Защита персональных данных по-новому. Простыми словами

С 25 мая 2018 года вступил в силу Регламент ЕС 2016/679 о защите личных данных физических лиц. Что нужно о нём знать и кого он касается?

Содержание этого Регламента, в первую очередь, важно знать и понимать компаниям и предпринимателям, клиентами которых являются физические лица (потребители товаров и услуг), находящиеся на территории ЕС. Штрафные санкции за нарушение этого Регламента могут оказаться неподъемными для вашего бизнеса, а порой и просто привести к его блокированию или ликвидации. При этом неважно где ваш бизнес находится физически — если покупатель ваших товаров или услуг находится в ЕС, Регламент уже действует в отношении вашего бизнеса.

Приведу такой пример. Вы — предприниматель, живущий в Украине, и продающий через интернет некие товары. У вас осуществил покупку человек, например, тоже украинец, но находящийся в момент покупки в путешествии по Италии. С этого момента на вас (продавца) начинает распространяться действие Регламента. Таким образом, смело можно утверждать, что практически любому бизнесу в сети Интернет, следует соответствовать требованиям ЕС о защите личных данных физических лиц.

В этой публикации я расскажу о Регламенте с прицелом на то, каким образом следует пользоваться личными данными того, кто вольно или невольно стал случайным или постоянным пользователем вашего интернет-ресурса. Даже если он так и не стал вашим покупателем.

Полный текст Регламента (в «грубом» неофициальном переводе на русский) можно найти по этой ссылке. Аутентичного текста на русском или украинском — не существует.
internetinstitute.ru/...​tention-Leg-appendix2.pdf

На что следует особо обратить внимание и, соответственно, что вам следует изменить в своих сетевых ресурсах? Об этом далее.

Примечание. В тексте ниже применяется термин «контроллер» — его следует понимать, как часть компьютерного кода (программы) вашего интернет-ресурса, который используется для фиксации всего, что необходимо для соблюдения Регламента. Также применяется термин «регулятор» — его следует понимать как то лицо, которое устанавливает правила для контроллера (то есть, простыми словами — сам предприниматель).

1. Регламент касается прав только физических лиц (независимо от гражданства и места жительства) и не распространяется на защиту интересов юридических лиц. Регламент действует на всей территории Европейского Союза. Регламент применяется также к интернет-ресурсам физически расположенным вне территории ЕС, но доступным пользователям, находящимся на территории ЕС.

2. Действие Регламента касается личных данных физического лица, а также данных, по которым физическое лицо потенциально можно идентифицировать (например, даже IP адрес устройства пользователя и даже содержимое cookie-файла).

3. Действие Регламента не касается обработки личных данных физического лица в ходе чисто личной и бытовой деятельности (без связи с профессиональной или коммерческой деятельностью).

То есть, например, если один человек с помощью мессенджера пересылает другому человеку свой номер телефона, то защита Регламента между этими двумя людьми не действует. Однако, в этой ситуации она действует на сам мессенджер (оператор), который обязан обеспечить безопасность пересылки этого номера телефона.

Или другой пример. Предприниматель вяжет шерстяные носки и продаёт их через Инстаграм. Покупатель носков передает продавцу в личном сообщении свои контакты. В этом случае Регламент действует и на Инстаграм (который обязан обеспечить безопасность передачи личных данных), и на предпринимателя (который обязан обеспечить сохранность и целевое использование личных данных покупателя).

4. Интересно, что не обязаны соблюдать Регламент в полном объеме правоохранительные органы в целях предотвращения или расследования преступлений, а также в целях судебного преследования. При этом обязаны соблюдать Регламент государственные органы, получившие данные лица вне указанных выше целей. Простым языком — налоговики и таможенники, например, обязаны соблюдать Регламент.

Тут отдельно следует обратить внимание на данные, например, о судимости лица. Такие данные можно использовать только под контролем соответствующих государственных органов.

5. Также действие Регламента не распространяется на персональные данные умерших. Так что, прежде чем умирать, позаботьтесь о тайнах, содержащихся в вашей переписке и соцсетях.

6. Согласие лица на сбор, хранение, обработку и использование его личных данных должно быть чёткое и конкретное — не «в общем», а касаться каждого запрашиваемого параметра. Также должны быть указаны цели, для которых нужны данные, а также сроки, в течение которых они будут доступны продавцу и будут им использоваться, после чего будут удалены.

