Время работы: пн. - пт. 9.00 - 18.00
General Data Protection Regulation (GDPR) - Общий регламент
по защите данных
Входим в ведущие рейтинги и объединения страны:
старший юрист и руководитель блока регистрации товарных знаков и промышленных образцов
Рейтинг материала:
Что из себя представляет GDPR?
С каждым годом развитие информационных технологий приводит к появлению всё новых и новых технических и информационных решений, затрагивающих все сферы нашей жизни. Особенно остро стоит вопрос использования личной информации физических лиц. Для его регулирования во многих странах мира уже приняты различные законы, например:
В США основное регулирование обработки сведений о физических лицах происходит на уровне штатов. Так, в штате Калифорния был принят закон Калифорнии о защите персональных данных потребителей (California Consumer Privacy Act, CCPA)
В Китае использование личной информации регулируется законом КНР о защите персональной информации (PIPL)
Процессинг сведений о физических лицах в России регулируется Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ и подзаконными нормативными актами Правительства, Роскомнадзора и других государственных органов РФ
Личные данные жителей Европейского союза обрабатываются в соответствии Общим (генеральным) регламентом о защите персональных данных (General Data Protection Regulation, далее «GDPR» или «Регламент»). GDPR принят 27 апреля 2016 года и вступил в силу 25 мая 2018 года, заменив собой Директиву 95/46/ЕС от 24 октября 1995 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных
GDPR регулирует множество аспектов обработки личной информации, включая:
Принципы обработки личной информации
- Законность
- Целевое ограничение использования сведений о физических лицах
- Минимум данных
- Точность личной информации
- Ограничение сроков хранения сведений о физических лицах
- Целостность личной информации
- Конфиденциальность сведений
Права субъектов ПДн
- Право на информацию
- Право на отказ от процессинга (отзыв согласия)
- Право на ограничение процессинга
- Право на доступ
- Право на актуализацию
- Право на корректировку
- Право на забвение (удаление)
- Право на перенос персональных данных
- Право субъекта на отказ от исполнения решений, основанных на автоматизированной обработке
- Право на возражение
- Ограничения прав субъектов
Контролёры и обработчики сведений о физических лицах
- Права, обязанности и ответственность контролёра и обработчика
- Взаимодействие контролеров и обработчиков с надзорными органами
- Меры защиты личной информации
- Порядок оценки мер защиты сведений о физических лицах
Трансграничная передача личной информации
- Принципы трансграничной передачи ПДн
- Порядок передачи ПДн
- Требования к отдельным случаям трансграничной передачи личной информации
Государственные органы, контролирующие использование личной информации
- Общие требования
- Принципы деятельности
- Компетенция и задачи
Сотрудничество и согласование деятельности государственных органов, контролирующих использование сведений о физических лицах
- Принципы сотрудничества
- Порядок взаимодействия
- Принципы, компетенция и задачи Европейского совета по защите ПДн
Правовая защита, ответственность и санкции за нарушение GDPR
- Меры правовой защиты
- Права субъектов при защите ПДн
- Принципы ответственности и санкций
Особенности отдельных случаев обработки ПДн
- Соотношение процессинга личной информации, свободы выражения мнений и распространения информации
- Использование личной информации в официальных документах
- Процессинг государственных идентификаторов
- Использование личной информации в трудовых отношениях
- Процессинг личных сведений в архивных целях
Кому необходимо его соблюдать?
По общему правилу Регламент распространяется на контролеров и обработчиков, учрежденных и действующих в Европейском союзе, независимо от фактического места обработки сведений о физических лицах
GDPR также распространяется на иностранных лиц, использующих личную информацию о физических лицах, постоянно или преимущественного проживающих в Европейском союзе, в ситуациях, когда:
1
Деятельность связана с предложением товаров или услуг, вне зависимости от того, требуется ли оплата от субъекта ПДн в Евросоюзе.
Такая формулировка подразумевает очень широкий круг лиц. Например, большинство Интернет-магазинов могут подпасть под данную формулировку, если:
Такая формулировка подразумевает очень широкий круг лиц. Например, большинство Интернет-магазинов могут подпасть под данную формулировку, если:
- Веб-сайт Интернет-магазина локализован под языки стран Европейского союза. Примечание: учитывается и оформление веб-сайта на английском языке, если при этом выполняется одно из условий, приведенных ниже
- Интернет-магазин расположен в доменной зоне Европейского союза, стран членов ЕС или на общемировых доменных зонах
- Интернет-магазин осуществляет доставку или оказание услуг физическим лицам, постоянно или преимущественного проживающим на территории ЕС
- Маркетинг (третированная реклама или другие варианты рекламных кампаний) направлен на жителей ЕС
- Осуществляются трансграничные денежные переводы на территорию Европейского союза
- В компьютерных приложениях отслеживается геопозиция и ими могут пользоваться жители ЕС
2
Процессинг личной информации совершаются на территории Евросоюза, то есть хранение, использование, сбор или другая обработка осуществляются на территории Европейского союза или на центрах обработки данных, сервера которых расположены на территории ЕС
3
Процессинг личной информации физических лиц, постоянно или преимущественного проживающих в Европейском союзе, осуществляется за пределами ЕС
Вывод: под действие GDPR могут попадать российские компании и предприниматели, работающие с юридическими лицами одной из стран-членов Европейского союза или осуществляющие продажу европейским гражданам товаров или услуг через всемирную сеть. В качестве примеров операторов личной информации, подпадающих под действие GDPR можно привести: авиакомпании, турагентства, гостиницы и организации, сотрудниками которых являются граждане ЕС
На практике вышеизложенные условия создают много неясных ситуаций в зависимости от конкретного случая, например, действия российской компании могут признать подпадающими под регулирование GDPR, если компания приводит в портфолио своих контрагентов компании из Европейского союза
Особенности GDPR и его сравнение с ФЗ 152
Между Регламентом и ФЗ 152 много общего, так как они регулируют процессинг сведений о физических лицах. Есть при этом и существенные различия:
Различные подходы к сторонам процессинга личной информации
ФЗ 152 предусматривает две основные роли: оператора и субъекта ПДн, а Регламент предусматривает роли контролера, обработчика и субъекта ПДн.
Контролер – лицо, которое определяет, как именно и какая личная информация будет использоваться.
Обработчик – лицо, осуществляющее процессинг личной информации по поручению контролера.
При этом, оператор по 152-ФЗ также может быть поручить обработку личной информации другому лицу.
ФЗ 152 предусматривает две основные роли: оператора и субъекта ПДн, а Регламент предусматривает роли контролера, обработчика и субъекта ПДн.
Контролер – лицо, которое определяет, как именно и какая личная информация будет использоваться.
Обработчик – лицо, осуществляющее процессинг личной информации по поручению контролера.
При этом, оператор по 152-ФЗ также может быть поручить обработку личной информации другому лицу.
Различные подходы к административной ответственности
В российских реалиях ответственность за нарушение норм, посвященных обработке персональных данных и предусмотренных законом №152-ФЗ, несет только оператор ПДн (с правом "перевыставить" возникшие убытки обработчику). Согласно GDPR санкции со стороны государственных органов могут быть наложены как на оператора, так и на обработчика данных
В российских реалиях ответственность за нарушение норм, посвященных обработке персональных данных и предусмотренных законом №152-ФЗ, несет только оператор ПДн (с правом "перевыставить" возникшие убытки обработчику). Согласно GDPR санкции со стороны государственных органов могут быть наложены как на оператора, так и на обработчика данных
Локализация процесса обработки
Согласно Регламенту, личные данные могут храниться и обрабатываться на территории за пределами Европейского союза, в отличие от закона №152-ФЗ, согласно которому весь процесс использования личной информации должен происходить на территории РФ
Согласно Регламенту, личные данные могут храниться и обрабатываться на территории за пределами Европейского союза, в отличие от закона №152-ФЗ, согласно которому весь процесс использования личной информации должен происходить на территории РФ
Территория действия
Из вышеуказанного различия следует еще один аспект: Регламент распространяется на любого контролера и обработчика даже находящегося за пределами территории ЕС, а закон №152-ФЗ ограничивает своё действие территорией РФ (однако распространяется, при этом, на зарубежные платформы в части "локализации" серверов для хранения личных сведений российских граждан)
Из вышеуказанного различия следует еще один аспект: Регламент распространяется на любого контролера и обработчика даже находящегося за пределами территории ЕС, а закон №152-ФЗ ограничивает своё действие территорией РФ (однако распространяется, при этом, на зарубежные платформы в части "локализации" серверов для хранения личных сведений российских граждан)
Различие в правах физических лиц
В Законе о персональных данных, в отличие от Регламента отсутствуют такие права, как:
– Право на перенос личной информации
