Исполнительный директор Центра цифровых прав рассказал о европейском Общем регламенте по защите данных и о том, нужно ли исполнять его российским компаниям.

25 мая исполнится год, как вступил в силу принятый странами Евросоюза Общий регламент по защите данных (General Data Protection Regulation). Исполнительный директор Центра цифровых прав Денис Лукаш рассказал Computerworld о том, что такое GDPR, нужно ли исполнять его российским компаниям и почему сделать это им в любом случае будет трудно.

- Каковы ключевые принципы GDPR?

Законность, справедливость, прозрачность обработки персональных данных, ограничение использования данных целями обработки и целями целостности хранимых данных, минимизация использования, точность, подотчетность. Некоторые из них хорошо знакомы российским гражданам благодаря 152-ФЗ (федеральный закон «О персональных данных», принятый в первоначальной редакции в 2006 году. — М.С.). Из нововведений — право на забвение и право на переносимость, хотя это не принципы, их тоже стоить упомянуть.

- Довольно размытые формулировки. Как они будут работать?

Четкости здесь нет, но она и не задумывалась. Регламент — юридический документ, а не технический. Понятие персональных данных дается довольно широко. Регламент задумывался как технически нейтральный акт.

Неясно, как право на переносимость будет реализовываться. Оно подразумевает возможность выгрузки данных в некотором формате. Но непонятно, что это за формат, что с ним делать, куда данные можно перенести.

Право на забвение — понятие юридическое. Диспозиция будет толковаться из баланса частного и публичного права.

- Что такое персональные данные «по GDPR»?

Это любая информация, относящаяся к идентифицированному или неидентифицируемому лицу. Все идентификаторы, включая совокупность факторов — биологических, психологических экономических и других, по которым можно определить то или иное лицо, например присваиваемый онлайновый номер. Ранее использовалось более узкое понятие, без указаний на онлайн-идентификаторы; GDPR его расширил.

В 152-ФЗ это понятие еще более узко. Сейчас, спустя десятилетие, приходим к пониманию, которое было заложено европейцами. Роскомнадзор тоже полагает, что любые идентификаторы — это персональные данные.

Для определения персональных данных нужно исходить из контекста и понимать, действительно ли эти данные относятся к физическому лицу, есть ли там какие-либо идентифицирующие физическое лицо признаки. Скажем, если на сайте есть регистрация по электронной почте, то данная электронная почта относится к персональным данным, поскольку служит для отделения одного физического лица от другого для совершения с ним каких-то юридически значимых действий. Или если установлен сервис с метрикой, которая считывает действия пользователей. Идентификаторы, которые передаются на сайт статистического сервиса, тоже будут являться персональными данными. В Data Protection Directive это уже было, да и Роскомнадзор согласен с этим. При работе со статистикой, особенно с привлечением сторонних сервисов, мы должны это понимать и декларировать, что собираем, обязательно делать схемы потоков персональных данных.

Любопытно, что по GDPR психологический тест для ребенка содержит персональные данные, потому что эти данные в совокупности относятся к определенному ребенку. Роскомнадзор своего мнения об этом не высказал. В Европе тенденция признать такие вещи персональными данными прослеживалась и ранее. Думаю, в России тоже к этому придут.

- Чем GDPR отличается от предшествующей ему директивы Data Protection Directive? Зачем понадобился регламент?

В Евросоюзе есть два вида актов — директивы и регламенты. Регламенты обязательны и имеют прямое действие на территории ЕС. Директивы — нет. Страны, опираясь на Data Protection Directive, создавали национальные документы и перестраивали в дозволенных рамках положения директивы, как им было удобно, включая ответственность, как им было удобно. Общей практики в ЕС не было, плюс проблемы с приватностью накапливались. Поэтому и приняли регламент, обязательный на всей территории ЕС. Несмотря на разницу в местных законодательствах, все споры в конечном итоге будут решаться в Европейском суде с учетом GDPR. И штрафы будут устанавливаться единообразно.

- Какие сдерживающие меры приняты помимо штрафов?

Особых отличий от директивы здесь нет. Но количество нарушений и надзорных мероприятий стало больше. Это, например, обязанность сообщать об утечках персональных данных и делать оценку соответствия на субъекта персональных данных, публиковать определенные сведения. Надзорные мероприятия стали весомее: вырос вес обращения субъекта персональных данных

- Как GDPR влияет на Россию?

Действие GDPR экстерриториально. Хоть Роскомнадзор и не согласен, но, если хотите продавать на территории ЕС, будьте добры учитывать GDPR. Если ваш рынок ограничен Россией, наверное, регламент не страшен, однако наверняка найдутся партнеры, которые откажутся с вами работать, так как работают с европейцами, для таких — российских — партнеров вы также должны соответствовать GDPR. Если есть желание идти в Европу или работать с международными компаниями в России, надо все это учитывать.

Допустим, вы предоставляете сервисы статистики, облачные базы данных и т. п. Перед заключением сотрудничества с вами у вас поинтересуются, соответствуете ли вы GDPR. Если нет, могут и отказаться.

Если вы предоставляете свои услуги в Европе, но зарегистрированы в России, то напрямую вас, может, не накажут, не дотянутся, однако могут применить санкции, например по ограничению доступа к сайтам или разделегированию доменов. Подобных мер пока нет, но они прорабатываются. Могут быть индивидуальные меры против генерального директора, что создаст ему проблемы при посещении стран Евросоюза.

Причиной соблюдать GDPR могут стать требования инвесторов или даже требования работников самих компаний, например тех, которые заняты в сфере информационной безопасности и рассчитывают на возможное расширение своих полномочий.

В целом выполнять GDPR полезно: соответствуя регламенту, вы соответствуете большинству международных требований, за исключением, может быть, требований по локализации данных (они, кстати, есть не только в России). 152-ФЗ проще GDPR. Интересна разница между ними: 152-ФЗ требует по большей части защищать персональные данные, в то время как GDPR — права субъектов персональных данных, защита персональных данных уже следствие.

- Россия движется в сторону такого понимания персональных данных?

В России сейчас есть разные подходы, но уйти от Конвенции 108+ (подписанная государствами — членами Союза Европы «Конвенция о защите физических лиц при автоматизированной обработке персональных данных». — М.С.) мы не можем. Для гармонизации нашего и европейского законодательства нужно дать больше прав субъектам персональных данных, перенести административную ответственность на лицо, осуществляющее обработку по поручению, убрать согласие на передачу третьим лицам. Но самое главное — повысить защиту государственных информационных систем, привести ее к соответствию хотя бы с действующими критериями ФСТЭК. Это проблематично, а потому наше государство, как мне кажется, будет в первых рядах «антилоббистов» GDPR. Пока Роскомнадзор — единственный орган, который выступает за то, чтобы двигаться в этом направлении. Впрочем, у него на то могут быть собственные причин: по GDPR надзорные органы должны быть независимы, обладать большими полномочиями, иметь выборного, а не назначенного главу. Возможно, в Роскомнадзоре стремятся расширить свои полномочия, как, например, это происходит с так называемым суверенным Рунетом.

- Как по шагам перестроить работу организации, чтобы она не нарушала GDPR?

Российским компаниям во многих случаях все придется делать с нуля, если процессы выстроены по 152-ФЗ. Однако тех, у кого по 152-ФЗ все правильно, очень мало. Некоторые делают видимость соблюдения регламента на бумажках, но это легко вычисляется. Первым делом надо честно взглянуть на то, что есть в компании. Если все хорошо структурировано и прописано, посмотрите на то, как соблюдаются права субъектов согласно GDPR. Далее нужно пересмотреть ПО. В соответствии с GDPR, приватность должна начинаться еще на этапе проектирования такого ПО. После предварительного анализа нужно составить оценку воздействия на субъекта персональных данных. Для тех, у кого мало опыта подобной работы, это единственный путь избежать или хотя бы снизить количество ошибок. Оценку лучше делать даже тогда, когда по GDPR она не обязательна. К тому же есть возможность направить ее в европейский надзорный орган, который может, хотя и не быстро, дать полезные рекомендации: вы не будете теряться в догадках. Оценка останется как документ, который будет подтверждать соответствие GDPR.

Далее нужно составить необходимые политики и процедуры. Можно привлечь эксперта, который проверит все документы или поможет с их изготовлением на основе вашей оценки. После выполнения всех пунктов, кстати, вы можете обнаружить, что все равно не будете соответствовать GDPR. Возможно, стоит подумать об изменении бизнес-стратегии. В общем, процедура непростая, но после прохождения всех мытарств у вас появится опыт; в дальнейшем разрабатывать бизнес-процессы, соответствующие GDPR, станет легче.

Важно, что Россия не считается страной, которая обеспечивает адекватную защиту персональных данных европейцев, в то время как Европа нам ее обеспечивает. Из-за этого тоже возникают сложности. В целом вы можете соответствовать GDPR, но наше же законодательство мешает этому проявиться в полной мере. Так, из-за части 5 статьи 18 152-ФЗ и из-за «закона Яровой» операторы обязаны в отдельных случаях хранить данные пользователей на территории России.

- Европа не перестанет сотрудничать с Россией?

Россия сама теряет малый ИТ-бизнес, который хочет работать с Европой. Сейчас выбор таких предпринимателей — регистрировать компании в Европе, так легче. Из-за этого теряем налоговые поступления. Многие обращаются к нам за консультацией по GDPR, намереваясь уйти в Европу еще до того, как в РФ появится альтернативный сценарий необходимой легализации.

- Есть ли в мире аналоги GDPR? Как в других странах складывается регулирование персональных данных?

У развитых стран есть подобные акты с определенными отличиями. Развивающиеся страны большей частью их копируют.

В США много разных законов в этой области, в том числе и на уровне штатов. Калифорнийский акт — один из самых строгих. Он делает акцент не на штрафе, а на компенсации морального вреда, обычно в диапазоне 100-750 долл. для одного затронутого субъекта. В Англии с видом на Brexit подготовили акт, напоминающий GDPR, однако там ряд статей уделен и национальной безопасности.

В Китае ориентируются на защиту государства, а не на права человека.

Если говорить о странах СНГ, то в Белоруссии вообще нет соответствующего федерального закона. А вот в Армении он приближен к европейским понятиям.

У России свой путь. На мой взгляд, нам нужно легализовать оборот больших данных. Грамотно, с проработкой всех рисков. Нужно приблизить 152-ФЗ к Конвенции 108+. Кстати, США в целом тоже не обеспечивают европейцам адекватную защиту, но у них с ЕС есть особый договор на эту тему, так что бизнес может не бояться. У нас же до него пока никому нет дела. Средний и малый бизнес вообще не учитывают: мы живем пока интересами государства и корпораций.

Ссылка на источник