Открыть сервис

General Data Protection Regulation

Общий регламент по защите данных (GDPR) — это нормативный правовой акт Европейского союза, регулирующий обработку и защиту персональных данных физических лиц — резидентов ЕС, а также свободное перемещение таких данных. Принятый 27 апреля 2016 года и вступивший в силу 25 мая 2018 года, GDPR заменил Директиву о защите данных 1995 года и стал одним из наиболее строгих и влиятельных законов о конфиденциальности в мире. Регламент устанавливает единые правила для всех стран-членов ЕС, а также распространяется на организации за пределами Евросоюза, которые обрабатывают данные резидентов ЕС.

История и предпосылки принятия

Развитие цифровой экономики и угрозы приватности

К началу 2010-х годов интернет-экономика и сбор данных достигли масштабов, не предусмотренных Директивой 1995 года. Крупные технологические компании (Google, Facebook (организация признана экстремистской и запрещена в РФ), Amazon) собирали огромные массивы персональных данных, часто без явного согласия пользователей. Утечки данных и скандалы (например, дело Cambridge Analytica) подорвали доверие граждан к цифровым сервисам. Европейская комиссия признала, что существующее законодательство неадекватно защищает права граждан в условиях больших данных, облачных вычислений и социальных сетей.

Процесс разработки

Разработка GDPR заняла более четырёх лет. В январе 2012 года Европейская комиссия опубликовала проект регламента. После интенсивных переговоров между Европейским парламентом, Советом ЕС и Европейской комиссией (триалог) окончательный текст был согласован в декабре 2015 года. Регламент был официально принят в апреле 2016 года, после чего начался двухлетний переходный период для адаптации организаций.

Основные принципы и цели

GDPR базируется на ряде фундаментальных принципов обработки персональных данных, закреплённых в статье 5 Регламента:

  • Законность, справедливость и прозрачность: Обработка данных должна иметь законное основание, быть справедливой по отношению к субъекту данных, а информация об обработке — ясной и доступной.
  • Ограничение целей: Данные собираются только для определённых, явных и законных целей и не обрабатываются далее несовместимым с этими целями образом.
  • Минимизация данных: Обрабатываться должны только те данные, которые необходимы для достижения заявленных целей.
  • Точность: Данные должны быть точными и, при необходимости, обновляться.
  • Ограничение хранения: Данные хранятся в форме, позволяющей идентифицировать субъектов, не дольше, чем это необходимо для целей обработки.
  • Целостность и конфиденциальность: Данные обрабатываются с обеспечением надлежащей безопасности, включая защиту от несанкционированной или незаконной обработки и от случайной потери.
  • Подотчётность (Accountability): Контролёр данных (организация, определяющая цели и средства обработки) несёт ответственность за соблюдение принципов и должен быть способен это продемонстрировать.

Цель GDPR — не просто защита данных, а возвращение контроля гражданам над их личной информацией и создание единого цифрового рынка ЕС с унифицированными правилами.

Ключевые понятия и определения

  • Персональные данные: Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных). Включает имя, адрес, IP-адрес, идентификаторы cookie, биометрические и генетические данные, данные о местоположении, онлайн-идентификаторы.
  • Субъект данных: Физическое лицо, чьи персональные данные обрабатываются.
  • Контролёр (Data Controller): Организация (юридическое или физическое лицо), которая определяет цели и средства обработки персональных данных.
  • Обработчик (Data Processor): Организация, которая обрабатывает персональные данные от имени контролёра (например, облачный провайдер, бухгалтерская фирма).
  • Обработка: Любое действие (операция) с персональными данными (сбор, запись, организация, хранение, изменение, использование, передача, удаление и т.д.).
  • Согласие: Любое свободно данное, конкретное, информированное и однозначное волеизъявление субъекта данных, посредством которого он соглашается на обработку своих данных.
  • Нарушение персональных данных (Data Breach): Нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным.

Сфера действия и территориальный охват

Одно из самых значительных нововведений GDPR — его экстерриториальный характер. Регламент применяется к:

  1. Контролёрам и обработчикам, учреждённым в ЕС, независимо от того, где происходит обработка данных.
  2. Контролёрам и обработчикам, не учреждённым в ЕС, если они обрабатывают персональные данные субъектов данных, находящихся в ЕС, в связи с:
  • Предложением товаров или услуг (независимо от того, требуется ли оплата) резидентам ЕС.
  • Мониторингом их поведения, если это поведение происходит в пределах ЕС (например, отслеживание посетителей сайта из ЕС с помощью файлов cookie).

Таким образом, любая российская компания, имеющая клиентов или пользователей из стран ЕС, обязана соблюдать GDPR.

Права субъектов данных

GDPR значительно расширяет права граждан. Ключевые права включают:

  • Право на информацию: Контролёр обязан предоставить субъекту данных подробную информацию о том, какие данные собираются, для каких целей, на каком законном основании, как долго хранятся и кому передаются.
  • Право на доступ: Субъект данных имеет право запросить у контролёра подтверждение, обрабатываются ли его данные, и получить к ним доступ, а также копию данных (статья 15).
  • Право на исправление: Субъект данных может потребовать исправить неточные или неполные данные (статья 16).
  • Право на удаление («право быть забытым»): Субъект данных может потребовать удаления своих данных при определённых условиях (например, если данные больше не нужны для целей, для которых они были собраны, или если отозвано согласие) (статья 17).
  • Право на ограничение обработки: Субъект данных может потребовать временно приостановить обработку его данных (например, при оспаривании их точности) (статья 18).
  • Право на переносимость данных: Субъект данных имеет право получить свои данные в структурированном, широко используемом и машиночитаемом формате и передать их другому контролёру (статья 20).
  • Право на возражение: Субъект данных имеет право возражать против обработки его данных в определённых целях, включая прямой маркетинг (статья 21).
  • Права в отношении автоматизированного принятия решений и профилирования: Субъект данных имеет право не подвергаться решению, основанному исключительно на автоматизированной обработке, включая профилирование, которое влечёт за собой юридические последствия или аналогичным образом существенно влияет на него (статья 22).

Обязанности организаций (контролёров и обработчиков)

Организации, подпадающие под действие GDPR, должны выполнять ряд требований:

  • Назначение представителя в ЕС: Для организаций за пределами ЕС, обрабатывающих данные резидентов ЕС.
  • Ведение записей обработки данных (Records of Processing Activities, RoPA): Документирование всех видов обработки персональных данных.
  • Проведение оценки воздействия на защиту данных (Data Protection Impact Assessment, DPIA): Обязательная процедура для видов обработки, которые могут привести к высокому риску для прав и свобод субъектов данных (например, масштабное профилирование, использование новых технологий).
  • Назначение сотрудника по защите данных (Data Protection Officer, DPO): Обязательно для государственных органов, организаций, занимающихся масштабным систематическим мониторингом субъектов данных, или организаций, обрабатывающих большие объёмы специальных категорий данных (например, медицинских, биометрических).
  • Уведомление о нарушении: В случае утечки данных, которая может создать риск для прав и свобод субъектов данных, контролёр обязан уведомить надзорный орган в течение 72 часов. Если риск высок, необходимо также уведомить самих субъектов данных.
  • Принцип «Privacy by Design» и «Privacy by Default»: Защита данных должна быть встроена в продукты и услуги с самого начала проектирования, а настройки конфиденциальности по умолчанию должны быть максимально строгими (собирать только необходимый минимум данных).
  • Законные основания обработки: Обработка возможна только при наличии одного из шести законных оснований: согласие, исполнение договора, выполнение юридических обязательств, защита жизненно важных интересов, выполнение задачи в общественных интересах, законные интересы контролёра.

Санкции и ответственность

GDPR предусматривает значительные штрафы за нарушения. Они делятся на два уровня:

  • Нижний уровень: До 10 000 000 евро или 2% от годового глобального оборота (в зависимости от того, что больше) — за нарушения, связанные с обязанностями контролёра/обработчика, DPO, RoPA, уведомлением о нарушениях.
  • Верхний уровень: До 20 000 000 евро или 4% от годового глобального оборота (в зависимости от того, что больше) — за наиболее серьёзные нарушения, такие как нарушение основных принципов обработки, прав субъектов данных, правил трансграничной передачи данных.

Надзорные органы (Data Protection Authorities, DPA) каждой страны-члена ЕС имеют право налагать штрафы, проводить расследования и выносить предписания. Крупнейшие штрафы были наложены на такие компании, как Amazon (746 млн евро в 2021 году), Meta (организация признана экстремистской и запрещена в РФ) (1.2 млрд евро в 2023 году) и TikTok.

Влияние и критика

Влияние на мировое регулирование

GDPR стал глобальным стандартом и моделью для законов о защите данных во многих странах, включая Бразилию (LGPD), Японию, Южную Корею, Индию, Калифорнию (CCPA/CPRA) и другие. Российский Федеральный закон № 152-ФЗ «О персональных данных» также был существенно обновлён в 2015 году, хотя его подход отличается от GDPR (например, требованием локализации данных на серверах в РФ).

Критика

Несмотря на широкое признание, GDPR подвергается критике по нескольким направлениям:

  • Бюрократическая нагрузка: Малые и средние предприятия (МСП) часто жалуются на чрезмерные административные издержки, связанные с ведением документации и проведением DPIA.
  • «Усталость от согласий»: Требование получения явного согласия привело к массовому появлению навязчивых баннеров cookie, что, по мнению критиков, не улучшило, а ухудшило пользовательский опыт.
  • Неэффективность в отношении больших технологических компаний: Несмотря на рекордные штрафы, некоторые эксперты отмечают, что они несоразмерны доходам гигантов и не приводят к фундаментальным изменениям в их бизнес-моделях, основанных на сборе данных.
  • Сложность правоприменения: Различия в интерпретации GDPR между надзорными органами разных стран ЕС и длительные судебные процессы (дела Meta (организация признана экстремистской и запрещена в РФ) длятся годами) снижают эффективность механизма.

Источники

  1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Official Journal of the European Union, L 119, 4.5.2016.
  2. European Commission. Data protection in the EU. Официальный сайт Европейской комиссии.
  3. European Data Protection Board (EDPB). Guidelines, Recommendations, and Decisions. Официальный сайт EDPB.
  4. Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data (WP 136).
  5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →