Уже несколько месяцев (если не лет) субъектов, работающих с персональными данными граждан ЕС, волнует вопрос: каким образом до сих пор не ратифицированные Украиной требования Общего регламента по защите персональных данных (GDPR) могут их коснуться?

Сегодня действует постановление Кабинета Министров Украины от 25 октября 2017 года № 1106, которым утвержден План мероприятий по выполнению Соглашения об ассоциации между Украиной с одной стороны и Европейским Союзом, Европейским сообществом по атомной энергии и их государствами-членами с другой.

Пунктом 11 данного Плана предусмотрено усовершенствование законодательства о защите персональных данных с целью приведения его в соответствие с Регламентом (ЕС) 2016/679, то есть GDPR. Указанные действия планировалось осуществить до 25 мая 2018 года, то есть до даты вступления регламента в силу. В настоящее время Координационным советом по усовершенствованию законодательства по защите персональных данных совместно с экспертами Секретариата омбудсмена все еще осуществляется анализ положений GDPR и нарабатываются соответствующие законодательные предложения. 

Тем не менее украинские компании, которые предвидят, что требования Регламента могут их коснуться, уже сейчас интересуются, каким образом проводится комплаенс по работе с персональными данными, какие данные охраняются GDPR и какие этапы необходимо пройти, чтобы защитить предприятие от имиджевых или финансовых рисков.

«Персональные данные» в понимании GDPR — это все данные, которые могут прямо или косвенно идентифицировать человека, включая имена, адреса электронной почты, идентификационные номера, номера кредитных карт и онлайн-профили. Пока что речь идет о защите персональных данных физических лиц, проживающих в ЕС.

Общеевропейским контролирующим органом по соблюдению GDPR является Европейский совет по защите данных (European Data Protection Board).

Механизм наложения штрафных санкций предполагает применение таких санкций в первую очередь по отношению к юридическим лицам, зарегистрированным в государствах — членах ЕС. В случае отсутствия таких представительств штрафные санкции могут быть применены по отношению к организациям, расположенным за пределами Еврозоны.

Применительно к украинским компаниям требования Регламента также распространяются в ряде случаев. Например, компания становится субъектом европейской системы защиты персональных данных в случаях предоставления ею товаров либо услуг для стран Евросоюза, оказания помощи лицам, проживающим в ЕС, в ознакомлении с офертами компаний, упоминания клиентов или пользователей, находящихся на территории ЕС, целенаправленного предложения товаров или услуг гражданам ЕС, а также в случае, если компания находится с представителями таких стран в подрядных взаимоотношениях, занимается трудоустройством европейцев в своих аффилированных структурах, в том числе представительствах.

Проведение комплаенса GDPR состоит из нескольких этапов.

Аудит персональных данных

При проведении аудита следует проанализировать способы получения и обработки информации о персональных данных физических лиц, в том числе проживающих на территории ЕС.

Данная информация может храниться на бумажных и электронных носителях. На основании полученной информации разрабатывается специальная «карта данных».

Эта карта может иметь вид инфографики, электронного документа, схемы-списка — в зависимости от того, что более применимо в конкретном случае. В карте отображаются: идентификация организации, обрабатывающей данные; данные о сотрудниках; сведения о лицах, ответственных за операции по обработке данных; категории обрабатываемых персональных данных физических лиц.

Также определяются цели обработки персональных данных. Это, например, получение организацией адресных данных покупателя для почтового отправления приобретенного товара; данные для отправки новостной рассылки; данные для проведения маркетинговых, социальных исследований.

При создании карты данных важно определить места хранения информации, например, ими могут быть картотека данных, электронные носители, архивы и т.д. Кроме того, определяются способы передачи данных — посредством обычной почтовой связи, электронной почты, мессенджеров и т.д.

Карта данных также предусматривает сроки хранения персональных данных. В каждом случае они индивидуальны. Здесь применяется установленный Регламентом принцип разумности сроков хранения.

Разработка политики конфиденциальности

Политика конфиденциальности является ключевым элементом при подготовке комплаенса организации. Данная работа включает в себя определение правовых оснований для обработки данных.

