15 июля, 2018, BIS Journal №3(30)/2018

GDPR. А так ли страшен черт?


Боровикова Кристина

старший консультант (KPMG)

Дроздов Андрей

старший менеджер (KPMG)

Основные требования GDPR и случаи их применимости к российским организациям

25 мая 2018 года в полном объеме вступил в силу новый закон Европейского союза о защите данных – GDPR (General Data Protection Regulation), отличающийся беспрецедентными штрафными санкциями (до 20 млн евро или до 4% от общего глобального дохода, в зависимости, что больше), а также способный оказать влияние на деятельность организаций вне ЕС. В настоящей статье мы рассмотрим основные требования GDPR и случаи их применимости к российским организациям. Сразу оговоримся, что поскольку РФ не входит в ЕС, непосредственное применение санкций на территории РФ вряд ли возможно, однако в случае обработки данных субъектов (физических лиц), находящихся на территории ЕС безотносительно их гражданства, российским компаниям следует быть в курсе этих требований. Следует отметить, что поскольку официального перевода GDPR на русский язык не существует, использованная в настоящей статье терминология отражает только точку зрения авторов.

Рис.1. GDPR: цифры и факты

СРАВНЕНИЕ ЗАКОНОДАТЕЛЬСТВА ЕС И РФ О ПЕРСОНАЛЬНЫХ ДАННЫХ

Европейское и российское законодательство в области защиты ПДн имеют много общего. Прежде всего, оба законодательства были основаны на “Конвенции по защите физических лиц при автоматизированной обработке персональных данных” Совета Европы от 1981 года, которую в 2005 году Российская Федерация ратифицировала и приняла отражающий ее основные принципы Федеральный закон 152-ФЗ «О персональных данных». В свою очередь, руководящими органами Европейского союза в 1995 году на основе той же Конвенции была принята Директива Европейского союза о защите данных 95/46/EC, которую и заменил GDPR в мае 2018 года. Основное отличие Директивы от GDPR в том, что последний фактически является законом прямого действия, унифицируя, в частности, размеры штрафов для всех стран. 

На основании анализа российского закона и GDPR можно сделать вывод, что требования к операторам (controller) и обработчикам (processor) ПДн, приведенные в новом регламенте, во многом совпадают, особенно в части основных принципов обработки данных и прав субъектов ПДн. Тем не менее есть и отличия.

Для удобства последующих ссылок для читателя, мы будем приводить номера статей GDPR и оригинальные названия их официальных комментариев от Рабочей группы Еврокомиссии (правительства ЕС) по защите персональных данных (Article 29 Working Party).

С вводом GDPR в действие за его внедрение должен отвечать специально созданный орган – Европейский совет по защите данных (European Data Protection Board - EDPB), в который будут входить представители регуляторов по защите данных из стран ЕС (Data Protection Authority - DPA).

Рисунки 2-3 иллюстрируют схожесть основных принципов обработки данных и прав субъектов ПДн (физических лиц). 

Рис. 2. Сравнение основных принципов обработки ПДн, определенных в GDPR и 152-ФЗ

Рис. 3. Сравнение прав субъектов ПДн, определенных в GDPR и 152-ФЗ

 

Как видно, налицо совпадение по большинству позиций (разве что в GDPR появилось право субъекта требовать переноса данных от одного оператора к другому. Казалось бы, простое требование, но для его реализации (как и для уничтожения, еще говорят «право быть забытым») от оператора/обработчика требуется как минимум знать, как структурированы данные и в каких системах находятся.  Несмотря на законодательные требования как в ЕС, так и в РФ, некоторые операторы иногда не слишком ясно и детально спрашивают согласие физического лица на обработку его данных и слишком широко трактуют цели обработки. Например, несмотря на то, что в конце мая приглашенный в Европарламент владелец социальной сети Facebook заявил о намерении соблюдать требования GDPR, депутаты задавали ему много вопросов, в частности о таргетированной рекламе в контексте целей обработки данных пользователей социальной сети.

КОГО ЗАТРАГИВАЕТ GDPR ЗА ПРЕДЕЛАМИ ЕС   

Ключевой статьей GDPR в отношении организаций вне ЕС, в частности российских, является Ст.3 “Территориальная область применения”. Согласно этой статье действие нового европейского закона распространяется на организации, учрежденные на территории ЕС или обрабатывающие ПДн субъектов из ЕС в рамках предоставления товаров и услуг или мониторинга поведения субъектов в ЕС.  

GDPR главным образом затронул российские организации, чьи филиалы, представительства и дочерние общества расположены на территории ЕС (пункт 1 Ст3). Кроме того, российская организация, предоставляющая свои товары и услуги субъектам, находящимся на территории ЕС, например, с использованием веб-сайта, доступного на территории ЕС, также попадает под действие пункта 2а статьи 3 GDPR. Действие данного пункта распространяется и на организации, осуществляющие мониторинг поведения субъектов ПДн в ЕС с использованием средств автоматизации обработки данных (пункт 2b статьи 3 GDPR).

Российским организациям, оказывающим услуги европейским контрагентам, на платной или безвозмездной основе работающим с гражданами ЕС или находящимися на территории ЕС, гражданам других стран/лиц без гражданства, следует определить степень влияния GDPR на организацию и выявить риски несоответствия требованиям GDPR. Следует учитывать, что помимо штрафных санкций несоответствие может повлечь за собой ущерб для репутации организации, блокировку веб-сайта или прекращение деятельности организации на территории ЕС.

Следующие типы российских организаций могут стать субъектами права GDPR:

  • транспортные компании, гостиницы, банки, операторы мобильной связи;
  • компании, имеющие офисы в ЕС (в том числе дочерние структуры транснациональных компаний, расположенные в РФ);
  • компании, расположенные в РФ, но получающие ПДн субъектов ЕС для обработки (к примеру, компании с централизованной ИТ-инфраструктурой и серверами в РФ);
  • компании, взаимодействующие с контрагентами из ЕС;
  • компании, предоставляющие услуги обработки данных операторам из ЕС.

В целях приведения процессов обработки ПДн в соответствие требованиям GDPR организации следует определить потоки ПДн с учетом мест сбора, использования и хранения ПДн, перечень обрабатываемых ПДн, перечень участвующих в обработке ПДн информационных систем, баз данных, аппаратных средств и структурных подразделений организации. На основании полученной информации составить карту потоков данных, далее провести оценку рисков утечки ПДн и влияния утечки на права и свободы субъектов ПДн, а также связанные с этим риски для организации. По результатам проведенного анализа принять решение о разработке и внедрении организационных и технических мер защиты, при этом по возможности минимизируя потоки ПДн или обезличивая данные.

К тому же деловые партнеры в ЕС должны учитывать степень адекватности защиты с учетом требований GDPR в стране (организации) куда данные будут передавать.

В результате внедрения мер защиты ПДн в организации должно быть обеспечено наличие следующих доказательств соответствия GDPR:

  • документированные процедуры управления рисками;
  • закрепленные роли и ответственность за обеспечение конфиденциальности данных;
  • документированные процедуры обработки ПДн, включающие описание порядка удаления ПДн субъектов по запросу субъекта с учетом требований законодательства страны присутствия организации, порядка прекращения обработки ПДн субъекта по запросу субъекта, порядка предоставления субъектам данных о процессах обработки ПДн, в том числе с использованием «стандартизированных иконок», порядка передачи ПДн субъекту или иной организации по запросу субъекта (data portability), порядка трансграничной передачи ПДн в страны, не обеспечивающие адекватный уровень защиты ПДн, и порядка обеспечения конфиденциальности данных;
  • актуальная информация об обработке ПДн в организации с указанием целей обработки ПДн, сроков хранения данных, категорий ПДн и субъектов ПДн, перечня организаций, в которые ПДн передаются, перечня стран-получателей ПДн, перечня мер защиты ПДн;
  • шаблоны понятных и детальных согласий субъектов на обработку ПДн;
  • задокументированная ответственность поставщиков услуг за обеспечение конфиденциальности данных, закрепленные требования к поставщикам услуг в договорах в части обеспечения защиты данных и инструкции по защите данных для поставщиков услуг;
  • документированные процедуры управления инцидентами ИБ.

КЛЮЧЕВЫЕ ОТЛИЧИЯ GDPR ОТ 152-ФЗ

Российским организациям следует рассмотреть возможность внедрения следующих мер и процедур, отличных от 152-ФЗ:

определить необходимость назначения Data Protection Officer-DPO (ответственного за защиту  ПДн). Ст. 37 GDPR и “Guidelines on Data Protection Officers (‘DPOs’)”: Article 29 data protection working party. Хотя в РФ, в отличие от многих стран (в том числе ЕС) наличие ответственного за обработку ПДн является обязательным для всех организаций (GDPR требует не для всех), к DPO предъявляются и специфичные требования, проиллюстрированные на Рисунке 4.

Рис. 4. Требования к DPO

  • определить необходимость назначения представителя в ЕС: представитель необходим, если оператор или обработчик ПДн расположен не в ЕС и осуществляет на регулярной основе обработку больших объемов ПДн (специальные категории, данные о правонарушениях или приговорах). Ст.27 GDPR;  
  • определить необходимость проведения оценки воздействия на конфиденциальность данных (Data Privacy Impact Assessment - DPIA), провести DPIA с учетом требований GDPR и рекомендаций Article 29 data protection working party, внедрить необходимые организационные и технические меры для снижения выявленных рисков. Ст. 35 GDPR и “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679”: Article 29 data protection working party;

Рис. 5. Описание DPIA

  • предусмотреть возможность субъекта ПДн обратиться к оператору или обработчику с возражением против обработки ПДн, с запросом на удаление / обновление ПДн с использованием электронных средств;
  • обеспечить предоставление субъектам данных о процессах обработки ПДн, в том числе с использованием «стандартизированных иконок»;
  • реализовать права субъекта на получение и передачу своих ПДн от одного оператора другому. Ст. 20 и “Guidelines on the right to data portability”: Article 29 data protection working party;
  • разработать процедуры идентификации субъектов ПДн при обращении субъектов ПДн к оператору или обработчику с использованием электронных средств;
  • обеспечить уведомление регуляторов об утечках данных в течение 72 часов с момента регистрации инцидента и своевременное уведомление субъектов ПДн. Ст. 33, 34 и “Guidelines on Personal data breach notification under Regulation 2016/679”: Article 29 data protection working party. В случае отсутствия офисов и представителя на территории ЕС, оператор/обработчик самостоятельно определяет регулятора для предоставления отчетности по инцидентам с учетом страны местонахождения субъектов ПДн;
  • провести анализ наличия правовых оснований (см. рисунок 6) для обработки ПДн и задокументировать результаты анализа;

Рис. 6. Перечень правовых оснований обработки ПДн

проверить соответствие согласия на обработку ПДн требованиям GDPR. Ст. 7, 8 GDPR и “Guidelines on consent under Regulation 2016/679”: Article 29 data protection working party;
определить, осуществляет ли организация обработку специальных категорий ПДн, к примеру, данные о членстве субъекта ПДн в профсоюзе относятся к специальным категориям ПДн согласно GDPR.

ТРЕБОВАНИЯ НА ПЕРЕДАЧУ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЗ ЕС

Особое внимание следует обратить на то, что передача ПДн в другую страну или международную организацию может осуществляться беспрепятственно только в том случае, если Европейская Комиссия приняла решение (Adequacy decision), что данная страна или территория, или один или несколько конкретных секторов этой страны, или соответствующая международная организация обеспечивают надлежащий уровень защиты. Передача ПДн в страны, не обеспечивающие надлежащий уровень защиты возможна в случае наличия одного из следующих правовых оснований: обязательные внутрикорпоративные правила (Binding Corporate Rule), стандартные положения о защите данных в договоре (Standard Data Protection Clauses), Кодекс поведения (Code of Conduct) или по результатам сертификации.

Рассмотрим подробнее эти ситуации.

- Страны с надлежащим уровнем защиты персональных данных на уровне законодательства. Вне Евросоюза пока список небольшой: Андорра, Аргентина, Фарерские острова, Гернси, Израиль, Остров Мэн, Джерси, Новая Зеландия, Швейцария, Уругвай. В список также еще вошли две страны, но с ограничениями: Канада (только в отношении коммерческих организаций, в отношении которых действует надлежащий национальный закон) и США (поскольку там отсутствует аналогичный национальный закон, то только в отношении организаций, присоединившихся в программе EU-US Privacy Shield Framework). В настоящее время ведутся переговоры с Японией и Южной Кореей.

Если страна не оказалась в “белом списке”, необходимо удостовериться в наличие надлежащей защиты у конкретной организации вне ЕС с помощью одного из механизмов, описанных ниже:

- стандартные положения о защите данных в договоре о передаче данных разрабатываются и утверждаются Еврокомиссией;

- обязательные корпоративные правила удобны для транснациональных компаний. Когда они утверждены регулятором (DPA), можно передавать данные беспрепятственно внутри группы. Обычно корпоративные правила направляются только одному DPA в стране, где находится штаб-квартира или место наибольшего присутствия в ЕС;

- кодекс поведения обычно заключается между операторами ПДн в рамках отраслевой ассоциации. Подлежит утверждению DPA;

- сертификация – добровольное подтверждение соответствия компании требованиям GDPR. Проводится аккредитованной организаций или самим DPA. На период подготовки статьи, примеров сертифицированных компаний найти не удалось. По идее, механизм должен напоминать сертификацию по ISO 27001, PCI DSS.   

Передача персональных данных субъектов из ЕС из страны не из “белого списка” при отсутствии одного из вышеописанных механизмов возможна только как исключение и требует, в частности, информирование субъекта о возможных рисках и получения согласия на такую передачу.

При приведении процессов обработки ПДн в соответствие требованиям GDPR следует учитывать внедренные в организации меры защиты данных во избежание дополнительных временных и ресурсных затрат.

GDPR равно как и 152-ФЗ являются законодательными актами, содержащими ключевые положения по обработке и защите данных, фокусирующимися на защите прав субъектов данных. Например, технические меры защиты ПДн в GDPR конкретно не рассматриваются – говориться лишь о необходимости обеспечения надлежащего уровня.  За детализированными инструкциями по построению системы защиты стоит обращаться к документам регуляторов (например, 21 приказ ФСТЭК), а также к международным отраслевым стандартам и практикам в области информационной безопасности, а также рекомендациям Рабочей Группы 29 (WP Art 29).

В заключение. Прошло совсем немного времени с момента вступления GDPR в силу, практика его применения и контроля со стороны регуляторов ЕС пока не наработана. Однако ряд поставщиков услуг (в том числе российских) уже направили своим клиентам обновленные политики по защите данных с учетом нового законодательства, а некоторые крупные компании в РФ, работающие с физлицами в Евросоюзе запустили проекты по обеспечению соответствия требованиям GDPR. Тем не менее, как показывают различные глобальные опросы, большинство компаний (даже в ЕС) не соответствуют всем требованиям GDPR, поэтому представляется, что первыми внимание европейских регуляторов, скорее всего, привлекут организации в Евросоюзе, а из остальной части мира – компании, преимущественно нацеленные на клиентов-физлиц на территории ЕС. Тем не менее, всем российским организациям, оказывающим услуги субъектам данных, находящимся на территории ЕС и/или осуществляющим мониторинг их поведения, следует оценить возможность применимости Ст 3. GDPR и риски несоответствия. Если рисков нет – и черта нет, а если есть – черт не страшен подготовленным.