ «О персональных данных». Сходства и различия
Согласно статье 3 российского Федерального закона «О персональных данных», персональные данные — это любая информация, прямо или косвенно позволяющая определить физическое лицо. В GDРR имеется аналогичное определение, но вместо слова «определить» в нем используется «идентифицировать».
В европейском законе более подробно описывается информация, относящаяся к персональным данным:
- имя;
- идентификационный номер;
- данные о местоположении;
- онлайн-идентификатор;
- комбинация идентификаторов/показателей. К онлайн-идентификаторами относятся IP-адреса, файлы cookie и т.п.
В российском ФЗ содержится понятие «обезличенных данных». Это анонимизированные персональные данные. Их гражданско-правовой оборот допускается для коммерческих целей и продажи третьим лицам. В законе прописано, что при статистических, исследовательских и аналитических целях согласие субъекта на их обработку не требуется. Однако формулировка статьи предполагает, что такие данные могут использоваться свободно и без получения согласия, даже если впоследствии возможно их соотнесение с личностью.
Понятие согласия возникает при обработке персональных данных, несовместимой с целями их сбора. Однако и в этом случае обработка информации без согласия субъекта допускается при его участии в судопроизводстве, для исполнения полномочий власти, исполнения договора, для защиты жизни, здоровья или иных жизненно важных интересов субъекта, прав и законных интересов оператора или третьих лиц.
И российский ФЗ, и GDPR описывают согласие субъекта на обработку его данных. В обоих случаях документы подчеркивают принципы конкретности, информированности и сознательности. Но GDPR обязывает, чтобы согласие было вынесено отдельно от других условий и соглашений и включало все цели обработки. Процесс отзыва согласия должен быть простым, а запрос на обработку данных — обоснованным. Например, можно оспорить ситуацию, когда сервис по редактированию фотографий запрашивает согласие на обработку геолокаций.
Закон о персональных данных РФ содержит семь принципов обработки данных, а GDPR — шесть. В отличие от российского ФЗ, в GDPR важным является принцип прозрачности и оповещения о действиях, связанных с обработкой данных пользователей. Закон гласит, что информация должна быть легко доступной и ясной для субъекта. В мае 2021 года власти Германии запретили WhatsApp обрабатывать пользовательские данные жителей страны и отправлять их в рекламную сеть Facebook. Местный регулятор настаивает, что новые положения политики WhatsApp непрозрачны, сбивают с толку, вводят в заблуждение и противоречат сами себе, из-за чего пользователям трудно осознать последствия их согласия с новыми условиями.
Условия правомерной обработки ПД в России и ЕС сопоставимы, но GDPR позволяет государствам вводить свои дополнительные требования. Европейский закон также устанавливает особые правила для дачи согласия несовершеннолетним. За детей, не достигших 16 лет, согласие должно давать лицо, осуществляющее функции родителя или опекуна.
В обоих документах присутствует право субъекта получить свои данные и информацию о том, как они обрабатываются, исправлять и удалять сведения о себе (право на забвение). Но есть отличие именно в составе этих данных. Если в российском ФЗ говорится, что человек может получить все обработанные данные по запросу, то в GDPR — только информацию об обработке в момент получения персональных данных.
Кроме того, в европейском законе выделено положение о праве на перенос своих данных. Компания должна предоставлять эти данные в структурированном и
машиночитаемом формате и передавать другой организации по запросу субъекта.
Схема действий при утечке данных прописана только в GDPR. Компания обязана проинформировать о ней надзорные органы и субъектов, иначе на нее будет наложен штраф. Надзорный орган назначается в каждой стране ЕС, а их руководители образуют Европейский совет по защите данных. В 2020 году комиссия по защите данных Ирландии оштрафовала Twitter за утечку данных пользователей, которая обнаружилась еще в январе 2019 года. Из-за ошибки приложение отключило параметр «Защитить ваши твиты» для некоторых пользователей, которые изменяли настройки своего аккаунта. Соцсеть должна была уведомить комиссию в течение 72 часов с момента обнаружения неисправности, но не сделала этого. В итоге сумма штрафа составила €450 тыс.