– Право на ограничение процессинга
В Законе о персональных данных, в отличие от Регламента отсутствуют такие права, как:
– Право на перенос личной информации
– Право на ограничение процессинга
Степень урегулирования
Закон о персональных данных устанавливает только общие условия процессинга, отдавая значительную часть регулирования подзаконным нормативным актам, а GDPR регулирует все аспекты использования личной информации
Закон о персональных данных устанавливает только общие условия процессинга, отдавая значительную часть регулирования подзаконным нормативным актам, а GDPR регулирует все аспекты использования личной информации
Порядок уведомления об утечках
Согласно GDRP, в случае утечки личной информации необходимо уведомить надзорный орган и лицо, сведения о котором фигурировали в материалах утечки, а закон №152-ФЗ обязывает только уведомить об этом Роскомнадзор (с риском, однако, уплатить значительные штрафы начиная с весны 2025 года)
Согласно GDRP, в случае утечки личной информации необходимо уведомить надзорный орган и лицо, сведения о котором фигурировали в материалах утечки, а закон №152-ФЗ обязывает только уведомить об этом Роскомнадзор (с риском, однако, уплатить значительные штрафы начиная с весны 2025 года)
Наличие сертификации на соответствии требований Регламента
Регламент в отличие от Закона о персональных данных устанавливает необходимость сертификации на соответствие требованиям GDRP
Регламент в отличие от Закона о персональных данных устанавливает необходимость сертификации на соответствие требованиям GDRP
- старший юрист ООО «Афонин, Божор и партнеры»
- руководитель блока регистрации товарных знаков и промышленных образцов
Принципы, требования GDPR и права субъектов ПДн (что необходимо сделать для соблюдения Регламента)
В случае, когда продуктами российской компании пользуются граждане других стран, то необходимо учесть законодательство этих стран, регулирующее процессинг личной информации. Например, если значительную часть аудитории портала или мобильного приложения составляют жители Калифорнии, то потребуется учитывать закон Калифорнии о защите конфиденциальной информации потребителей (CCPA). А если основная часть пользователей - жители Китая или Индии тогда необходимо руководствоваться нормами Закона КНР о защите персональной информации (PIPL) и Закона Индии о защите цифровых персональных данных (PDPB). Если же речь идет о клиентах - гражданах Европейского союза, то необходимо обязательно учесть положения Регламента
Для понимания того, как именно нужно соблюдать GDPR, следует разобраться с принципами обработки ПДн, заложенными в основу Регламента и основными его требованиями, которые необходимо соблюдать
Принципы использования личной информации, заложенные в GDPR:
1] Законность | Процессинг личной информации должен происходить, только на законных основаниях. Например, перед началом использования сведений о физическом лице необходимо получить от физического лица соответствующее согласие |
2] Справедливость | При осуществлении процессинга сведений о физических лицах, всем должны предоставляться равные права и возможности. Компании должны подходить к использованию личной информации субъектов из разных социальных групп на паритетных началах, например, нельзя обрабатывать разные категории личной информации субъектов из разных социальных групп, когда данные используются для достижения одной цели. |
3] Открытость | Использование личной информации должно происходить открыто, чтобы субъект знал о факте обработки сведений и конкретных методах работы с ними |
4] Ограничения целями | Обработчики и контролеры должны прямо и недвусмысленно указать, для каких целей они будут использовать личную информацию. |
5] Минимализм информации | Используемые ПДН не должны выходить за обозначенные цели обработки, например, нельзя обрабатывать сведения о расовой принадлежности для доставки товара |
6] Актуальность | Личная информация должна быть точной. И обработчик, и контролер должны предпринимать меры для их своевременного обновления, корректировки или удаления |
7] Ограничение хранения | Личная информация не должна храниться больше срока, который необходим для достижения целей обработки, за исключением случаев, установленных Регламентом |
8] Целостность и конфиденциальность | Должна быть обеспечена защита процессинга личной информации от несанкционированной или незаконной обработки, а также от случайной потери, повреждения или уничтожения. |
9] Отчетности | Компания, осуществляющая процессинг личных данных, должна неукоснительно соблюдать требования Регламента и при необходимости подтвердить их исполнение. |
Основные требования Регламента:
Необходимо назначить лицо, ответственное за использование личной информации. Назначенное лицо должно хорошо знать нормы GDRP
Процессинг должен осуществляться на основании согласия физического лица на использование его личной информации. Согласие должно быть:
Добровольным:
– физическое лицо может полностью или частично отказаться от предоставления согласия (субъект ПДн должен иметь право предоставлять только те персональные данные, которые действительно необходимы)
– cбор согласий не должен быть принудительным. Так, например, при сборе согласий в электронной форме с помощью проставления отметки («галочки») в специальном чекбоксе, такая отметка не должна быть проставлена заранее автоматически.
Информированным – согласие на процессинг личных данных должно содержать минимальную информацию, с помощью которой субъект поймёт, кто, как и для каких целей собирает и обрабатывает персональные данные
Однозначным:
– воля субъекта на предоставление согласия должны быть выражена без каких-либо неясностей, витиеватостей и двусмысленности
– волеизъявление должно быть чётким и проверяемым действием независимо от формы сбора согласия (молчание или бездействие ни в какой форме не могут служить волеизъявлением на предоставление согласия)
Конкретным. Информации о порядке использования личных данных должна быть сформулирована четко, без вариативности толкования
Добровольным:
– физическое лицо может полностью или частично отказаться от предоставления согласия (субъект ПДн должен иметь право предоставлять только те персональные данные, которые действительно необходимы)
– cбор согласий не должен быть принудительным. Так, например, при сборе согласий в электронной форме с помощью проставления отметки («галочки») в специальном чекбоксе, такая отметка не должна быть проставлена заранее автоматически.
Информированным – согласие на процессинг личных данных должно содержать минимальную информацию, с помощью которой субъект поймёт, кто, как и для каких целей собирает и обрабатывает персональные данные
Однозначным:
– воля субъекта на предоставление согласия должны быть выражена без каких-либо неясностей, витиеватостей и двусмысленности
– волеизъявление должно быть чётким и проверяемым действием независимо от формы сбора согласия (молчание или бездействие ни в какой форме не могут служить волеизъявлением на предоставление согласия)
Конкретным. Информации о порядке использования личных данных должна быть сформулирована четко, без вариативности толкования
Доступность изложения порядка процессинга личной информации, то есть сведения о способах и целях обработки данных, а также об их перечне, должны быть изложена простым и понятным языком
В случае нарушения GDPR и/или утечки личной информации контролер обязан уведомить об этом надзорный орган и физических лиц, чьи данные фигурировали в скомпрометированных файлах
Личные данные должны удаляться сразу по достижении целей обработки, если иное не установлено Регламентом
Контролер и обработчик должны неукоснительно соблюдать принципы использования личной информации, заложенные в основу Регламента
- Право на информацию. Физическое лицо имеет право получать информацию о том, как осуществляется использование личной информации, а контролер должен обеспечить возможность свободного ознакомления с политикой конфиденциальности
- Право на отказ от процессинга (отзыв согласия). Субъект имеет право отозвать своё согласие на использования личной информации в любое время, а организация должны прекратить процессинг, если нет иных оснований для использования лично информации
- Право на ограничение процессинга. Физическое лицо может потребовать от контролёра ограничить использование его личной информации
- Право на доступ. Гражданин имеет право получить доступ к используемой личной информации
- Право на актуализацию. Физическое лицо должно иметь возможность обновить/уточнить свою личную информацию
- Право на корректировку. Контролер должен обеспечить возможность скорректировать или исправить неточные сведения о физическом лице
- Право на забвение (удаление). Гражданин может потребовать контролёра удалить всю личную информацию
- Право на перенос персональных данных. По требованию физического лица направить контролёру требование о передаче его личной информации другому контролёру
- Право субъекта на отказ от исполнения решений, основанных на автоматизированной обработке. Гражданин может не подчиняться решению, принятому на основании автоматизированного процессинга его личной информации за исключением случаев, когда:
- автоматизированный процессинг нужен для заключения/исполнения договора
- автоматизированное использование предусмотрено законодательным актом или субъект дал согласие на автоматизированную обработку
- Право на возражение. Субъект может оспорить действия контролера в надзорном органе или суде
Права субъектов согласно GDRP:
Для соблюдения требований Регламента необходимо:
- На первом этапе - выявить цели прессинга и перечень личной информации, которая будет использоваться, распределить её по категориям и определить методы и способы процессинга
- Далее следует скорректировать политику конфиденциальности (политику обработки персональных данных) и формы согласий для соответствия GDPR. При необходимости - скорректировать формы сбора согласий на использование личных сведений, например, сделать отдельный чекбокс для предоставления согласий на использование ПДн и/или осуществление рекламных рассылок, сделать всплывающее уведомление об обработке файлов Cokkie;
- На третьем этапе необходимо назначить лицо, ответственное за процессинг личной информации
- Затем следует проверить принятие организационных и технических мер защиты личной информации в процессе её использования
- На заключительном этапе необходимо обеспечить право субъектов на доступ к своей личной информации. "Программа минимум" - это публикация контактов контролера для принятия обращений субъектов
Ответственность по GDPR
В Российской Федерации с момента вступления в силу Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ организации не уделяли значительного внимания работе с личной информации, так как перечень нарушений законодательства и штрафы за нарушение требований закона были несущественными. В последние несколько лет такая практика изменилась. Так, были введены штрафы в размере до 6 000 000 рублей был введен за несоблюдение требования о локализации баз с информацией о гражданах РФ на российских серверах. В дальнейшем в статью 13.11 КоАП РФ были добавлены новые составы правонарушении с большими штрафами, а с 30 мая 2025 года в несколько раз увеличились штрафы и за другие нарушения
Ситуация в Европейском союзе с момента принятия GDPR - прямо противоположная, компании строго следят за соблюдением требований Регламента, это связано с тем, что GDPR установил очень серьезные штрафные санкции за правонарушения
В каждой стране, входящей в Европейский союз, установлены собственные минимальные суммы штрафов. Конкретная сумма штрафа в каждом случае определяется в зависимости от следующих условий:
✓ Характер, грубость и сроки нарушения
✓ Объем и цели прессинга личной информации, количество субъектов ПДН и размер нанесенного им ущерба
✓ Степень вины и меры, направленные на минимизацию ущерба, нанесенного субъектам
✓ Принятые технические и организационные меры
✓ Объем и цели прессинга личной информации, количество субъектов ПДН и размер нанесенного им ущерба
✓ Степень вины и меры, направленные на минимизацию ущерба, нанесенного субъектам
✓ Принятые технические и организационные меры
✓ Первое или повторное нарушение
✓ Сотрудничество с надзорным органом по устранению нарушения и его последствий
✓ Категории личной информации, затронутые в нарушении
✓ Наличие или отсутствие уведомления о нарушении
✓ Соблюдение кодексов поведения и механизмов сертификации
✓ Сотрудничество с надзорным органом по устранению нарушения и его последствий
✓ Категории личной информации, затронутые в нарушении
✓ Наличие или отсутствие уведомления о нарушении
✓ Соблюдение кодексов поведения и механизмов сертификации
Учитыватеся также цель нарушения (например, получение финансовой выгоды) в случае умышленного нарушения.
На данный момент предусмотрены следующие максимальные размеры штрафов:
На данный момент предусмотрены следующие максимальные размеры штрафов:
- -!-Неисполнение обязанностей контролёра и обработчика, несоблюдение сертификации: до 10 000 000 евро или до 2% от годового оборота в стране, где произошло нарушение
- -!-Нарушение принципов процессинга, прав физических лиц, порядка трансграничной передачи: до 20 000 000 евро или до 2% годового оборота в стране, где произошло нарушение
- -!-Нарушение предписаний надзорных органов: до 20 000 000 евро или до 4 % годового оборота в стране, где произошло нарушение
Примечание. При назначении штрафов учитывается следующее:
– При трансграничном нарушении, штраф назначается в каждой отдельной стране
– При единовременном выявлении нескольких нарушений Регламента, суммы штрафов не складываются, а назначается общий штраф в пределах максимального размера штрафа за самое серьёзное нарушение
– При трансграничном нарушении, штраф назначается в каждой отдельной стране
– При единовременном выявлении нескольких нарушений Регламента, суммы штрафов не складываются, а назначается общий штраф в пределах максимального размера штрафа за самое серьёзное нарушение
Примеры применения санкций, предусмотренных Регламентом, и конкретных штрафов:
“
В 2018 году маркетплейс Amazon был оштрафован на 746 000 000 Евро за манипулирование получаемой клиентами информацией на основе их предпочтений в коммерческих целях
“
Американская корпорация Google за нарушения порядка сбора согласий на использования данных физических лиц была оштрафована на 57 000 000 Евро
“
Авиакомпания British Airways была оштрафована 204 600 000 Евро за утечку ПДн более 500 000 физических лиц - заказчиков услуг по авиаперевозке
Стоит также учесть, что помимо штрафов Регламент предусматривает и другие меры ответственности, такие как:
- Блокировка сайта на территории Европейского союза
- Наложение ареста на банковские счета
- Запрет распоряжения недвижимым имуществом
- Меры, запрещающие определенные действия руководству контролера/обработчика
Вам понравилась статья?
Поделиться в соцсетях:
Мы выступаем экспертами в СМИ
