25 мая 2018 года Общий регламент о защите данных, также известный как GDPR, официально вступил в силу. Такая информация прокатилась лавиной по украинскому бизнесу с сотнями комментариев экспертов, мыслей, позиций, планов и страшных "пророчеств" о миллионных штрафах, которые ожидают всех и каждого как в ЕС, так и в Украине, кто, по мнению некоторых специалистов: "случайно получил персональные данные гражданина ЕС и обрабатывал их с несоблюдением требований GDPR". Бизнес переживал, суетился, делал "что-то, чтобы быть compliant", извещал своих пользователей о новой политике по обработке персональных данных, заново собирал согласия на обработку или тихо сидел, скрестив пальцы, надеясь, что все успокоится.
Прошел почти год, следом за шумом в ЕС спал гам и в Украине, в результате много кто остановился на импульсивном наборе случайных шагов в сторону соответствия требованиям GDPR, сделанных еще в мае прошлого года.
Сегодня наблюдаем затишье. Однако анализ последних событий дает основания сделать предвидение, что стоит ожидать дежурной волны броуновского движения в юридической плоскости среди бизнеса в Европе, а вслед и в Украине. Недавно CNIL (французский орган, ответственный за имплементацию законодательства о персональных данных) оштрафовал Google на 50,000,000 евро. Если коротко подытожить причину наложения штрафа: за "нехватку прозрачности перед пользователями относительно обработки их данных". Сомнительно, что этот факт пройдет мимо внимания бизнеса. Очевидно, Google не был последним, и вечеринка для европейских "копов" по защите персональных данных только начинается.
Соответственно, ожидается новый наплыв рывков со стороны бизнеса, и это станет достаточно логическим следствием последних событий. К сожалению, выглядит так, что ни европейский, ни украинский бизнес пока вовсе не готов систематизировать свои усилия в последовательный план действий, конечным результатом которого будет приведение бизнеса в соответствие с требованиями GDPR.
Я выбрал 10 сложных вопросов, обобщенных из собственной практики, которые в действительности задает себе украинский бизнес, и на которые часто не получает, или же получает недостоверные ответы. Однако, именно эти вопросы лежат в основе осознания проблемы под названием GDPR и масштабов ее влияния на нас. Зная ответы, ответственное лицо может систематизировать подход бизнеса к compliance процедурам и сложить road map или же отказаться от GDPR направления вообще.
Следовательно, попробую понятными словами дать ответы на эти распространенные вопросы.
1. Мой бизнес тоже могут оштрафовать на 50 млн евро как Google?
Могут, но не обязательно.
Статья 83 GDPR предусматривает размеры штрафов до 20,000,000 евро или до 4% от годового оборота группы компаний за существенные нарушения требований Регламента. Однако в заголовки новостей попадают штрафы от 1,000,000 евро. Немногие знают, что в ноябре 2018 года немецкая компания была оштрафована на 20,000 евро за хранение паролей пользователей в незашифрованном формате, или же о том, что в декабре того же года на португальское медицинское заведение был наложен штраф в размере 400,000 евро за использование фальшивых учетных записей работниками для доступа к данным пациентам, или же об относительно незначительном штраф в размере 4,800 евро, который был наложен в октябре 2018 года на австрийскую компанию за незаконное установление камеры видеонаблюдения в публичном месте (источник). Соразмерный штраф может наложить Гоструда за допуск к работе 2 неоформленных работников. В Германии существуют примеры еще меньших штрафов в размере 250-600 евро за совсем мелкие нарушения (источник).
При чем очевидно, что такие суммы для европейского предприятия не являются заоблачными. Возможно, GDPR не такой уже и монстр с бездонным карманом для штрафов, а лишь набор правил для справедливой имплементации требований ЕС относительно защиты данных? Оставлю эту мысль для размышлений каждому.
Кроме того, считаю уместным вспомнить, что по состоянию на 5 февраля 2019 года было наложено лишь 91 штраф в соответствии с GDPR, о чем свидетельствует статистика, приведенная Россом Маккином из DLA Piper (источник). Не поражает? Не думаю, что должно бы. Как это часто бывает, картинка, нарисованная СМИ и постами-репостами в соцсетях, выглядит в разы страшнее, чем реальная ситуация, подтвержденная сухими цифрами и фактами.
Отвечая на вопрос в подзаголовке 1 выше, выражу следующее мнение. Если будет идти речь о нарушении прав одного человека (например, ее данные были переданы работнику компании, который не должен был иметь соответствующего доступа) не стоит ожидать штраф, который будет превышать несколько тысяч евро. Когда же идет речь о миллионах пользователей и их правах, как в случае из Google, стоит четко понимать, что именно для таких случаев в текст закона была помещена часть о 4% от годового оборота группы компаний".
2. Что надо делать, чтобы мой бизнес точно оштрафовали?
Лучше всего ответить на этот вопрос несколькими примерами, чтобы очертить общую картину.
Пример 1. Никогда не удалять персональные данные пользователей. Например, хранить их прямо в blockchain или же не предусматривать возможность удалить свой профиль.
Пример 2. Требовать от пользователей согласие на обработку персональных данных, без которого они не могут пользоваться вашим сервисом.
Пример 3. Требовать предоставление персональных данных, которые не являются необходимыми для конкретного вида предлагаемых услуг.
Важно отметить, что маловероятной является инициатива контролирующих органов ЕС по очевидным причинам перегруженности, потому точно оштрафуют только тогда, когда к ним поступит жалоба от физического лица.
3. Если мы не будем ничего делать, нас точно оштрафуют?
Нет, не точно.
Как я уже отмечал в ответе на предыдущий вопрос, административные структуры, которые могут штрафовать за нарушение GDPR в ЕС, подобно своим коллегам в Украине, имеют существенно ограниченные человеческие и финансовые ресурсы. Надежным мостиком для привлечения к себе внимания может стать жалоба субъекта персональных данных. Поэтому можно месяцами или даже годами не делать никаких движений и не считаться с требованиями законодательства ЕС о персональных данных, оставаясь в тени тихо и спокойно вести бизнес без штрафов и связанных проблем. Однако, всегда существует шанс в неудобный момент получить полностью обоснованную жалобу от физического лица о том, что его данные обрабатывались с нарушением требований GDPR, и столкнуться со всеми негативными последствиями.
4. Какой украинский бизнес точно не подпадает под действие GDPR?
Тема территориального действия заняла бы второе место после штрафов на пьедестале объектов спекуляций относительно GDPR. Для тех, кому интересно глубже исследовать эту проблематику, рекомендую ознакомиться с разъяснениями EDPB (European Data Protection Board) относительно территориального действия GDPR (Guidelines 3/2018 on the territorial scope of the GDPR) от 16 ноября 2018 года (ссылка).
Попробую привести несколько примеров бизнеса в Украине, который точно не подпадает под действие GDPR, однако может искренне сомневаться в этом, принимая во внимание неточную информацию, которая свободно и успешно привидением гуляет в Сети.
Пример 1. Частное медицинское учреждение "Здоровье" находится и зарегистрировано в Киеве. Медицинское учреждение рекламирует свои услуги в Украине и не имеет специальных рекламных кампаний, нацеленных на территорию ЕС. "Здоровье" популярный среди поляков, которые живут в Киеве. Принимая во внимание это, заведение активно рекламирует свои услуги на польском языке в интернете для пользователей, которые находятся в Украине. Сайт медицинского учреждения предложен на украинском, английском и польском языках.
Комментарий 1. Такое медицинское учреждение не подпадает под действие GDPR по ни одному из критериев, поскольку оно не имеет ни учреждения на территории ЕС, ни не нацеливает свои услуги на физических лиц, которые находятся на территории ЕС. Сам факт наличия польской версии сайта или локальной рекламы в Украине для поляков не имеет юридических последствий и не затягивает "Здоровье" под действие GDPR.
Пример 2. Украинское медиа-агентство "Новинка", которое предлагает новости, блоги, путеводители и развлекательный контент на украинском и русском языках, нацеленное на аудиторию пользователей в Украине, в частности, на тех, кто часто путешествует. Каждую неделю ресурс публикует статью с советами относительно путешествий в один из городов в ЕС. Часто пользователи посещают "Новинку" во время своих путешествий, находясь на территории ЕС. Веб-сайт, на котором публикуются материалы, собирает информацию о посетителях, в частности, IP адреса, геолокацию, длительность посещения, количество переходов между страницами, и тому подобное.