Собранная информация далее используется для составления уведомлений о конфиденциальности в соответствии с требованиями GDPR.

Отдельно разрабатываются инструкции для случаев, когда субъекты персональных данных могут заявить о своих правах.

В рамках разработки политики также следует урегулировать вопрос использования сторонних приложений (Google Maps, Google Fonts, Instagram-плагины и др.).

Процедуры для защиты персональных данных

В числе процедур, направленных на защиту персональных данных, — подготовка уведомления о том, какие данные физических лиц собирает сайт организации (в том числе IP-адрес, часовой пояс, язык по умолчанию, данные логина, личные данные, контактные данные). Уведомление также должно содержать цель и обоснование разумности сбора данных, указание на третьих лиц, которым могут быть переданы данные, срок хранения данных, разъяснение, каким именно образом пользователь имеет право затребовать изменение, удаление, доступ для ознакомления со своими данными.

Важны понимание и реализация выполнения следующих требований GDPR:

— размещение уведомлений об использовании cookie-файлов, использовании сторонних сервисов, работающих с персональными данными (Google Analytics, Facebook pixel, AdSense, DoubleClick и т.д.). При необходимости — заключение соответствующих соглашений (Data Protection Acts) на обработку данных;

— создание или обновление системы регистрации процессов обработки данных (для предоставления отчета наблюдательному органу или пользователю по его запросу). Это может быть, например, папка, содержащая в себе описание всех действий, направленных на соблюдение GDPR;

— безопасное хранение любых личных данных (шифрование компьютеров, дисков, при необходимости — способов передачи данных, хранение бумажных носителей под замком и т.д.), документирование и регулярные ревизии хранения и обработки персональных данных.

При этом необходимыми условиями являются получение организацией четкого, не оставляющего сомнений согласия физического лица на обработку его персональных данных и на определенные действия со стороны сайта организации (например, согласие на получение маркетинговых материалов, новостных рассылок на e-mail, использованный при регистрации), соблюдение принципа минимизации собираемых данных. Следует собирать только те персональные данные, которые действительно нужны. Нельзя забывать и о функции удаления персональных данных пользователя в случае отсутствия необходимости их обработки.

Кроме того, обязательными являются подготовка и внедрение плана реагирования в случае нарушения законодательства о защите персональных данных, предусматривающего уведомление о таком нарушении соответствующих надзорных органов в течение 72 часов. В рамках реализации данного плана желательно разработать документ, содержащий перечень нарушений и список мер, необходимых для их предупреждения или устранения.

Создание и размещение форм для запросов информации клиентами организации (например, о сохраненных персональных данных клиента и об удалении таких данных) является завершающим этапом комплаенс-аудита, в рамках которого организация получает возможность содействовать реализации субъектами персональных данных своих прав с помощью удобной прозрачной системы реагирования на соответствующие запросы.

Следует понимать, что рассмотренный выше случай охватывает далеко не все нормы Регламента. Если организация обрабатывает значительный объем данных, ее штат превышает 250 сотрудников или обрабатываются так называемые чувствительные данные, Регламентом устанавливаются дополнительные требования к обработке. Это в том числе наличие в штате организации ответственного за обработку данных (Data Protection Officer), назначение представителя организации в стране, данные граждан которой обрабатываются, введение ряда дополнительных политик и регламентов организации, связанных с обработкой данных.

Однако, как показывает практика, GDPR — это не только бесконечные правила и огромные штрафы. Уже сейчас многие европейские организации используют GDPR как инструмент маркетинга, подчеркивая свое соответствие требованиям Регламента.

В силу вышеуказанных причин конфиденциальность и защита персональных данных становятся актуальными темами для обсуждения в Европе. Европейские потребители хотят чувствовать себя комфортно в вопросах соответствия требованиям GDPR при работе с контрагентами.

Данные условия могут быть успешно использованы украинскими компаниями для развития своей электронной коммерции, ведь если компания соответствует требованиям GDPR, а ее конкурент — нет, то это может стать надежной точкой продаж на европейском рынке.

ГЛОТОВ Максим — старший партнер АО «Могильницкий и Партнеры», г. Киев