Игорь Котков, ІТ-юрист в Legal IT Group 

Почти в каждой стране существуют законы, которые регулируют вопросы защиты персональных данных людей. Но чаще всего они написаны довольно расплывчато и сложно, при этом предусматривая серьезную ответственность за несоблюдение. Особенно это касается обработки персональных данных европейцев, которую регулирует GDPR. Однако закрывать на это глаза нельзя, поскольку GDPR напрямую касается украинского бизнеса, который собирается выходить на европейский рынок или сотрудничать с европейскими компаниями. 

Что такое GDPR? 

В 2018 году в ЕС начал действовать Общий регламент защиты персональных данных (GDPR) — закон, который защищает права граждан и резидентов ЕС при обработке их персональных данных. С тех пор контролирующие органы активно штрафуют нарушителей закона. 

За несоблюдение можно получить большой штраф 

В одном только 2020 году шесть компаний были оштрафованы на 10+ миллионов евро. А рекордсменом по сумме штрафа на данный момент является Google, который получил от французского регулятора штраф в размере 50 миллионов евро в 2019 году из-за того, что компания скрывала некоторую информацию об обработке персональных данных при регистрации Google-аккаунта.   

Украинской компании тоже нужно соблюдать GDPR, иначе с ней откажутся работать европейские компании 

Данный акт Европейского Союза имеет экстерриториальный характер. Что это значит? Приведем пример. Допустим, ваша компания придумала новый рецепт рахат-лукума. Сладость получилась настолько прекрасной, что вы в итоге завоевали весь украинский рынок. Ваш бизнес растет, и у вас появляются клиенты из ЕС. Вот тут и наступает самое время задуматься о GDPR, ведь этот регламент применяется ко всем компаниям, которые обрабатывают персональные данные граждан и резидентов Европейского Союза, вне зависимости от месторасположения компании. 

На данный момент кейсов наложения штрафов на компании, которую ведут деятельность вне ЕС, не так много. Тем не менее GDPR compliance должна быть важной целью для любой компании, которая обрабатывает персональные данные европейцев, находясь за пределами ЕС, не только из-за страха получить штраф, но и из-за возможности вести бизнес-отношения с контрагентами из ЕС. Ведь одно из требований GDPR — проверка контрагентов на соответствие GDPR, а поэтому большинство компаний из ЕС откажутся передавать данные компании, которая не является GDPR-compliance вне зависимости от её местоположения.

Основные понятия

Для того чтобы ответить на вопрос, как использовать персональные данные европейцев, компания должна понять, использует ли она вообще персональные данные европейцев в понимании GDPR. 

Персональные данные — это любая информация, относящаяся к физическому лицу, чьи данные обрабатываются (субъекту данных). Законодатель сделал понятие максимально широким, так что персональными данными является почти любая информация о человеке, по которой его можно определить: фамилия, имя, email, фотография, IP-адрес, номер банковского счета и т.д.

Регламент выделяет два возможных актера, которые могут участвовать в обработке персональных данных — контроллер и процессор. Кто это такие?

Контроллер — это физическое или юридическое лицо, орган публичной власти, агентство или другой орган, который самостоятельно или вместе с другими контроллерами определяет цели и средства обработки персональных данных;

Процессор — это физическое или юридическое лицо, орган публичной власти, агентство или другой орган, который обрабатывает персональные данные от имени контроллера.

Если вы определяете, как и зачем обрабатывать персональные данные, вы являетесь контроллером. При этом, чтобы быть контроллером, не обязательно иметь фактический доступ к данным. К примеру, устанавливая аналитические cookie третьих сторон, вы не имеете доступ к персональным данным, тем не менее вы все равно являетесь контроллером этих данных. 

Если вы непосредственно обрабатываете персональные данные от имени контроллера, то вы процессор. 

Приведем пример: есть интернет-магазин, который собирает данные мобильные номера своих клиентов для того, чтобы отправить им скидки ко дню рождения — он является контроллером данных. А вот платформа, с помощью которого магазин делает автоматизированные SMS-рассылки, будет являться процессором, так как она обрабатывает персональные данные исключительно согласно инструкциям магазина (контроллера). 

Чтобы обрабатывать персональные данные, нужно иметь для этого законное основание

Если вы все-таки обрабатываете персональные данные в понимании GDPR, вам нужно определиться с тем, какое у вас законное основание для того, чтобы обрабатывать такие персональные данные. Всего существует шесть законных оснований для обработки персональных данных. Среди них нет лучшего или худшего, каждое из оснований необходимо использовать в зависимости от ваших целей и отношений с лицами, чьи данные вы обрабатываете. Какие существуют законные основания для обработки персональных данных?

• Согласие — субъект данных дает вам явное согласие на обработку персональных данных для определенных целей;

• Контракт — обработка персональных данных необходима для выполнения контракта с субъектом данных или же он попросил сделать определенные действия до подписания контракта;

• Правовое обязательство — обработка необходима для того, чтобы соблюдать законные требования;

• Жизненно важные интересы — обработка необходима для того, чтобы защитить чью-то жизнь;

• Публичный интерес — обработка необходима для выполнения задания ради общественных интересов, и такое задание четко подкреплено законодательством;

• Легитимный интерес — обработка необходима для легитимных интересов, при условии, что такие интересы не превышают интересы, права и свободы субъекта данных. 

Легитимный интерес — самое гибкое законное основание. Считается, что легитимный интерес появляется тогда, когда пользователь ожидает такую обработку данных и не нуждается в дополнительном оповещении. Однако на данный момент практика применения этого законного основания находится на стадии формирования, поэтому теоретически это основание может быть трактовано либо более широко, либо более узко. 

Самым надежным законным основанием для компаний является согласие субъекта данных, так как такой законный интерес легко подтверждается конкретными согласиями субъектов данных. Легитимный интерес тоже имеет право на существование, но доказывать, что компания преследует легитимный интерес в конкретном случае обработки персональных, придется именно компании.  

Большинство законных оснований требует, чтобы обработка данных была необходимой для какой-либо из целей. Если вы можете достичь своих целей без обработки персональных данных, то, вероятнее всего, в таком случае у вас не будет законного основания обрабатывать чьи-то персональные данные. 

Следует помнить, что обрабатывать чувствительные данные (например, о здоровье, религии, цвете кожи) запрещено. Такая обработка может допускаться только в определенных случаях, изложенных в статье 9 GDPR (например, если субъект данных дал явное согласие на обработку или явным образом сделал свои данные публичными).   

Подготовка документов, нужных для того, чтобы соответствовать GDPR

Одним из самых сложных процессов в достижении GDPR compliance является составление нужных документов. Для начала необходимо провести аудит компании, который покажет, как компания обрабатывает персональные данные. По итогам проведенного аудита можно создать документ Gap Assessment, в котором указать, какие организационные меры следует предпринять, чтобы снизить риски нарушения положений GDPR при обработке персональных данных. 

Этот документ отвечает на вопросы, является ли компания контроллером или процессором, как компания обрабатывает запросы пользователей, какой уровень защиты данных предоставляет компания в качестве процессора, проводится ли прямой маркетинг и каким образом, куда передаются данные и как к ним может получить доступ пользователь. Если какие-либо из действий компании не являются законными в контексте обработки персональных данных, это следует указать в Gap Assessment.

Хорошей практикой после проведения Gap Assessment будет составление Preparation Project Plan, в котором опытные юристы совместно с техническими специалистами могут определить, какие документы нужны для деятельности конкретной компании. GDPR не выдвигает список четких требований к количеству нужных документов для достижения GDPR compliance, поэтому в каждом отдельном случае юрист самостоятельно принимает решение о том, какие документы следует включать в Preparation Project Plan. Базово в Preparation Project Plan можно включить Privacy Policy, Cookie Policy, Cookie Notice, Data Processing Agreement, однако полный пакет документов определяется зависимости от того, как и в каких объемах компания обрабатывает персональные данные.

Публичные документы, которые рассказывают пользователю об обработке его данных, должны быть понятными всем 

GDPR уделяет особое внимание подготовке публичных документов, которые компания публикует на своем сайте. В первую очередь, важно создать политику конфиденциальности, основной целью которой является намерение донести до пользователей, какие персональные данные обрабатываются, с какой целью компания проводит такую обработку, передаются ли данные третьим сторонам, какие права у субъекта данных и другие важные моменты, установленные требованиями GDPR. 

При этом четких требований о том, какую именно форму должна иметь политика конфиденциальности, законодательство о защите персональных данных европейцев не выдвигает. Тем не менее в статье 12 GDPR указаны принципы, которым должны соответствовать публичные документы, касающиеся обработки персональных данных. 

Компании должны осуществлять коммуникацию с пользователями в краткой, прозрачной, легкой для понимания, написанной в легкой и доступной форме с использованием четких и простых формулировок. Эти требования GDPR касаются не только Privacy Policy, но и Cookie Policy, а также других документов, касающихся персональных данных, которые компании делают публичными. Art. 29 WP (бывший консультативный орган по защите персональных данных в ЕС) в своем руководстве привел примеры формулировок, которые можно использовать при подаче информации пользователям (перевод ниже):

•  "Мы храним вашу историю покупок и используем информацию о продуктах, которые вы приобретали ранее, чтобы предлагать вам продукты, в которых, как мы считаем, вы можете быть заинтересованы". (Пользователю очевидно, какие персональные данные обрабатываются, а также что субъекту данных будет предложена таргетированная реклама для продуктов, и его персональные данные будут использованы для этих целей).

• "Мы храним и оцениваем информацию о ваших посещениях нашего вебсайта и о том, как вы переключаетесь между разделами сайта для аналитических целей, чтобы понять, как люди пользуются нашим сайтом, и сделать его более удобным". (Пользователю очевидно, какие персональные данные обрабатываются и какую именно аналитику контроллер собирается применить).

• "Мы храним данные о просмотренных вами статьях на нашем сайте и используем эту информацию, чтобы предлагать вам рекламу, релевантную вашим интересам, которые мы определяем на основании статей, которые вы прочитали". (Пользователю очевидно, что влечет за собой персонализация и как идентифицируются интересы, связанные с субъектом данных).

Также не забудьте о всплывающем окне (баннере), с помощью которого вы можете получить согласие ваших пользователей на обработку персональных данных. Причем брать согласие нужно в таком виде, чтобы пользователь действительно дал свободное согласие на обработку данных или использование cookie. 

К примеру, баннеры с заранее проставленными галочками и молчаливое согласие пользователей прямо запрещены GDPR. При этом четкое и утвердительное проставление галочки считается действительным согласием. Вот такой баннер, например, использует британский надзорный орган ICO при сборе согласия на использование cookie:

Такой cookie wall считается законным и действительным, поскольку по умолчанию сайт использует только те cookie-файлы, которые являются жизненно важными для работы сайта. Только если вы самостоятельно проявите желание использовать аналитические cookie, чтобы помочь сайту улучшить свой сервис, такие cookie будут использоваться. Это пример правильного использования cookie-баннера и получения действительного согласия. 

Внутренние документы

Для начала необходимо составить подготовительную документацию, в которой сформировать карту движений персональный данных, таким документом может быть Personal Data Mapping Procedure. Этот документ закрепляет порядок проведения процедуры Personal Data Mapping, которая помогает понять, как движутся персональные данные пользователей во время жизненного цикла вашей компании. Данная процедура необходима для того, чтобы выяснить, какие виды данных вы собираете, на территории каких стран происходит обработка данных, с помощью каких методов, кто из ваших партнеров вовлечен в обработку данных, на каких законных основаниях происходит обработка, кто несет ответственность на разных этапах обработки и прочие вопросы касательно потока персональных данных.

Далее необходимо установить доступ к персональным данным ваших работников и их ответственность в Roles and responsibilities документах. Это может быть и Handbook for Employee, и Access Control Policy. 

Handbook for Employee – это гайд для ваших работников, которые имеют доступ к персональным данным ваших пользователей. Он позволяет в доступной форме объяснить работникам, какие данные, к которым они имеют доступ, являются персональными, и какой уровень ответственности имеет работник, который принимает участие в обработке персональных данных.

Access Control Policy – политика, которая содержит меры по защите персональных данных от несанкционированного доступа. Чаще всего в ней указывают классификацию лиц, которые могут иметь доступ к персональным данным. Например, Access Control Policy можно подать в виде таблицы с распределением ролей работников и объемом доступа к данным работником, имеющего ту или иную роль.

Если обработка данных вашей компанией может привести к высоким рискам, например, вы применяете новую технологию обработки персональных данных или обрабатываете большие объемы чувствительных данных, то вам необходимо провести и задокументировать процедуру оценки влияния мер для защиты персональных данных Data Protection Impact Assessment (DPIA).

 

Эта процедура проводится в случае если вы не уверены касательно действительного риска при обработке данных, но хотите узнать о таких рисках. При этом если вы не можете определиться существуют ли риски вообще и нужна ли вам эта процедура, рекомендуется в любом случае проводить DPIA, так как это хороший инструмент для того, чтобы понять, соответствует ли компания требованиям GDPR. 

Во время проведения этой процедуры необходимо письменно указать операции, которые проводятся при обработке персональных данных, определить возможные риски утечки персональных данных, предположить и задокументировать ситуации, когда персональные данные могут быть скомпрометированы, и самое главное — утвердить, как компания будет действовать в таких ситуациях.  

Одним из важнейших документов, который не видит конечный пользователь вашего сайта, является Data Processing Agreement (DPA) — договор на обработку персональных данных. GDPR требует, чтобы контроллер данных подписывал DPA с каждой компанией, которая обрабатывает персональные данные от их имени и является процессором. В чем же выгода подписания DPA? 

Во-первых, это прямое требование GDPR, без которого ваша компания не будет иметь compliance. Во-вторых, подписанный DPA с вашим процессором даст вам уверенность, что персональные данные обрабатываются квалифицированно и в законном порядке. Если вы храните персональные данные на облачных сервисах, то вам нужно будет подписывать DPA с такими компаниями. Чаще всего готовый шаблон DPA такие компании размещают в личном кабинете облачного сервиса или в публичных политиках приватности. С другими контрагентами вы можете составить DPA самостоятельно, при этом нужно обеспечить надлежащий уровень защиты законности и безопасности обработки персональных данных. 

Существуют еще десятки других документов, которые компании могут составлять для того, чтобы достичь GDPR сompliance. Тем не менее GDPR не указывает, какой конкретный объем документов должна иметь компания, чтобы соответствовать законодательству о защите персональных данных. 

Главная задача компании — обеспечить законную обработку персональных данных, и в случае необходимости отчитаться о процессе обработки перед контролирующими органами. Поэтому важно понимать, что объем необходимых документов в рамках соответствия GDPR зависит от количества обрабатываемых персональных данных, размеров компании, рисков, которые возникают при обработке данных и других обстоятельств. 

Поэтому для того, чтобы ваша компания законно использовала персональные данные европейцев, вам нужно обращаться за помощью к квалифицированным юристам, которые имеют опыт в составлении документов для соответствия компании с GDPR и смогут предложить нужный пакет документов для обеспечения заветного GDPR Compliance под ваш конкретный кейс.