Комментарий 2. Невзирая на то, что де-факто, медиа-агентство будет собирать персональные данные пользователей, которые находятся на территории ЕС, среди которых даже будет европейский IP адрес и место расположения пользователя на территории ЕС, GDPR не будет распространять свое действие на "Новинку", потому что обработка не связана с деятельностью ресурса в ЕС и не нацелена и прямо не предлагает свои услуги физическим лицам, которые находятся на территории стран Евросоюза. Более простыми словами, "Новинка" не обязана переживать, что кто-то из ее пользователей будет находиться в Гамбурге, читая дежурный путеводитель. Такие в известной степени случайные совпадения не значат, что медиа-агентство попадает под юрисдикцию GDPR.
Пример 3. Украинский технологический стартап "Тучка" расположен во Львове. Стартап разрабатывает программное обеспечение для американских брокеров, которое обрабатывает данные относительно торговли ценными бумагами на Нью-Йоркской фондовой бирже, строя разнообразную полезную графику и аналитику. "Тучка" арендует серверы у провайдера в Германии, где, среди прочего, хранит данные о пользователях.
Комментарий 3. Важным моментом в таком примере будет то, что провайдер в Германии подпадает под действие GDPR и обязан отвечать требованиям закона к процессору персональных данных. Однако, сам стартап из Украины автоматически не попадает под юрисдикцию GDPR, поскольку его деятельность не нацелена на рынок ЕС и он не имеет учреждения там.
5. Какой украинский бизнес точно подпадает под действие GDPR?
Опять приведу несколько примеров, в этот раз приближенных к тем, с которыми сталкивался в своей практике, когда для бизнеса становилось сюрпризом, что GDPR применяется к нему.
Пример 1. Украинская компания "Розумничка" в Житомире занимается разработкой систем типа "умный дом", который включает у себя аппаратную и программную части, обе изготовлены в Украине. Все данные о пользователях и покупателях обрабатываются, в частности, хранятся, в Украине. Систему можно приобрести непосредственно на веб-сайте "Розумнички", который доступен на украинском и английском языках, проведя расчет в гривне или евро. Предлагается бесплатная доставка по целому миру. На сайте доступны истории пользователей "умного дома" из Украины, Румынии и Дании.
Комментарий 1. Невзирая на то, что полный цикл изготовления и разработки осуществляется в Украине, "Розумничка" нацелена на продажу своего продукта в Евросоюзе, о чем свидетельствует доступность сайта на английском, возможность расчета в евро и истории пользователей в ЕС. Потому GDPR будет применяться к обработке компанией персональных данных пользователей из ЕС.
Пример 2. Специализированная украинская юридическая компания "Наши", которая расположена в Полтаве, занимается юридической поддержкой украинцев в Чехии. Веб-сайт компании доступен лишь на украинском языке и расположен на домене .ua. "Наши" обрабатывает данные о своих клиентах, которые предоставляются ей во время сотрудничества относительно решения юридических вопросов украинцев в Чехии. Расчет проводится исключительно на банковский счет компании в Украине в гривнях.
Комментарий 2. Все вышеуказанные детали, даже то, что идет речь о данных украинцев, не имеют юридического значения для GDPR, поскольку "Наши" предлагают свои услуги физическим лицам на территории ЕС и обрабатывают их данные. Этого факта достаточно, чтобы GDPR переключил рубильник в позицию "Вкл". относительно конкретной деятельности украинской компании.
Пример 3. Украинская агрокомпания "Землица", которая находится в Черкассах, изготовляет хлебопродукты. Агрокомпания имеет 4000 работников в Украине. Для осуществления продаж в Европе, агрокомпания открыла небольшой офис во Франции, наняв там 3-х местных работников. Данные французских работников обрабатываются отделом кадров в Черкассах. Пока что 100% продаж бизнеса происходят в Украине.
Комментарий 3. Хотя количество работников "Землицы" во Франции представляет 0.075% от всех работников компании, а на продажи в ЕС приходится часть в 0%, GDPR применяется к "Землице", по крайней мере в части обработки данных работников во Франции.
Для общего понимания стоит дополнительно отметить, что GDPR распространяется на бизнес, который нацелен на лиц на территории ЕС , независимо от гражданства или происхождения, а не на граждан ЕС, о чем часто можно почитать или услышать.
