1. Основная цель принятия GDPR – усложнить жизнь бизнесу


На самом деле главная цель GDPR – дать возможность пользователям контролировать кто и как использует их персональные данные и иметь возможность легко и в любой момент запрещать использование или изменять условия использования персональных данных в маркетинговых целях.

Персональные данные собираются компаниями, чтобы улучшить маркетинг и сделать его персонифицированным – нацеленным на каждого конкретного пользователя с учетом его предпочтений и интересов, которые собираются на основе поведения пользователя в интернете: посещение сайтов, оставленные лайки, передвижение мышки по странице. В интернете можно собрать такие данные об активном среднестатистическом пользователе, как: пол, возраст, семейный статус, профессия, интересы, потребительские привычки. Если к этому добавить мониторинг геолокации, то объем информации о каждом человеке, которая находится в руках некоторых компаний, становится пугающим, особенно при мысли об утечке этих данных. Еще страшнее становится при мысли о возможном манипулировании поведением и решениями пользователей – пример новостей, связанных с деятельностью Cambridge Analytica.

В некоторых публикациях приводится пример программы, которая на базе анализа всего 10 лайков позволяет узнать человека лучше, чем его знают его сослуживцы. По 70 лайкам программа узнает о человеке столько же, как его близкий друг, по 150 лайкам – как родители, братья или сестры, а по 300 и более лайков — лучше, чем его знает супруг(а).

Задумываясь об этом с точки зрения пользователя, можно видеть безусловную пользу в принятии GDPR. Его основная цель – ограничение бесконтрольного использования персональных данных в коммерческих целях, когда субъект таких данных не имеет представления о том, кто, в каких целях и каким образом использует информацию о нем, собранную в интернете из различных источников.

2. GDPR распространяется на российские компании, обрабатывающие персональные данные хотя бы одного гражданина страны-члена ЕС


Это тоже заблуждение. GDPR регулирует работу с персональными данными не граждан ЕС, а всех лиц, находящихся на территории ЕС
«This Regulation applies to the processing of personal data of data subjects who are in the Union…».
GDPR, Art. 3 (2).
По утверждению представителя Европейской Комиссии (которому удалось неофициально задать некоторые вопросы на международной Конференции в июне 2018 года [1]) GDPR не относится к обработке персональных данных лиц, которые находятся за пределами ЕС, даже если они выехали временно. В тоже время обработка персональных данных российских граждан, которые путешествуют в Европе, подпадает под действие GDPR.

Опять же со ссылкой на неофициальные пояснения представителя Европейской Комиссии для того, чтобы привлечь внимание регулятора, требуется обработка прежде всего большого объема данных европейских пользователей. Если целью российской компании не является сбор или обработка данных европейцев, а лица, чьи данные она обрабатывает эпизодически оказываются в Европе, то регулятор вряд ли заинтересуется деятельностью такой компании с точки зрения соблюдения GDPR.

Существует противоположное мнение о том, что если услуги осуществляется вне пределов ЕС (например, номер в гостинице, находящейся в России, можно забронировать удаленно с территории ЕС), организация не должна попадать под действие GDPR, поскольку ее деятельность не осуществляется на территории ЕС и не попадает под действие законодательства ЕС. Такое мнение не вполне соответствует положениям GDPR: если такая компания будет использовать данные лиц, преимущественно проживающих в Европе, то на нее распространяется GDPR. Если взять пример с гостиницей, то на момент проживания в гостинице европеец действительно не находится в Европе. Но если после его возвращения гостиница продолжит обрабатывать его данные и, например, отправлять ему маркетинговые материалы, то получится, что она работает с данными лица, проживающего в Европе. Ну а если данные не будут использоваться в маркетинговых целях, а собираются только для брони и регистрации проживания, то в этом проблемы нет: GDPR разрешает сбор и обработку данных для исполнения договора, и согласие субъекта персональных данных в этом случае не нужно.

3. Согласие пользователей на использование их данных нужно всегда


Не совсем так. В случае не-европейской компании GDPR применяется только при использовании персональных данных для маркетинговых целей (предложения товаров или услуг) и мониторинге поведения пользователей в Европе. Если данные используются не для этих целей, то положения GDPR не будут применяться.

This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
GDPR, Art. 3 (2).
Когда данные получаются для целей исполнения договора, согласие не требуется. Существуют также другие случаи, когда использование персональных данных не требует согласия. Но если после исполнения договора данные остаются у компании и хранятся ей (например, в CRM), в этом случае потребуется согласие пользователя.

4. За нарушение GDPR будут сразу штрафовать, штрафы будут очень высокие


Штрафовать сразу никто не станет. Регуляторы в разных странах только начинают работать с новыми правилами и будут осторожно относиться к формированию практики, с оглядкой друг на друга. Они вряд ли они станут спешить сразу применять штрафы, скорее сначала будут предупреждения и предписания. Указанные в GDPR размеры штрафов – это верхний предел, при нарушении штрафы могут применяться не всегда и могут быть небольшими. Начисляться штрафы скорее всего будут исходя из того, что они должны быть соразмерными и действенными, а основная цель – не задушить бизнес, а направить на верный путь.

Кроме того, параллельно будет формироваться судебная практика (в том числе Люксембургского Суда), появления которой также будут ждать регуляторы, прежде чем начинать массовые проверки и санкции.

Во время неофициального общения с представителем Европейской Комиссии на конференции, прозвучала мысль, что возможно будет проведено несколько показательных процессов над некоторыми гигантами, чтобы на практике стало понятнее, какое поведение является неприемлемым и к чему оно может привести.

В вопросе применения штрафов за нарушение GDPR следующие позиции представляются наиболее правильными:
«В целом нужно воспринимать большие суммы штрафов в законе как заградительную меру, а не новыи? способ пополнения местных бюджетов стран Евросоюза»
«Конкретные размеры штрафов будут определяться индивидуально, с учетом большого количества факторов. Многомиллионныи? штраф может быть наложен на организацию в том случае, если она сознательно и злостно нарушала права субъектов, тщательно это скрывая и получая от такои? обработки ПДн высокую прибыль»
Что же касается опасений российских компаний, относительно того, что они могут быть оштрафованы за несоблюдение GDPR, то такие опасения вероятнее всего не реализуются. Привлечь к ответственности компании, не имеющие представительства в Европе, регулятору будет не просто. Еще сложнее будет исполнить наложенные санкции на территории государства, не входящего в состав ЕС. Поэтому основное регулирование, которое прогнозируется в связи GDPR, будет проходить посредством саморегулирования в отрасли: европейский бизнес постепенно будет отказываться от работы с компаниями, которые не соблюдают требования GDPR. Соответственно, основное негативное последствие несоблюдения GDPR – это не штрафы, а потеря конкурентоспособности на европейском рынке.

5. Персональные данные нельзя переносить в другие страны без соответствующего надзора и разрешения


Данные можно передавать, если существует договор с компанией, которые передаются данные, и если в таком договоре предусмотрены определенные гарантии. Кроме того, существует Конвенция Совета Европы 108 (в которой участвует Россия), в ней указывается следующее:
«Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни»
Точного ответа о том, как соотносятся положения Конвенции 108 и ограничения GDPR на передачу данных пока нет, возможно между ними есть противоречие. Но в любом случае, данные можно передавать при наличии договора, а также в некоторых других случаях, указанных в GDPR.

[1] Pearse O'Donohue, Acting Director for the Future Networks Directorate of DG CONNECT at the European Commission.

Комментарии (10)


  1. barbuda
    14.06.2018 10:17

    Не совсем так. GDPR регулирует только использование персональных данных для маркетинговых целей (предложения товаров или услуг) и мониторинг поведения. Если данные используются не для этих целей, то положения GDPR не будут применяться.

