Открыть сервис

Регламент Европейского союза о защите персональных данных

Регламент Европейского союза о защите персональных данных (англ. General Data Protection Regulation, GDPR) — это нормативно-правовой акт Европейского союза (ЕС), регулирующий обработку персональных данных физических лиц на территории ЕС и Европейской экономической зоны (ЕЭЗ). Принят 27 апреля 2016 года, вступил в силу 25 мая 2018 года, заменив Директиву 95/46/EC (Директива о защите данных). GDPR является одним из наиболее строгих и влиятельных законов в области защиты персональных данных в мире, устанавливая единые стандарты для всех государств-членов ЕС и распространяя своё действие на организации за пределами ЕС, если они обрабатывают данные граждан ЕС.

История и предпосылки принятия

Развитие законодательства о защите данных в ЕС

Первым общеевропейским актом в этой сфере стала Директива 95/46/EC, принятая в 1995 году. Она установила базовые принципы обработки персональных данных, но оставляла значительную свободу для национального законодательства. К началу 2010-х годов стало очевидно, что директива устарела: бурное развитие интернета, социальных сетей, облачных технологий и больших данных (big data) привело к появлению новых угроз для конфиденциальности. Разрозненные национальные законы создавали правовую неопределённость для бизнеса и затрудняли трансграничную передачу данных.

Процесс разработки

В январе 2012 года Европейская комиссия предложила проект регламента, который должен был заменить директиву. В отличие от директивы, регламент является актом прямого действия — он не требует имплементации в национальное законодательство и применяется единообразно во всех странах ЕС. Процесс согласования занял четыре года: проект прошёл через обсуждения в Европейском парламенте и Совете ЕС. Окончательный текст был одобрен 14 апреля 2016 года, а 25 мая 2018 года GDPR вступил в силу. Двухлетний переходный период был предоставлен для адаптации организаций.

Основные принципы обработки персональных данных

GDPR закрепляет несколько ключевых принципов, которым должна соответствовать любая обработка персональных данных:

  • Законность, справедливость и прозрачность. Обработка должна иметь законное основание (например, согласие субъекта данных, исполнение договора, законная обязанность, защита жизненно важных интересов, выполнение задачи в общественных интересах или законные интересы контролёра). Субъект должен быть информирован о том, как и зачем обрабатываются его данные.
  • Ограничение цели. Данные должны собираться для чётко определённых, явных и законных целей и не обрабатываться далее несовместимым с этими целями образом.
  • Минимизация данных. Обрабатываться должны только те данные, которые необходимы для достижения заявленной цели.
  • Точность. Данные должны быть точными и, при необходимости, обновляться.
  • Ограничение хранения. Данные должны храниться в форме, позволяющей идентифицировать субъектов, не дольше, чем это необходимо для целей обработки.
  • Целостность и конфиденциальность. Обработка должна осуществляться с использованием надлежащих технических и организационных мер безопасности.
  • Подотчётность. Контролёр данных несёт ответственность за соблюдение всех принципов и должен быть способен это продемонстрировать.

Права субъектов данных

GDPR значительно расширяет права физических лиц в отношении их персональных данных:

  • Право на информацию. Субъект имеет право знать, какие данные о нём собираются, кем и с какой целью.
  • Право доступа. Субъект может запросить у контролёра подтверждение того, обрабатываются ли его данные, и получить к ним доступ.
  • Право на исправление. Субъект может требовать исправления неточных или неполных данных.
  • Право на удалениеправо быть забытым»). При определённых условиях (например, отзыв согласия, прекращение цели обработки) субъект может потребовать безотлагательного удаления своих данных.
  • Право на ограничение обработки. Субъект может временно приостановить обработку своих данных (например, при оспаривании их точности).
  • Право на переносимость данных. Субъект имеет право получить свои данные в структурированном, машиночитаемом формате и передать их другому контролёру.
  • Право на возражение. Субъект может возражать против обработки его данных в определённых целях, включая прямой маркетинг.
  • Право не подвергаться автоматизированному принятию решений. Субъект имеет право не быть объектом решения, основанного исключительно на автоматизированной обработке (включая профилирование), если это решение порождает юридические последствия или аналогичным образом существенно затрагивает его.

Субъекты ответственности

GDPR выделяет две основные роли:

  • Контролёр данных — физическое или юридическое лицо, которое определяет цели и способы обработки персональных данных.
  • Обработчик данных — лицо, которое обрабатывает данные от имени контролёра (например, облачный провайдер, бухгалтерская фирма).

Обработчик обязан соблюдать требования GDPR, а контролёр несёт ответственность за выбор обработчика и заключение с ним соответствующего договора. В некоторых случаях (например, при совместном определении целей) несколько организаций могут выступать как совместные контролёры.

Территориальная сфера действия

Одна из ключевых особенностей GDPR — его экстерриториальное действие. Регламент применяется к обработке персональных данных:

  • в контексте деятельности учреждения контролёра или обработчика на территории ЕС (независимо от того, происходит ли обработка в ЕС или нет);
  • контролёром или обработчиком, не учреждённым в ЕС, если обработка связана с предложением товаров или услуг субъектам данных в ЕС (независимо от того, требуется ли оплата) или с мониторингом их поведения на территории ЕС.

Это означает, что многие российские компании, которые ориентируются на европейских пользователей (например, интернет-магазины, принимающие заказы из ЕС, или сайты, использующие трекеры для анализа поведения европейских посетителей), также подпадают под действие GDPR.

Штрафы и ответственность

GDPR предусматривает систему административных штрафов, которая является одной из самых высоких в мире. Штрафы могут налагаться в зависимости от конкретного нарушения:

  • до 10 миллионов евро или 2 % от годового мирового оборота (в зависимости от того, какая сумма больше) — за нарушения, связанные с обязанностями контролёра и обработчика (например, отсутствие договора с обработчиком, необеспечение безопасности);
  • до 20 миллионов евро или 4 % от годового мирового оборота — за более серьёзные нарушения (например, нарушение принципов обработки, прав субъектов, правил трансграничной передачи данных).

Кроме того, субъекты данных имеют право на компенсацию материального и нематериального ущерба, причинённого в результате нарушения GDPR.

Трансграничная передача данных

GDPR устанавливает строгие правила передачи персональных данных в третьи страны (за пределы ЕС/ЕЭЗ). Передача допускается только при соблюдении одного из следующих условий:

  • решение Европейской комиссии об адекватном уровне защиты (adquacy decision) для данной страны (например, Япония, Южная Корея, Великобритания, Канада — для коммерческих организаций);
  • наличие соответствующих гарантий, таких как стандартные договорные положения (Standard Contractual Clauses, SCC), обязательные корпоративные правила (Binding Corporate Rules, BCR) или кодексы поведения;
  • одно из исключений для конкретных ситуаций (например, явное согласие субъекта, выполнение договора, защита жизненно важных интересов).

Россия не имеет решения об адекватном уровне защиты, поэтому передача данных из ЕС в Россию возможна только на основании соответствующих гарантий (например, SCC) или исключений.

Влияние на другие юрисдикции

GDPR стал образцом для разработки законов о защите данных во многих странах мира. Его принципы и структура были заимствованы или адаптированы в законодательстве:

  • Бразилия — Lei Geral de Proteção de Dados Pessoais (LGPD), вступивший в силу в 2020 году.
  • Япония — поправки к Закону о защите персональной информации (APPI), принятые в 2020 году.
  • Южная Корея — поправки к Закону о защите персональной информации (PIPA).
  • Индия — Закон о цифровой защите персональных данных (Digital Personal Data Protection Act), принятый в 2023 году.
  • Калифорния (США) — Калифорнийский закон о защите прав потребителей (CCPA), принятый в 2018 году, и Калифорнийский закон о праве на неприкосновенность частной жизни (CPRA).

В России также действует Федеральный закон № 152-ФЗ «О персональных данных», принятый в 2006 году. Хотя он не является прямой копией GDPR, многие его положения (например, принципы обработки, права субъектов, требования к согласию) имеют общие черты. Однако российское законодательство не содержит столь высоких штрафов и экстерриториального действия, как GDPR.

Критика и сложности

GDPR не лишён недостатков и подвергается критике по ряду направлений:

  • Административная нагрузка. Для многих организаций, особенно малых и средних предприятий, соблюдение требований GDPR (назначение представителя в ЕС, ведение документации, проведение оценки воздействия на защиту данных) требует значительных финансовых и временных затрат.
  • Неопределённость формулировок. Некоторые положения регламента (например, «законные интересы», «разумные ожидания субъекта») являются оценочными и порождают правовую неопределённость.
  • Чрезмерная бюрократизация. Критики утверждают, что GDPR создаёт избыточную бюрократию, которая не всегда приводит к реальному повышению уровня защиты данных.
  • Неравномерность правоприменения. Разные национальные надзорные органы (Data Protection Authorities) могут по-разному толковать и применять одни и те же нормы GDPR, что создаёт неравные условия для бизнеса в разных странах ЕС.
  • Проблемы с правом быть забытым. На практике удаление данных из сложных информационных систем (например, поисковых систем, социальных сетей) может быть технически сложным и не всегда приводит к полному исчезновению информации.

Интересные факты

  • За первые пять лет действия GDPR (с мая 2018 по май 2023 года) национальные надзорные органы ЕС выписали штрафов на общую сумму более 2,8 миллиарда евро. Крупнейшие штрафы были наложены на компанию Meta (организация признана экстремистской и запрещена в РФ) — в общей сложности более 1,3 миллиарда евро за различные нарушения.
  • В 2020 году Суд Европейского союза (CJEU) признал недействительным Щит конфиденциальности (Privacy Shield) — механизм передачи данных между ЕС и США, что создало серьёзные правовые проблемы для трансграничного потока данных.
  • В 2023 году Европейская комиссия приняла новое решение об адекватном уровне защиты для передачи данных в США (Data Privacy Framework), которое заменило недействительный Щит конфиденциальности.

Источники

  • Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Official Journal of the European Union, L 119/1, 4.5.2016.
  • Европейская комиссия. Data protection under GDPR. Официальный сайт Европейской комиссии.
  • European Data Protection Board. Guidelines and recommendations. Официальный сайт EDPB.
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Российская Федерация).
  • Закон Бразилии № 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).
  • California Consumer Privacy Act of 2018 (CCPA) и California Privacy Rights Act of 2020 (CPRA).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →