Открыть сервис

Общий регламент по защите данных

Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR) — это нормативный правовой акт Европейского союза, регулирующий обработку и защиту персональных данных физических лиц (субъектов данных) на территории ЕС и Европейской экономической зоны (ЕЭЗ). Регламент был принят 27 апреля 2016 года и вступил в силу 25 мая 2018 года, заменив устаревшую Директиву 95/46/EC. GDPR устанавливает единые правила сбора, хранения, передачи и удаления персональных данных, а также вводит строгие требования к согласию субъекта, прозрачности обработки и ответственности операторов (контролёров) и обработчиков данных. Нарушение регламента влечёт административные штрафы до 20 миллионов евро или до 4 % от годового глобального оборота компании (в зависимости от того, какая сумма больше). Действие GDPR распространяется на все организации, обрабатывающие данные резидентов ЕС, независимо от местонахождения самой организации.

История и предпосылки принятия

Развитие законодательства о данных в ЕС

До принятия GDPR основным актом в сфере защиты данных в Европе была Директива 95/46/EC, принятая в 1995 году. С развитием интернета, облачных технологий и глобализации бизнеса директива перестала отвечать современным вызовам: она не учитывала массовую обработку данных в цифровой среде, трансграничные потоки информации и появление новых бизнес-моделей (социальные сети, электронная коммерция, поведенческая реклама). Кроме того, директивы требовали национальной имплементации, что приводило к фрагментации законодательства в разных странах ЕС.

Процесс разработки

В январе 2012 года Европейская комиссия предложила проект нового регламента. После четырёх лет переговоров, в ходе которых обсуждались вопросы штрафов, прав субъектов и роли национальных надзорных органов, текст был согласован. 14 апреля 2016 года Европейский парламент одобрил регламент, а 4 мая 2016 года он был опубликован в Официальном журнале ЕС. Двухлетний переходный период (до 25 мая 2018 года) был предоставлен для адаптации бизнеса и государственных органов.

Основные принципы обработки персональных данных

GDPR базируется на шести ключевых принципах обработки персональных данных, закреплённых в статье 5:

  1. Законность, справедливость и прозрачность. Обработка должна осуществляться на законном основании, информация о ней должна быть понятной и доступной субъекту данных.
  2. Ограничение целей. Данные собираются только для конкретных, явных и законных целей и не обрабатываются далее несовместимым с ними образом.
  3. Минимизация данных. Обработке подлежат только те данные, которые необходимы для достижения заявленных целей.
  4. Точность. Данные должны быть точными и при необходимости обновляться; неточные данные подлежат удалению или исправлению.
  5. Ограничение хранения. Данные хранятся в форме, позволяющей идентифицировать субъектов, не дольше, чем это необходимо для целей обработки.
  6. Целостность и конфиденциальность. Обработка должна обеспечивать надлежащую безопасность данных, включая защиту от несанкционированного доступа, уничтожения или повреждения.

Правовые основания обработки

Обработка персональных данных по GDPR допускается только при наличии хотя бы одного из следующих законных оснований (статья 6):

Для обработки специальных категорий данных (расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические и биометрические данные, данные о здоровье, половой жизни или сексуальной ориентации) требуется дополнительное основание (статья 9), например, явное согласие субъекта или обработка в целях медицины.

Права субъектов данных

GDPR значительно расширяет права физических лиц в отношении их данных. Основные права включают:

Право на информацию и доступ

Субъект имеет право знать, какие данные обрабатываются, с какой целью, кто является оператором, как долго хранятся данные, а также получить копию своих данных (статьи 13–15).

Право на исправление

Субъект может потребовать исправления неточных или неполных данных (статья 16).

Право на удаление («право быть забытым»)

Субъект может потребовать удаления своих данных, если они больше не нужны для целей, для которых были собраны, или если согласие отозвано (статья 17). Это право не является абсолютным и не применяется, если обработка необходима для соблюдения юридических обязательств или для осуществления права на свободу выражения мнения.

Право на ограничение обработки

Субъект может потребовать приостановки обработки данных в определённых случаях (например, при оспаривании точности данных) (статья 18).

Право на переносимость данных

Субъект имеет право получить свои данные в структурированном, широко используемом машиночитаемом формате и передать их другому оператору (статья 20).

Право на возражение

Субъект может возражать против обработки его данных в целях прямого маркетинга или на основании законных интересов оператора (статья 21).

Обязанности операторов и обработчиков

GDPR вводит концепцию подотчётности: операторы (контролёры) и обработчики (процессоры) должны не только соблюдать принципы, но и документально подтверждать это.

Основные обязанности:

Территориальная сфера действия

Одной из ключевых особенностей GDPR является его экстерриториальность. Регламент применяется к:

Это означает, что компании из США, Китая, России и других стран, работающие с европейскими пользователями, обязаны соблюдать GDPR.

Надзорные органы и ответственность

Система «одного окна»

GDPR вводит механизм сотрудничества между национальными надзорными органами (например, французская CNIL, немецкий BfDI, британский ICO). Для трансграничной обработки данных ведущий надзорный орган (обычно в стране основного места нахождения оператора) координирует расследование и принятие решений.

Штрафы

Нарушения GDPR делятся на две категории с разными максимальными штрафами:

Штрафы налагаются с учётом обстоятельств дела, включая характер, тяжесть и продолжительность нарушения, степень вины, принятые меры по смягчению последствий и сотрудничество с надзорным органом.

Передача данных в третьи страны

GDPR устанавливает строгие правила передачи персональных данных за пределы ЕЭЗ. Передача допускается только в страны, которые, по решению Европейской комиссии, обеспечивают «адекватный уровень защиты» (так называемые «решения об адекватности»). В настоящее время такой статус имеют, например, Япония, Южная Корея, Великобритания, Канада (в части коммерческих организаций), Израиль, Новая Зеландия, Аргентина, а также ряд других стран. Для стран без решения об адекватности (например, США в части большинства компаний) передача возможна на основании «соответствующих гарантий» (стандартные договорные оговорки, утверждённые Комиссией, обязательные корпоративные правила) или исключений для конкретных ситуаций (явное согласие субъекта, необходимость для исполнения договора).

Критика и сложности применения

GDPR неоднократно подвергался критике по ряду причин:

Влияние на российское законодательство

GDPR оказал значительное влияние на развитие российского законодательства о персональных данных. Федеральный закон № 152-ФЗ «О персональных данных» (2006 год) неоднократно изменялся с учётом европейских подходов. В частности, в 2015 году была введена обязанность локализации баз данных (хранение данных российских граждан на серверах, расположенных на территории РФ), а в 2021 году — требования к уведомлению об утечках (с 2023 года — в течение 24 часов). Однако российское законодательство не предусматривает столь же широких прав субъектов (например, права на переносимость данных) и столь же высоких штрафов, как GDPR.

Источники

  1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Official Journal of the European Union, L 119, 4.5.2016.
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).
  3. Handbook on European data protection law. — Luxembourg: Publications Office of the European Union, 2018.
  4. Voigt, P., von dem Bussche, A. The EU General Data Protection Regulation (GDPR): A Practical Guide. — Springer, 2017.
  5. Статья 29 Рабочая группа по защите данных. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk". — 2017.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →