Как выжить после GDPR: что делать и кто виноват | Umbrella IT

Как выжить после GDPR: что делать и кто виноват

После 4 лет ожесточенных дебатов европейский парламент принял регламент по защите персональных данных — GDPR. Документ экстерриториален. Это значит, что где бы физически ни находилась ваша компания, если вы сотрудничаете с резидентами ЕС — вам придется уважать европейский закон.

Мы запускаем серию статей, посвященных GDPR. В первой части мы пробежимся по основным положениям регламента, выясним, кто такие контроллеры и процессоры, и чем грозит нарушение правил. А во второй предложим самый прикладной чек-лист на соответствие GDPR.

 

Что происходит

GDPR начал действовать 25 мая 2018-го. Дедлайн был известен еще в 2016 году, но до сих пор не все компании могут с уверенностью заявить, что полностью соответствуют принятым стандартам. Отчет TrustArc показывает, что даже спустя месяцы после вступления договора в силу ситуация мало изменилась:

1ru

 

Особенности GDPR

В основе GDPR лежат 7 ключевых принципов.

  • Правомерность, справедливость и прозрачность — персональные данные должны обрабатываться справедливым и законным образом в отношении пользователя.
  • Целевое ограничение — персональные данные должны собираться для конкретных, ясных и законных целей.
  • Минимизация данных персональные данные должны быть ограничены данными, необходимыми для достижения поставленных законных целей.
  • Точность — персональные данные должны быть точными и актуальными.
  • Ограничение хранения персональные данные должны храниться в форме, требуемой для идентификации пользователя в течение срока, необходимого для достижения поставленных законных целей.
  • Целостность и конфиденциальность персональные данные должны быть обработаны способом, обеспечивающим полную безопасность данных.
  • Подотчетность — компания несет ответственность перед пользователями и надзорными органами и должна быть способна доказать соблюдение положений регламента.

 

Кто в зоне действия нового регламента

Прежде всего, нужно разобраться, кого касается GDPR. Регламент распространяется на компании, которые обрабатывают персональные данные граждан и резидентов ЕС, независимо от того, производится ли обработка данных на территории ЕС или за его пределами.  

Это значит, что для закона нет никакой разницы между банком в Нью-Йорке, открывшим французскому бизнесмену счет, и танзанийским бушменом, продающим через интернет европейским туристам бусы из зубов бегемота.  

Оба примера объединяет обработка персональных данных. Напомним, персональные данные — это любая информация, позволяющая идентифицировать человека, от e-mail до семейного положения.

Регламент вводит новые термины. Теперь компания может быть процессором или контроллером данных.

  • Контроллеры — компании, которые собирают данные пользователей (по регламенту — субъектов данных) и определяют цели и способы обработки.
  • Процессоры — сторонние компании, которые обрабатывают данные от имени контроллеров.

Контроллеры несут большую часть ответственности и обязаны заключать с процессорами соглашения о соблюдении правил GDPR.

Рассмотрим на примере. «Пластилиновая ворона», интернет-магазин по продаже пластилина, рассылает свою продукцию по всему миру. Магазин собирает адреса покупателей (для доставки заказов) и e-mail (для рекламных рассылок). «Пластилиновая ворона» — контроллер данных, потому что он сам определяет, какую личную информацию и для каких целей нужно собирать, и обеспечивает безопасность данных любителей лепки.  

Представьте, что та же самая «Ворона» решила выяснить, почему зеленый пластилин разлетается как горячие пирожки, а белый никто не покупает. В поисках ответа магазин подключил сервис Google Analytics. Теперь сервис тоже собирает данные покупателей «Вороны», что делает его процессором данных.

2ru

Подведем итог. Под действие регламента попадают:

  • компании, которые предоставляют свои товары и услуги гражданам и резидентам ЕС

Cайт вашей гостиницы переведен на один из европейских языков? Значит вы ориентируетесь на клиентов из ЕС и попадаете под действие регламента.

  • компании, которые мониторят онлайн-активность граждан и резидентов ЕС

Вы используете cookies, чтобы сохранять содержимое корзины покупателей из ЕС в онлайн-магазине? Не сомневайтесь, вы точно попадаете под действие регламента.

 

Cколько стоит несоблюдение GDPR

Несоблюдение GDPR может обойтись дорого. Размер штрафа за невыполнение положений регламента определяют различные факторы, учитывающие характер, тяжесть и продолжительность нарушения, предыдущие правонарушения компании, количество людей, затронутых нарушением, и многое другое.

Максимальный размер штрафа составляет 10 млн. евро (или 2% от годового оборота) на нижнем уровне и 20 млн. евро (или 4% от годового оборота) на верхнем.

3ru

При этом по закону выбор между фиксированным штрафом и процентом от оборота компании определяется по принципу «смотря что больше».

Допустим, стартап «Пиноккио» занимается производством деревянных дронов и продает их через интернет в ЕС. Годовой оборот стартапа — 32 млн. евро в год. Из-за хакерской атаки в сеть попали e-mail и информация о платежах клиентов. Менеджмент стартапа не только не попытался исправить ситуацию, но и приложил все усилия, чтобы замять дело. По GDPR такая спорная стратегия стоит 10 млн. евро или 2% от прошлогоднего годового оборота. Для стартапа 2% равны 640 тысяч евро. Однако по принципу «платишь сумму, которая больше» «Пиноккио» будет обязан выплатить именно 10 млн. евро.

Другой пример. Российский банк «Красный коллектор» активно выдает кредиты европейским гражданам. Оборот банка за прошлый год оказался скромным — всего 952 млн. евро. В течение нескольких лет банк перепродавал данные своих клиентов — естественно, без их ведома — за границу. По GDPR за такое нарушение предусмотрен максимальный штраф — 20 млн. евро или 4% от годового оборота. Для банка 4% от 952 млн. евро — это более чем 38 млн. евро. Именно в такую сумму обойдется «Красному коллектору» пренебрежение регламентом.

Эти примеры не так далеки от истины, как кажутся. Перспектива максимального штрафа — именно то, что сейчас грозит компании Ticketmaster, крупному сервису продажи билетов, по вине которого в сеть утекли данные 40 тысяч пользователей.

Но не стоить паниковать: головы с плеч рубят не сразу. Еврокомиссия даже создала анимированную инфографику, объясняющую, как надзорные органы мониторят соблюдение регламента и обходятся с нарушителями. Если проступок незначителен, надзорный орган выносит предупреждение и предоставляет время для устранения несоответствий. Нельзя забывать, что принципиальная цель GDPR — защита прав пользователей, а не затруднение предпринимательской деятельности.

Возникает резонный вопрос: как не допустить это «незначительное нарушение» и проверить свой уровень соответствия регламенту прямо сейчас? Читайте практические рекомендации в нашей следующей статье.


Ещё

  • Как выжить после GDPR: самый прикладной чек-лист на соответствие регламенту
    Как выжить после GDPR: самый прикладной чек-лист на соответствие регламенту
    В нашей предыдущей статье, посвященной GDPR, мы сделали лирическое отступление о том, кого затронет новый регламент и во сколько обойдется его нарушение. Мы обещали рассказать, как продолжить гнуть свою линию и не попасть под санкции. И мы всегда держим слово. Наши специалисты подготовили самый прикладной чек-лист на соответствие GDPR. Для удобства он разбит на 5 …
  • CEO компании Umbrella на Agile Days 2018: рецепт эффективного и контролируемого роста команд разработчиков
    CEO компании Umbrella на Agile Days 2018: рецепт эффективного и контролируемого роста команд разработчиков
      22-23 марта в московском Центре Международной Торговли прошла 12-я глобальная конференция по гибкому управлению процессами Ag;)le Days 2018. Одним из спикеров конференции стал основатель и CEO компании Umbrella Станислав Мешков. Мы попросили Стаса рассказать немного о том, как это было. Интервьюер: Привет, Стас! На конференции Ag;)le Days 2018 ты выступал с докладом: “Разработка: увеличь компанию, …
  • IT Лидеры и правители из прошлого: удивительные параллели успеха, которые вы могли не заметить. Часть 2
    IT Лидеры и правители из прошлого: удивительные параллели успеха, которые вы могли не заметить. Часть 2
      В стремлении стать одним из сильнейших лидеров в IT-индустрии, немаловажно обладать рядом определённых качеств, развивая которые вы сможете построить собственную империю. В предыдущей статье вы узнали несколько историй успеха величайших деятелей IT-индустрии, у которых есть, чему поучиться. Сегодня мы расскажем вам о том, что помогает Александру Македонскому нашего времени осваивать новые ниши рынка, и как …