Открыть сервис

Общий регламент о защите данных

Общий регламент о защите данных (англ. General Data Protection Regulation, GDPR) — это нормативный правовой акт Европейского союза, регулирующий обработку персональных данных физических лиц на территории ЕС и Европейской экономической зоны (ЕЭЗ). Принят 27 апреля 2016 года, вступил в силу 25 мая 2018 года. Считается одним из самых строгих и всеобъемлющих законов в области защиты данных в мире. Регламент заменил устаревшую Директиву 95/46/EC и был направлен на унификацию правил обработки данных во всех странах-членах ЕС, а также на усиление контроля граждан над своими личными данными.

История и предпосылки принятия

Разработка GDPR началась в 2012 году, когда Европейская комиссия предложила реформировать существующее законодательство о защите данных. Основными причинами стали стремительное развитие цифровых технологий, рост объёмов собираемых данных, появление крупных транснациональных интернет-компаний (Google, Facebook (организация признана экстремистской и запрещена в РФ) — компания Meta признана экстремистской и запрещена в РФ, Amazon) и участившиеся утечки информации. Предыдущая Директива 1995 года не учитывала реалий эпохи «больших данных», облачных вычислений и социальных сетей.

После трёх лет переговоров между Европейским парламентом, Советом ЕС и Европейской комиссией текст регламента был окончательно согласован в декабре 2015 года. Официальное принятие состоялось 27 апреля 2016 года, после чего был установлен двухлетний переходный период (до 25 мая 2018 года) для адаптации бизнеса и государственных органов. В отличие от директив, регламент имеет прямое действие на всей территории ЕС, то есть не требует имплементации в национальное законодательство каждой страны-члена, хотя некоторые аспекты (например, возраст согласия детей) оставлены на усмотрение государств.

Основные принципы и термины

GDPR базируется на нескольких ключевых принципах, закреплённых в статье 5 регламента:

  • Законность, справедливость и прозрачность. Обработка данных должна осуществляться на законном основании, с уведомлением субъекта данных о целях и способах обработки.
  • Ограничение цели. Данные собираются только для чётко определённых, явных и законных целей и не обрабатываются далее несовместимым с этими целями образом.
  • Минимизация данных. Объём собираемых данных должен быть адекватным, релевантным и ограничиваться необходимым для целей обработки.
  • Точность. Данные должны быть точными и при необходимости обновляться.
  • Ограничение хранения. Данные хранятся в форме, позволяющей идентифицировать субъектов, не дольше, чем это необходимо для целей обработки.
  • Целостность и конфиденциальность. Обработка должна обеспечивать надлежащую безопасность данных, включая защиту от несанкционированного доступа, изменения или уничтожения.

Ключевые термины регламента:

  • Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных): имя, адрес, IP-адрес, cookie-файлы, биометрические данные, данные о местоположении и т.д.
  • Обработка — любое действие с персональными данными (сбор, запись, систематизация, хранение, использование, передача, удаление).
  • Контролёр (контроллер) — лицо, определяющее цели и средства обработки персональных данных (например, компания, собирающая данные клиентов).
  • Обработчик (процессор) — лицо, обрабатывающее данные от имени контролёра (например, облачный провайдер).
  • Субъект данныхфизическое лицо, чьи персональные данные обрабатываются.

Права субъектов данных

GDPR значительно расширил права граждан на контроль над своими данными. Основные права включают:

  • Право на информацию — субъект должен быть уведомлён о том, какие данные собираются, кем и с какой целью.
  • Право на доступ — субъект может запросить у контролёра подтверждение обработки его данных и получить копию этих данных.
  • Право на исправление — субъект может потребовать исправления неточных или неполных данных.
  • Право на удаление («право быть забытым») — субъект может потребовать удаления своих данных при определённых условиях (например, если данные больше не нужны для целей обработки или если отозвано согласие).
  • Право на ограничение обработки — субъект может временно приостановить обработку своих данных, например, при оспаривании их точности.
  • Право на переносимость данных — субъект может получить свои данные в структурированном, машиночитаемом формате и передать их другому контролёру.
  • Право на возражение — субъект может возражать против обработки его данных в определённых целях, включая прямой маркетинг.

Обязанности контролёров и обработчиков

Организации, обрабатывающие персональные данные, обязаны соблюдать ряд требований:

  • Назначение представителя в ЕС. Если контролёр или обработчик находится за пределами ЕС, но обрабатывает данные резидентов ЕС, он должен назначить представителя в одной из стран-членов.
  • Ведение реестра обработки. Контролёры и обработчики (кроме малых предприятий с менее чем 250 сотрудниками, если обработка не несёт высоких рисков) обязаны вести документацию о всех операциях обработки данных.
  • Уведомление об утечках данных. О любых утечках персональных данных, которые могут привести к риску для прав и свобод субъектов, необходимо уведомить надзорный орган в течение 72 часов. В некоторых случаях (высокий риск) уведомляются и сами субъекты.
  • Оценка воздействия на защиту данных (DPIA). Для обработки, которая может привести к высокому риску (например, массовое использование биометрии или автоматизированное принятие решений), требуется проведение оценки воздействия.
  • Назначение сотрудника по защите данных (DPO). Обязательно для государственных органов, организаций, занимающихся крупномасштабным мониторингом, или тех, кто обрабатывает специальные категории данных (здоровье, судимости, биометрия) в больших объёмах.
  • Принцип «встроенной защиты данных» (Privacy by Design). Защита данных должна быть интегрирована в архитектуру систем и бизнес-процессов с самого начала их разработки.