    А это откуда следует?
    Насколько я понимаю, GDPR регулирует обработку персональных данных независимо от того, как они используются. Согласие, и правда, не требуется, если есть другой lawful basis


    1. iou-iou Автор
      14.06.2018 10:30

      2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
      (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
      (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

      Немного откорректировала текст, чтобы было понятнее. Спасибо за комментарий.


      1. barbuda
        14.06.2018 11:09

        да, так яснее. Спасибо


  1. aamonster
    14.06.2018 10:59

    "GDPR регулирует работу с персональными данными не граждан ЕС, а всех лиц, находящихся на территории ЕС" — интересно, если в законодательстве какой-то страны (что там сейчас у нас в России?) есть аналогичные GDPR нормы, направленные на своих граждан — не возникнет ли конфликта норм при обработке данных граждан этой страны, посещающих ЕС?


    1. Kanut79
      14.06.2018 11:11

      А в чём должен заключаться конфликт? Тут скорее будет не конфликт а двойное юридическое преследование (не знаю как это точно называется).
      Я вам даже больше скажу: наличие GDPR само по себе не отменяет аналогичные законы отдельных стран ЕС.


      1. aamonster
        14.06.2018 12:31

        Я имел в виду — не могут ли требования к хранению данных такого гражданина оказаться взаимоисключающими? К примеру, закон страны пребывания требует хранения данных в ЕС, закон страны гражданства — хранения в этой стране.
        (если что — я не изучал требования ни GDPR, ни аналогов, потому и спрашиваю)


        1. Kanut79
          14.06.2018 12:35

          Я вот так по быстрому не могу вспомнить чтобы GDPR содержал какие-то пункты, которые могли бы создать какой-то конфликт.

          Кроме того в GDPR отдельно указывается что если законы страны, в которой находится «обработчик данных», требуют отклонений от GDPR(например вы по вашему местному закону вообще не имеете права стирать данные), вы должны следовать вашим законам, а не GDPR.


  1. Radziuk
    14.06.2018 12:39

    Поскольку всегда в таких случаях проверяю, можно ли узнать место в документе GDPR откуда следует вывод пункта 3. первый абзац?


    1. iou-iou Автор
      14.06.2018 12:42

      Cтатья 3, пункт 2
      2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
      (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
      (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.


  1. Hesed
    15.06.2018 11:25
    +1

    1. Основная цель принятия GDPR – усложнить жизнь бизнесу

    Пожалуй, перефразирую: «основное следствие принятие GDPR — усложнение жизни всем вокруг». Как потребитель я не почувствовал никаких улучшений относительно моих персональных данных. Как данные собирались, так и собираются. Как на заголовок Don't track забивали болт, так и забивают. Только повсеместная беготня, дурацкие анкеты и спам в ящиках. А, ну и благодаря GDPR я лишился доступа к нескольким часто используемым мною инструментам, как то:

    • Калькулятору ростовки велосипеда, потому что туда нужно вводить биометрические параметры — рост, длину рук и ног. Теперь доступ к нему ограничен только США, а значит VPN — мой лучший друг. Вроде не из России, а припекает, как от РКН.
    • Сервису игровой аналитики. А вдруг кто-то узнает, сколько я фрагов вчера набил?

    Из другого лагеря могу сообщить следующее — у нас за нарушения будут сразу штрафовать. Потому что уже создан надзорно-карающий орган (Valsts Datu Inspekcija, если кому интересно), которому даны полномочия больше, чем полиции (в отношении доступов к данным) и штрафы уже заложены в бюджет. Поэтому последнее время мы проводили кучу весёлых мероприятий в компании. Начиная от замены не-DIN4 шредеров и замочков на шкафчики, заканчивая написанием очень полезной документации из комплекта IG Policy в формате манифестов «податель сего обязуется никогда не использовать MD5 для паролей».