Что за принципы GDPR?
Принципы GDPR — основа всего регламента. Они определяют, как и какие персональные данные нужно обрабатывать и в каком объёме, в каких условиях их хранить и многое другое.
В основе GDPR лежат 6 принципов:
-
законность, честность и прозрачность;
-
целевое использование данных;
-
минимизация данных;
-
актуальность;
-
ограничение времени хранения;
-
целостность и конфиденциальность.
Например, вы открываете счёт в банке, а у вас требуют справку о доходах. Вы возмущены, потому что данные о ваших доходах никак не могут быть связаны с открытием счёта. GDPR исключает такие ситуации, потому что это требование нарушает принцип минимизации данных. Компания вправе запрашивать только те сведения о вас, которые действительно нужны для оказания услуги.
Давайте рассмотрим каждый из принципов GDPR отдельно.
Принцип 1. Законность, честность, прозрачность
Этот принцип обязывает понятно и доступно объяснить пользователю, зачем и как компания собирается хранить и обрабатывать его персональные данные, а также приступать к обработке только после явного согласия клиента.
Пример 1
Вы регистрируетесь в социальной сети. Обычно перед регистрацией вы автоматически ставите галочку напротив соглашения с политикой конфиденциальности. Но внезапно вам стало интересно: а что социальная сеть собирается делать с вашими данными?
Вы нажимаете на кнопку «Ознакомиться с политикой конфиденциальности», но ссылка ведёт на... несуществующую страницу 404! В соответствии с первым принципом GDPR, такая ситуация нарушает принцип законности, честности и прозрачности, потому что у вас нет доступа к важной информации о том, зачем социальной сети ваши данные и как она их обрабатывает.
Пример 2
Вы скачиваете какую-то программу с её официального сайта. Перед началом скачивания нужно ознакомиться с правилами и политикой конфиденциальности и поставить соответствующую галочку. Вы полны решимости просмотреть документ, переходите по ссылке, а там...
А там 84 страницы юридических терминов. Да, это и есть политика конфиденциальности разработчика — но обычный человек не просто не будет, но и не сможет подобное прочесть. В этом заключается прозрачность — документация должна быть максимально понятна для субъектов. Не стоит заставлять покупателя читать многостраничные юридические фолианты.
Принцип 2. Целевое использование
Целевое использование означает сбор, обработку и хранение персональных данных только для тех целей, которые изначально заявлены компанией, и эти цели должны быть законными. Не допускается дальнейшая обработка данных в иных целях.
Исключениями являются архивирование данных в общественных интересах, научных и исторических исследованиях или статистических целях.
Пример
Вы решили записаться к стоматологу онлайн. На сайте потребовалось ввести номер телефона и электронную почту для связи. В итоге ваш почтовый адрес используют для рассылки новостей и акций клиники, хотя никакого соглашения на рассылку на сайте не было.
Получается, что клиника использовала ваши персональные данные не только для заявленной цели (запись к врачу), но и для другой (маркетинговая рассылка). Принцип целевого использования GDPR был нарушен.
Чтобы избежать этого, клиника должна была получить ваше согласие на использование электронного адреса в рассылке — и только после этого отправлять письма.
Принцип 3. Минимизация данных
Принцип минимизации данных обязывает компании запрашивать, обрабатывать и хранить только те персональные данные, которые необходимы для достижения заявленной цели.
Пример
Вы решили заказать протеиновые батончики на сайте интернет-магазина спортивного питания и регистрируетесь на нём. Для оформления доставки магазин требует предоставить паспортные данные. Пока вы их не указали, система не позволяет вам сделать заказ.
Вы спрашиваете у специалиста службы поддержки: «Зачем вам мои паспортные данные? Ведь я просто хочу заказать еду!». И вы правы. В рамках GDPR такое условие нарушает принцип минимизации данных.
Почему это является нарушением?
В рассмотренном примере интернет-магазин должен запрашивать и хранить только те данные, которые требуются для оказания заявленной услуги — доставки (в частности, адрес клиента). Цель сбора паспортных данных не ясна, а значит вы можете смело указать компании на несоблюдение GDPR.
Принцип 4. Актуальность данных
Данные, которые хранит и обрабатывает компания, должны соответствовать действительности и обновляться при необходимости. Неверные и устаревшие данные должны быть удалены, заменены или исправлены без задержек.