Сфера действия и экстерриториальность

Одной из ключевых особенностей GDPR является его экстерриториальное действие (статья 3). Регламент применяется не только к организациям, зарегистрированным в ЕС, но и к любым организациям за пределами ЕС, если они:

  • предлагают товары или услуги резидентам ЕС (независимо от того, требуется ли оплата);
  • осуществляют мониторинг поведения резидентов ЕС (например, через отслеживание активности в интернете).

Таким образом, GDPR распространяется на тысячи компаний по всему миру, включая российские, если они, например, продают товары через сайт на русском языке с доставкой в Европу или используют отслеживание поведения пользователей из ЕС.

Санкции и ответственность

GDPR предусматривает значительные штрафы за нарушения. Они делятся на два уровня:

  • Нижний уровень — до 10 миллионов евро или 2% от мирового годового оборота компании за предыдущий финансовый год (в зависимости от того, что больше). Применяется за нарушения, связанные с ведением реестров, уведомлением об утечках, проведением DPIA.
  • Верхний уровень — до 20 миллионов евро или 4% от мирового годового оборота (в зависимости от того, что больше). Применяется за нарушения основных принципов обработки, прав субъектов, передачи данных в третьи страны.

Крупнейшие штрафы на начало 2025 года включают:

  • Amazon (люксембургский регулятор) — 746 миллионов евро (2021 год) за нарушение правил обработки данных для таргетированной рекламы.
  • Meta (организация признана экстремистской и запрещена в РФ) (ирландский регулятор) — несколько штрафов на общую сумму свыше 1 миллиарда евро за незаконную передачу данных в США и нарушение прав на конфиденциальность.
  • WhatsApp (продукт Meta, признанной экстремистской и запрещённой в РФ) (ирландский регулятор) — 225 миллионов евро (2021 год) за недостаточную прозрачность обработки данных.

Влияние на законодательство других стран

GDPR стал образцом для разработки законов о защите данных во многих странах мира. Среди примеров:

  • Бразилия — Закон о защите персональных данных (LGPD, 2018 год), во многом основанный на GDPR.
  • Япония — Закон о защите личной информации (APPI) был существенно пересмотрен в 2020 году с учётом стандартов GDPR.
  • Индия — Закон о защите цифровых персональных данных (2023 год) также включает элементы GDPR, включая экстерриториальность и высокие штрафы.
  • Калифорния (США) — Калифорнийский закон о конфиденциальности потребителей (CCPA, 2018 год) и его расширение CPRA (2020 год) ввели права, схожие с GDPR, хотя и менее строгие.

В России в 2015 году вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», который также предусматривает обязанности операторов и права субъектов. Однако требования GDPR (например, обязательное уведомление об утечках в 72 часа, штрафы в процентах от оборота) являются более жёсткими.

Критика и сложности применения

GDPR подвергается критике по нескольким направлениям:

  • Административная нагрузка. Малые и средние предприятия (МСП) часто жалуются на высокие затраты на соблюдение требований (юридические консультации, внедрение систем, назначение DPO). Регламент предусматривает некоторые послабления для МСП, но они не всегда достаточны.
  • Чрезмерная бюрократизация. Требование вести детальные реестры обработки и проводить DPIA для многих рутинных операций воспринимается как избыточное.
  • Сложность международных передач. После решения Суда ЕС по делу Schrems II (2020 год), отменившего механизм Privacy Shield для передачи данных в США, компании столкнулись с юридической неопределённостью при трансграничной передаче данных.
  • Неравномерное применение. Разные национальные надзорные органы (в Германии, Ирландии, Люксембурге) по-разному толкуют и применяют регламент, что создаёт правовую неопределённость для компаний, работающих в нескольких странах ЕС.
  • Эффективность для защиты прав. Некоторые эксперты отмечают, что, несмотря на высокие штрафы, массовые нарушения (например, сбор данных для рекламы) продолжаются, а реальная возможность граждан отстаивать свои права остаётся ограниченной из-за сложности процедур.

Несмотря на критику, GDPR остаётся наиболее влиятельным и строгим законом о защите данных в мире, задающим стандарты для цифрового регулирования на глобальном уровне.

Источники

  • Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Official Journal of the European Union, L 119/1, 4.5.2016.
  • European Data Protection Board (EDPB). Guidelines on various aspects of the GDPR (2018–2024).
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в актуальной редакции).
  • Решение Суда Европейского союза по делу C-311/18 (Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems), 16 июля 2020 года (Schrems II).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →