Есть ли жизнь после GDPR для паба в Саранске и всех остальных

Евгений Денисов
Руководитель проектов MobileUp

Разбираемся в вопросах обработки персональных данных в соответствии с GDPR и объясняем на примерах, зачем нужен новый регламент и кого он касается.
Сегодня вступил в силу европейский регламент о защите персональных данных GDPR. Юристы уже написали несколько статей на эту тему, но они не дают точного понимания, зачем нужен закон и на кого распространяется. Давайте разберемся без лишней юридической терминологии, что происходит в действительности. Спойлер: владельцы пабов в Саранске могут расслабиться.
Зачем нужен GDPR?
Документ рассказывает бизнесу, как собирать, хранить и любым другим способом обрабатывать персональные данные (ПДн) клиентов (но только физических лиц, юрлица не в счет). Разъясняет, какие права в отношении этих данных есть у обеих сторон и как соблюдение этих прав будет контролироваться.
А раньше персональные данные в ЕС не защищались?
Защищались. В 1995 году Европейским парламентом была принята соответствующая Директива, которая дополнялась национальными законами стран ЕС и судебными прецедентами. В целом, у граждан были практически такие же права на защиту своих ПДн, как и в новом регламенте.
Тогда зачем новый закон?
Проблема старого законодательства была в том, что мало кто его соблюдал в полном объеме. К требованиям Директивы можно было подойти формально, трактовать как удобно. В худшем случае, заплатить относительно небольшой штраф за нарушение.

GDPR составлен таким образом, что уклониться от его соблюдения становится значительно сложнее и гораздо, гораздо дороже. Кроме того, регламент подробно описывает, что является персональными данными и что подразумевается под их обработкой.
    ОК, что такое персональные данные?
    Регламент даёт очень краткое определение персональных данных и не предлагает исчерпывающего перечня. Скоро вы поймёте почему.

    Итак, ПДн – это любые данные, которые относятся к человеку, который уже идентифицирован или может быть идентифицирован.

    Звучит не очень понятно, поэтому разберем подробнее. «Идентифицирован» означает, что вы знаете, о ком речь. Например, ФИО и паспортные данные человека однозначно его идентифицируют. Именно поэтому их используют для заключения договоров или, скажем, продажи билетов на самолёт.

    В то же время, для полной идентификации может хватить только имени, если появляется дополнительная информация о человеке. Например, у нас в офисе работает два Евгения, но только один из них руководит проектами. Поэтому, в рамках компании набор данных «Евгений, руководитель проектов» меня полностью идентифицирует.

    На этом примере мы приходим к понятию «может быть идентифицирован»: моего имени и должности для коллег достаточно, чтобы понять, о ком идет речь. А если добавить к этому еще и название компании, то я уже «идентифицирован» и для всех остальных.

    Приметы подозреваемого в полицейских сводках – это тоже данные, которые позволяют идентифицировать человека. Полиция еще не знает, кто он, но любая дополнительная информация может помочь его идентифицировать и найти.

    Важно понимать, что понятие «позволяют идентифицировать» сильно зависит от контекста. Например, если я скажу, что симпатичная брюнетка весело проводит время с друзьями, очевидно, читатель не сможет ее идентифицировать — сказать, кто эта брюнетка. Но если добавить деталей, скажем, «на яхте олигарха», человек, следящий за новостями, начнет догадываться, о ком идет речь. А если конкретизировать, что это за олигарх, многие смогут назвать имя и фамилию этой барышни, то есть полностью её идентифицировать. Следовательно, данные, которые для этого потребовались являются персональными, хотя там ни слова про паспорт, имя или фамилию лица, к которому эти данные относятся.

    Ещё пример. В мире довольно много премьер-министров. Но только один умудрился заснуть на церемонии открытия Олимпиады. И вы знаете, о ком речь.

    Именно поэтому регламент не даёт полного перечня ПДн, а только примеры и области данных. Конкретные примеры помогают в отношении наиболее спорных моментов.

    Например, онлайн-идентификатор – это персональные данные. Для коллег-айтишников, которые трекают поведение своих пользователей на сайте и считают, что если в логах нет ФИО, то это не ПДн, у меня плохие новости – вы обрабатываете персональные данные. Вот, например, статья на The Guardian (на англ.) с несколькими реальными случаями идентификации пользователей по «анонимным» данным типа идентификаторов, урлов и таймстемпов.
      Хорошо, а что является обработкой ПДн?
      Любые действия с данными, которые производятся вручную или автоматизированно. Даже удаление этих данных.
        Давайте ближе к делу. У меня российская компания. На неё распространяется действие GDPR?
        Распространяется, если ваша компания:

        • Имеет подразделение (формально, любую организационную единицу) в ЕС, которое обрабатывает ПДн физических лиц.
        • Находится в РФ или любом другом государстве, но предлагает товары и услуги лицам, которые находятся в ЕС, поэтому обрабатывает их ПДн.
        • Находится в РФ или любом другом государстве, не предлагает товары и услуги лицам, находящимся в ЕС, но мониторит их поведение на территории ЕС.
        Это тонкий момент, поэтому разберем на примерах.

        Допустим, вы владелец того самого паба в Саранске, и 25 июня к вам в заведение заглянула компания португальцев с целью отметить победу своей сборной над футболистами из Ирана. Более того, они даже оставили отзывы в книге жалоб и предложений с фамилиями, именами и домашними адресами. Нужно ли париться по поводу GDPR? Нет, не нужно.