Например, нельзя теперь просто написать «нажав кнопку регистрации, вы даете согласие на сбор, хранение, обработку и использование ваших личных данных». Нужно писать «нажав кнопку регистрации вы предоставляете согласие на сбор, хранение, обработку и использование в ***таких-то*** целях *** таких-то конкретных личных данных*** на весь срок использования вами этого сайта, а также после — ***например, до полного исполнения сделки между продавцом и покупателем***.» И даже этого будет мало.

7. Если интернет-ресурс используется несколькими предпринимателями или группой компаний, должно быть указано кому и каким образом станут доступны используемые интернет-ресурсом личные данные.

8. Особое отношение к личным данным детей. При прямых коммерческих сделках нужно согласие родителей. Но не требуется согласие родителей в рамках, например, создания ребенком собственного профиля в социальных сетях. Защищается от родителей и переписка ребенка.

9. Любая обработка личных данных должна быть законной, справедливой, разумной, соответственной задачам и прозрачной. Пользователь должен быть предупрежден о возможных рисках, связанных с обработкой личных данных.

Здесь советую особо обратить внимание на обрабатываемый объем данных. Он не должен выходить за рамки объективно требующихся. А также на описание рисков — всё, о чём вы не предупреждали, но оно случится, будет не в вашу пользу. Кроме того, следует обратить внимание на чёткое требование Регламента — все сообщения пользователю обязаны быть понятными, лаконичными и не допускать разночтений.

Технически ваш интернет-ресурс должен содержать «контроллеры», позволяющие без сомнений убедиться в том, что пользователю были предоставлены соответствующие предупреждения и что пользователем были предоставлены все необходимые предварительные! согласия. Иначе, обработка данных будет считаться незаконной.

При этом не имеет значение согласия осуществлены на платной или бесплатной основе — регулируются они одинаково.

Также вы обязаны предоставить пользователю исчерпывающую информацию о продавце и порядке обжалования его действий или бездействий.

10. Вводится презумпция запрета обработки данных. Иными словами, всё, на что нет прямого и чёткого согласия лица, запрещено.

11. Особая защита вводится для медицинских данных, а также данных научных экспериментов. Но это достаточно специализированная отрасль, поэтому здесь мы не станем её обсуждать.

12. Контроллер должен использовать все разумные меры для проверки личности пользователя.

Тут следует не переусердствовать. Например, если пользователь совершает на вашем ресурсе разовую мелкую бытовую покупку, то вовсе необязательно требовать у него паспортные данные. Если же вы их затребуете, вам следует разъяснить зачем они вам нужны. Но, если, например, вы торгуете алкоголем, вам следует убедиться, что покупатель совершеннолетний.

13. Вводится понятие «право на забвение». Любые данные не должны храниться бесконечно — должен быть определен максимальный срок хранения, после чего контроллер должен их удалить и обеспечить возможность удостовериться в полном удалении. Тоже самое касается случая, когда пользователь просит удалить его данные. Такое удаление должно совершиться безоговорочно. Если же по каким-либо причинам полное удаление невозможно (например, срок давности по бухгалтерской операции), то пользователь должен быть об этом чётко уведомлен, а сами данные должны быть «спрятаны в сейф».

14. Ещё одно новое право — «право на исправление». Причём, это право содержит составную во времени — нельзя препятствовать исправлениям пользователя без оправданной задержки.

15. Интересное правило касается данных, используемых для принятия решения. Например, онлайн заявка на кредит. В этом случае не допускается полностью автоматическое (без «ручного» участия специалиста соответствующей отрасли) принятие решения. Человек, как гласит Регламент, должен быть защищён от того, что в отношении него решение будет принимать исключительно машина.

16. Регулятор должен производить системный анализ рисков и сбоев, и реагировать на них адекватно, прилагая усилия для исключения повторного возникновения их в будущем. Следует также убедиться (и хранить документы об этом), что приняты все технологические и организационные методы для безопасности данных. Также следует указывать пользователю от каких действий или бездействий ему нужно воздержаться дабы не допустить нарушений безопасности данных по его вине.

17. Если ваш бизнес не требует идентификации лица и, соответственно, обработки его данных, то вы не обязаны соответствовать данному Регламенту. Но где же найти такой бизнес.

И ещё. В этой публикации указана лишь самая «общая» часть требований Регламента. Если у вас есть необходимость в дополнительной консультации относительно вашего конкретного бизнеса или вам нужна «юридическая экспертиза» действующих на вашем интернет-ресурсе процедур, функций и текстов на соответствие Регламенту — обращайтесь в личных сообщениях.