6. Если мой бизнес получит запрос от гражданина ЕС на удаление его данных, я обязан его выполнить в соответствии с требованиями GDPR даже, если сам бизнес не подпадает под требования GDPR?
Нет, такая мысль является ошибочной.
Если бизнес не попадает под юрисдикцию GDPR, он не обязан выполнять его требования через единичные запросы даже от граждан ЕС или лиц, которые находятся на территории ЕС. Однако, не стоит забывать, что в Украине также существует Закон "О защите персональных данных", в соответствии с которым лицо может отзывать свое согласие на обработку, соответственно, данные должны быть удалены.
7. Могу ли я разделить обработку данных в пределах одного бизнеса так, чтобы только определенная часть операций отвечала требованиям GDPR?
Да, это возможно.
GDPR позволяет бизнесу не соответствовать его требованиям в той части, на которую закон не распространяется. Таким образом, компания "Розумничка" из Житомира может разделить обработку персональных данных своих пользователей на 2 отдельных потока и обеспечить соответствие GDPR только относительно той обработки, которая касается пользователей из территории ЕС.
8. Я обновил текст политики обработки персональных данных на своем веб-сайте в соответствии с требованиями GDPR. Теперь я compliant?
Конечно нет. Хотя, к сожалению, создается убедительное впечатление, что большая часть компаний именно так и считает.
Политика относительно обработки персональных данных - это лишь одно из средств отвечать требованиям GDPR. К тому же, перед тем, как обновлять политику и сообщать об этом тысяче пользователей, стоит исследовать, на самом ли деле бизнес выполняет все то, что обещает в политике, и насколько глубоко внедрены технические механизмы, которые это обеспечивают. Политика - это средство коммуникации бизнеса с субъектами, чьи персональные данные он обрабатывает, и GDPR требует, чтобы эта коммуникация была прозрачной, четкой, полной и понятной. Об этом свидетельствует хорошо известный пример Google (источник).
Короткий совет: следуйте такому обобщенному плану. 1. Что мы обрабатываем? 2. Почему мы это обрабатываем? 3. Как мы это обрабатываем? 4. Где мы это обрабатываем? 5. Как мы это должны обрабатывать? 6. Мы обрабатываем это так, как должны? Когда ответ на последний вопрос "да", только тогда переходим к следующему пункту. 7. Описываем ответы на эти вопросы в политике и сообщаем об этом своим пользователям.
9. Сколько времени займет приведение бизнеса в соответствие требованиям GDPR?
Приблизительно 1 год.
В зависимости от размера бизнеса и объемов обработки персональных данных срок может быть как немного меньшим, так и значительно более длинным, однако в большинстве случаев одного года достаточно для того, чтобы настроить основные процессы бизнеса в соответствии с требованиями GDPR.
10. GDPR - это набор юридических требований, мои юристы сказали, что бизнес отвечает требованиям, потому я compliant? (Альтернативный вопрос: GDPR - это набор технических требований, мои технические специалисты сказали, что бизнес отвечает требованиям, потому я compliant?)
Ответ на оба вопроса: нет, не обязательно.
Парадоксально существуют два противоположных маргинальных подхода до восприятия GDPR. Для одних это всего лишь набор юридических норм, а для других - только технических требований. В действительности оба подхода ошибочные. GDPR - это комплекс юридических правил обработки персональных данных, который ничего не достоин без технических средств относительно их имплементации. Личная практика подтверждает, что над тем, чтобы привести бизнес к состоянию "compliant with the GDPR", должна работать команда, которая состоит хотя бы из одного юриста и одного специалиста по информационной безопасности. Только в таком согласованном тандеме возможно обеспечить настоящее соответствие с требованиями GDPR в полном спектре: от юридических процессов до технических средств.
С 9 по 23 октября 2020 приглашаем посетить курс "GDPR В УКРАИНЕ: практика применения". Во время мероприятий вы узнаете об: основах GDPR - принципах обработки, правах субъектов, ответственности; о применении GDPR комплаенс для компании; о кукисах и консентах в GDPR.
***
Рассмотреть результаты положений GDPR на примере некоторых кейсов вы сможете в материале ЮРИСТ&ЗАКОН по ссылке.
Для получения доступа к другим материалам информационно-правовой системы ЛИГА:ЗАКОН, воспользуйтесь свободным тестом