        Ваш паб предлагает услуги и товары клиентам на территории РФ, но не высылает эти товары по почте европейцам и не оказывает им услуги дистанционно.

        Теперь предположим, что у вас в Саранске интернет-магазин, продающий куклы в национальных мордовских костюмах. Ваш сайт переведен на основные европейские языки и пересылает товары по почте. Покупатели из ЕС размещают у вас заказы, оставляя имя и почтовый адрес. Очевидно, что вы ориентируетесь на клиентов в ЕС и подпадаете под действие регламента.

        А теперь самое интересное. Вообразим, что вы саратовец в семнадцатом поколении (Саратов основан в 1590 году), гордитесь своим городом и хотите, чтобы весь мир узнал, как он прекрасен. Для этого вы зарегистрировали домен saratov.eu, на нескольких европейских языках расписали историю города, разместили красивые фотографии – GDPR вас не касается, пока вы не предлагаете на этом сайте услуги или товары, например, экскурсии. Но как только вы поставили Яндекс Метрику, чтобы знать, кто и откуда к вам приходит на сайт, всё — у вашего посетителя из ЕС появился идентификатор, и вы начали мониторить его поведение на территории ЕС. Вы автоматически попали под GDPR.

        Подытожим. Работаете в ЕС – соблюдайте регламент. Ориентируетесь на клиентов из ЕС – соблюдайте регламент. Мониторите поведение лиц на территории ЕС – соблюдайте регламент.

        Если нет намерения оказывать услуги лицам в ЕС, то можете ни о чем не думать, разве что о российском ФЗ-152.
        Допустим, я нарушаю требования GDPR. Мне грозит штраф от 20 до 40 млн. евро?
        Распространяется, если ваша компания:

        • Имеет подразделение (формально, любую организационную единицу) в ЕС, которое обрабатывает ПДн физических лиц.
        • Находится в РФ или любом другом государстве, но предлагает товары и услуги лицам, которые находятся в ЕС, поэтому обрабатывает их ПДн.
        • Находится в РФ или любом другом государстве, не предлагает товары и услуги лицам, находящимся в ЕС, но мониторит их поведение на территории ЕС.
        Это тонкий момент, поэтому разберем на примерах.

        Допустим, вы владелец того самого паба в Саранске, и 25 июня к вам в заведение заглянула компания португальцев с целью отметить победу своей сборной над футболистами из Ирана. Более того, они даже оставили отзывы в книге жалоб и предложений с фамилиями, именами и домашними адресами. Нужно ли париться по поводу GDPR? Нет, не нужно.

        Ваш паб предлагает услуги и товары клиентам на территории РФ, но не высылает эти товары по почте европейцам и не оказывает им услуги дистанционно.

        Теперь предположим, что у вас в Саранске интернет-магазин, продающий куклы в национальных мордовских костюмах. Ваш сайт переведен на основные европейские языки и пересылает товары по почте. Покупатели из ЕС размещают у вас заказы, оставляя имя и почтовый адрес. Очевидно, что вы ориентируетесь на клиентов в ЕС и подпадаете под действие регламента.

        А теперь самое интересное. Вообразим, что вы саратовец в семнадцатом поколении (Саратов основан в 1590 году), гордитесь своим городом и хотите, чтобы весь мир узнал, как он прекрасен. Для этого вы зарегистрировали домен saratov.eu, на нескольких европейских языках расписали историю города, разместили красивые фотографии – GDPR вас не касается, пока вы не предлагаете на этом сайте услуги или товары, например, экскурсии. Но как только вы поставили Яндекс Метрику, чтобы знать, кто и откуда к вам приходит на сайт, всё — у вашего посетителя из ЕС появился идентификатор, и вы начали мониторить его поведение на территории ЕС. Вы автоматически попали под GDPR.

        Подытожим. Работаете в ЕС – соблюдайте регламент. Ориентируетесь на клиентов из ЕС – соблюдайте регламент. Мониторите поведение лиц на территории ЕС – соблюдайте регламент.

        Если нет намерения оказывать услуги лицам в ЕС, то можете ни о чем не думать, разве что о российском ФЗ-152.
        Нет. Регламент не зря дорабатывали 4 года. Он составлен таким образом, чтобы защищать права граждан, но не блокировать нормальную деятельность. Например, телефонные записные книжки оказались бы вне закона – это явный перегиб. Если вы используете персональные данные в личных целях и не злоупотребляете ими, то беспокоиться не о чем. Человек обычно не против, если вы порекомендуете его как специалиста, и с этой целью дадите его рабочий имейл знакомым. В качестве проверки задавайте вопрос: «Большинство людей обычно так поступают?». Если ответ утвердительный, значит все ОК. Если нет, это повод задуматься.

        Надеюсь, теперь стало более понятно, о чем вообще GDPR. За рамками статьи остались вопросы прав пользователей на свои данные и обязанностей компаний по их обработке. Если статья вызовет интерес, осветим эти моменты во второй части.

        Уважайте своих пользователей =)
        Статья подготовлена для vc.ru
        Если материал вам понравился, расскажите о нем друзьям. Спасибо!
        Читайте также:
        Один раз в месяц мы присылаем статьи на почту