Пример
Банк «Золотой пластик» отправляет вам SMS-сообщение о задолженности по кредитной карте, принадлежащей Ольги Геннадьевне. Но вы не пользуетесь услугами этого банка, да и зовут вас не Ольга. Вы звоните в банк и просите, чтобы ваши данные удалили. Однако банк игнорирует просьбу и продолжает оповещать вас о задолженностях другого человека.
Не исключено, что некая Ольга Геннадьевна действительно является клиентом банка «Золотой пластик», но она просто ошибочно указала неверный номер телефона. Но в этой ситуации банк нарушает принцип актуальности данных, так как не обновляет их даже по запросу.
Принцип 5. Ограничение времени хранения
Ограничение времени хранения требует удалять данные в тот самый момент, когда они больше не нужны для достижения целей. Нельзя хранить данные дольше, чем нужно, а также хранить их в форме, которая позволяет идентифицировать клиентов уже после оказания услуг.
Персональные данные могут храниться дольше только в тех случаях, когда они будут обрабатываться для архивирования данных в общественных интересах, научных и исторических исследованиях или статистических целях, и при обязательном условии, что выполняются соответствующие технические и организационные меры, требуемые GDPR.
Пример
Несколько лет назад вы регулярно вызывали такси одной и той же компании. Однажды случилась неприятная ситуация: вы ждали таксиста, но он так и не приехал, а деньги с вашей карты списали. Ущерб вам не возместили, поэтому вы решили больше не пользоваться услугами этого сервиса. Вы удалили из приложения свой аккаунт и все данные.
Но спустя два года вам приходит рассылка от этой компании. Вы не понимаете, как такое могло произойти, ведь вы стёрли все сведения о себе. Оказывается, компания все это время хранила ваши данные — а это явное нарушение принципа ограничения времени хранения GDPR.
Принцип 6. Целостность и конфиденциальность
Компании обязаны заботиться о конфиденциальности и защищать персональные данные своих клиентов от незаконной обработки, повреждения, уничтожения и утечки, используя соответствующие технические или организационные меры.
Пример
Вы живете в маленьком городе, где все друг друга знают. Вы ложитесь в больницу с деликатным заболеванием, о котором не хотели бы никому рассказывать. Ваш лечащий врач — порядочный человек, который соблюдает врачебную тайну.
Но внезапно вы узнаете, что через онлайн-кабинет к данным о вашем здоровье имеют доступ все сотрудники клиники, даже те, которые уже не работают там. Ваши данные оказываются под угрозой разглашения из-за несоблюдения мер безопасности. Клиника явно нарушила принцип конфиденциальности и целостности GDPR.
Имеет ли значение размер компании на соблюдение GDPR?
Только на размер штрафа. Но соблюдать GDPR все равно нужно.
Случай с маленькой французской компанией
В июне 2019 года французский орган по защите данных оштрафовал французское переводческое агентство Uniontrad, где работало всего 9 человек, за использование камер видеонаблюдения. Компания нарушила GDPR, так как постоянно следила за работниками на рабочих местах и не удаляла отснятый материал.
Всё стало известно благодаря жалобам сотрудников. Французская Национальная комиссия по информационным технологиям и свободам (НКИС) получала такие жалобы неоднократно. «Постоянный надзор за работниками является вторжением в их личную жизнь и может проводиться только в исключительных обстоятельствах», — отмечал представитель НКИС.
Согласно GDPR, Uniontrad нарушила принцип минимизации данных. За это на компанию был наложен штраф в размере €20000. В НКИС заявили, что размер штрафа был выбран исходя из размера компании и её тяжелого финансового положения — она буквально уходила в минус.
Таким образом GDPR одинаково относится как к крупным корпорациям, так и к маленьким компаниям.
Действует ли GDPR в отношении физических лиц?
Нарушить GDPR может не только компания, но и физическое лицо. Любой человек может понести наказание за несоблюдение принципов GDPR. Даже если вы не занимаетесь обработкой персональных данных на работе, вы в любой момент можете столкнуться с ними в обычной жизни.
Например, футбольного тренера из Австрии оштрафовали на €11000 за то, что он годами снимал на видео игроков женской команды в душевых кабинах. В данном случае он нарушил GDPR, будучи физическим лицом. Потом были еще иски за домогательство, но это уже другая история.
Где можно ознакомиться с дополнительной информацией
Подробнее о принципах можно прочитать в статье 5 GDPR.
Вывод
Принципы GDPR определяют, как и в каком объёме компания должна обрабатывать ваши персональные данные.