Как выжить после GDPR: что делать и кто виноват | Umbrella IT

Как выжить после GDPR: что делать и кто виноват

После 4 лет ожесточенных дебатов европейский парламент принял регламент по защите персональных данных — GDPR. Документ экстерриториален. Это значит, что где бы физически ни находилась ваша компания, если вы сотрудничаете с резидентами ЕС — вам придется уважать европейский закон.

Мы запускаем серию статей, посвященных GDPR. В первой части мы пробежимся по основным положениям регламента, выясним, кто такие контроллеры и процессоры, и чем грозит нарушение правил. А во второй предложим самый прикладной чек-лист на соответствие GDPR.

 

Что происходит

GDPR начал действовать 25 мая 2018-го. Дедлайн был известен еще в 2016 году, но до сих пор не все компании могут с уверенностью заявить, что полностью соответствуют принятым стандартам. Отчет TrustArc показывает, что даже спустя месяцы после вступления договора в силу ситуация мало изменилась:

1ru

 

Особенности GDPR

В основе GDPR лежат 7 ключевых принципов.

  • Правомерность, справедливость и прозрачность — персональные данные должны обрабатываться справедливым и законным образом в отношении пользователя.
  • Целевое ограничение — персональные данные должны собираться для конкретных, ясных и законных целей.
  • Минимизация данных персональные данные должны быть ограничены данными, необходимыми для достижения поставленных законных целей.
  • Точность — персональные данные должны быть точными и актуальными.
  • Ограничение хранения персональные данные должны храниться в форме, требуемой для идентификации пользователя в течение срока, необходимого для достижения поставленных законных целей.
  • Целостность и конфиденциальность персональные данные должны быть обработаны способом, обеспечивающим полную безопасность данных.
  • Подотчетность — компания несет ответственность перед пользователями и надзорными органами и должна быть способна доказать соблюдение положений регламента.

 

Кто в зоне действия нового регламента

Прежде всего, нужно разобраться, кого касается GDPR. Регламент распространяется на компании, которые обрабатывают персональные данные граждан и резидентов ЕС, независимо от того, производится ли обработка данных на территории ЕС или за его пределами.  

Это значит, что для закона нет никакой разницы между банком в Нью-Йорке, открывшим французскому бизнесмену счет, и танзанийским бушменом, продающим через интернет европейским туристам бусы из зубов бегемота.  

Оба примера объединяет обработка персональных данных. Напомним, персональные данные — это любая информация, позволяющая идентифицировать человека, от e-mail до семейного положения.

Регламент вводит новые термины. Теперь компания может быть процессором или контроллером данных.

  • Контроллеры — компании, которые собирают данные пользователей (по регламенту — субъектов данных) и определяют цели и способы обработки.
  • Процессоры — сторонние компании, которые обрабатывают данные от имени контроллеров.

Контроллеры несут большую часть ответственности и обязаны заключать с процессорами соглашения о соблюдении правил GDPR.

Рассмотрим на примере. «Пластилиновая ворона», интернет-магазин по продаже пластилина, рассылает свою продукцию по всему миру. Магазин собирает адреса покупателей (для доставки заказов) и e-mail (для рекламных рассылок). «Пластилиновая ворона» — контроллер данных, потому что он сам определяет, какую личную информацию и для каких целей нужно собирать, и обеспечивает безопасность данных любителей лепки.  

Представьте, что та же самая «Ворона» решила выяснить, почему зеленый пластилин разлетается как горячие пирожки, а белый никто не покупает. В поисках ответа магазин подключил сервис Google Analytics. Теперь сервис тоже собирает данные покупателей «Вороны», что делает его процессором данных.

2ru

Подведем итог. Под действие регламента попадают:

  • компании, которые предоставляют свои товары и услуги гражданам и резидентам ЕС

Cайт вашей гостиницы переведен на один из европейских языков? Значит вы ориентируетесь на клиентов из ЕС и попадаете под действие регламента.

  • компании, которые мониторят онлайн-активность граждан и резидентов ЕС

Вы используете cookies, чтобы сохранять содержимое корзины покупателей из ЕС в онлайн-магазине? Не сомневайтесь, вы точно попадаете под действие регламента.

 

Cколько стоит несоблюдение GDPR

Несоблюдение GDPR может обойтись дорого. Размер штрафа за невыполнение положений регламента определяют различные факторы, учитывающие характер, тяжесть и продолжительность нарушения, предыдущие правонарушения компании, количество людей, затронутых нарушением, и многое другое.

Максимальный размер штрафа составляет 10 млн. евро (или 2% от годового оборота) на нижнем уровне и 20 млн. евро (или 4% от годового оборота) на верхнем.

3ru

При этом по закону выбор между фиксированным штрафом и процентом от оборота компании определяется по принципу «смотря что больше».

Допустим, стартап «Пиноккио» занимается производством деревянных дронов и продает их через интернет в ЕС. Годовой оборот стартапа — 32 млн. евро в год. Из-за хакерской атаки в сеть попали e-mail и информация о платежах клиентов. Менеджмент стартапа не только не попытался исправить ситуацию, но и приложил все усилия, чтобы замять дело. По GDPR такая спорная стратегия стоит 10 млн. евро или 2% от прошлогоднего годового оборота. Для стартапа 2% равны 640 тысяч евро. Однако по принципу «платишь сумму, которая больше» «Пиноккио» будет обязан выплатить именно 10 млн. евро.

Другой пример. Российский банк «Красный коллектор» активно выдает кредиты европейским гражданам. Оборот банка за прошлый год оказался скромным — всего 952 млн. евро. В течение нескольких лет банк перепродавал данные своих клиентов — естественно, без их ведома — за границу. По GDPR за такое нарушение предусмотрен максимальный штраф — 20 млн. евро или 4% от годового оборота. Для банка 4% от 952 млн. евро — это более чем 38 млн. евро. Именно в такую сумму обойдется «Красному коллектору» пренебрежение регламентом.

Эти примеры не так далеки от истины, как кажутся. Перспектива максимального штрафа — именно то, что сейчас грозит компании Ticketmaster, крупному сервису продажи билетов, по вине которого в сеть утекли данные 40 тысяч пользователей.

Но не стоить паниковать: головы с плеч рубят не сразу. Еврокомиссия даже создала анимированную инфографику, объясняющую, как надзорные органы мониторят соблюдение регламента и обходятся с нарушителями. Если проступок незначителен, надзорный орган выносит предупреждение и предоставляет время для устранения несоответствий. Нельзя забывать, что принципиальная цель GDPR — защита прав пользователей, а не затруднение предпринимательской деятельности.

Возникает резонный вопрос: как не допустить это «незначительное нарушение» и проверить свой уровень соответствия регламенту прямо сейчас? Читайте практические рекомендации в нашей следующей статье.


Ещё

  • DevOps вам в помощь: ускоряем релизы качественно
    DevOps вам в помощь: ускоряем релизы качественно
    В 2018 году DevOps-инженеры и эксперты по аналитическим данным (Data Scientist) заняли две верхние строчки в перечне 50 наиболее оплачиваемых профессий в США по версии Glassdoor. Высокая востребованность DevOps как концепции объясняется тем, что в условиях глобальной диджитализации и быстрых изменений рынка бизнес ждет от IT таких решений, которые помогут быстрее выпустить продукт. И не …
  • Umbrella IT вошла в топ-1000 провайдеров B2B-услуг в мире
    Umbrella IT вошла в топ-1000 провайдеров B2B-услуг в мире
    Не так давно наша команда рассказывала о том, что Umbrella IT была включена в список лучших российских мобильных и веб-разработчиков по версии рейтингового агентства Clutch. Мы рады сообщить, что с тех пор наша позиция усилилась: теперь Umbrella IT входит в топ-1000 лучших B2B-провайдеров IT-услуг в мире. Мы благодарны клиентам за комментарии, в которых они рассказали об …
  • Как выжить после GDPR: самый прикладной чек-лист на соответствие регламенту
    Как выжить после GDPR: самый прикладной чек-лист на соответствие регламенту
    В нашей предыдущей статье, посвященной GDPR, мы сделали лирическое отступление о том, кого затронет новый регламент и во сколько обойдется его нарушение. Мы обещали рассказать, как продолжить гнуть свою линию и не попасть под санкции. И мы всегда держим слово. Наши специалисты подготовили самый прикладной чек-лист на соответствие GDPR. Для удобства он разбит на 5 …