GDPR вводит штрафы за любые нарушения. Их размеры доходят до 4% годового оборота компании (до €20 млн). Нематериальные санкции могут включать запрет со стороны надзорного органа на обработку персональных данных или их передачу контрагенту до момента устранения нарушений. Однако сначала надзорный орган выносит предупреждение и дает время на устранение нарушения. Компаниям выписывают крупные штрафы только при повторяющихся нарушениях. В 2019 году Французская национальная комиссия по информационным технологиям и правам человека (CNIL) оштрафовала Google на €57 млн за нарушение правил прозрачности при получении согласия на обработку и использование персональной информации пользователей.
В российском законе не прописан механизм, в соответствии с которым операторы-нарушители должны нести ответственность. Кроме того, в нем не предусмотрено конкретных санкций для случаев нарушений или игнорирования требований регуляторов. В ФЗ сказано лишь, что субъект персональных данных может требовать компенсации материального и морального вреда, а также убытков. В начале июля 2021 года суд Москвы по требованию Роскомнадзора признал незаконной деятельность «клона» Telegram-бота «Глаз Бога», где можно было пробивать данные людей. Администрация Telegram позднее удалила сам бот. Тем, чьи данные могли фигурировать в базе данных, не выплатили никаких компенсаций. Главным аргументом основателя «Глаза Бога» стало то, что бот агрегирует данные людей из открытых источников в интернете.
В марте 2021 года Роскомнадзор предложил обязать операторов персональных данных компенсировать моральный вред жертвам интернет-мошенничеств, если они связаны с утечками по вине операторов. Предложение пока рассматривают.
В июне 2021 года в РФ был принят закон, который обяжет зарубежные ИТ-компании с ежедневной российской аудиторией от 500 тыс. человек открывать в стране филиалы, представительства или назначать уполномоченных юрлиц для взаимодействия с госорганами и регуляторами. Если эти требования не будут выполнены, то компаниям могут запретить распространение рекламы и сбор персональных данных российских пользователей. Под действие закона потенциально попадают Facebook, Instagram, Twitter, TikTok, Google AdWords, YouTube, WhatsApp, Viber, Telegram, Steam, WorldOfTanks и другие.
Что в других странах
В 2018 году, после принятия GDPR, в американском штате Калифорния разработали собственный закон, регулирующий правила работы с персональными данными.
California Consumer Privacy Act, или CCPA, вступил в силу 1 января 2020 года.
Теперь у интернет-пользователей в Калифорнии появилось право требовать у компании информацию, которую она о них собирает, и список третьих лиц, которые ее получают. Они также могут подавать в суд на организацию, которая неправомерно воспользовалась персданными и игнорирует запросы.
Под действие ССРА попадают компании, которые обрабатывают ПД резидентов Калифорнии как на территории штата, так и за его пределами, и получают как минимум $25 млн годового дохода. Если выручка компании меньше, но она хранит персональные данные более 50 тыс. человек, то такой бизнес также попадает под действие ССРА. При этом неважно, находится ли сама организация в Калифорнии или за ее пределами.
Отличие ССРА от GDPR заключается в том, что компания должна обрабатывать запросы, поступающие от пользователей. Компании не обязаны раскрывать какие-либо факты нарушений, если они не получили соответствующего запроса.
Если данные пользователя были потеряны или украдены, то организации придется заплатить от $100 до $750 каждому пострадавшему.
Если пользователь направил компании жалобу о нарушении, компания обязана решить проблему в течение месяца. В противном случае ее ждет штраф в размере $7 500.
Данный закон также запрещает компаниям дискриминировать пользователей, отказавшихся предоставить свои персональные данные, но разрешает вводить системы поощрений для тех, кто согласился на это.
В Казахстане в ноябре 2020 года вступил в силу приказ Министерства цифрового развития, инноваций и аэрокосмической промышленности «Об утверждении правил сбора, обработки персональных данных». Согласно документу, сбор и обработка собственником или оператором персональных данных допускается в объеме, определенном перечнем. Субъект ПД имеет право требовать от оператора изменения и дополнения своих данных при наличии оснований, а также имеет право знать о наличии персональной информации и путях ее получения.