Между буквой и духом законов: как международной компании защитить ПДн клиентов и избежать санкций23.01.2024 13:30

b57147b8064e3de6b8d8c284789f6cd8.jpeg

Большинство международных компаний ходит по тонкому льду — когда твои сотрудники и пользователи разбросаны по всему миру, хранение и обработка их персональных данных становится сложной юридической проблемой. Если пытаться досконально вникнуть в законы сразу всех стран, можно превратиться в юридическую контору. С другой стороны, повсюду есть надзорные органы, которые грозят санкциями за любые нарушения.

Чтобы избежать претензий, не навредить пользователям и обеспечить стабильное развитие бизнеса, недостаточно изучать нормативную базу. Желательно также знакомиться с реальным опытом разных компаний, особенно из числа тех, для кого работа с ПДн имеет первостепенное значение.

Мы побеседовали с экспертами из соцсети ReLife, пользователи которой проживают в более 70 странах мира. Они рассказали, на что в первую очередь обращают внимание, на какие законы ориентируются, с какими рисками и «подводными камнями» сталкиваются и как их обходят. Вместе мы сравнили американское, европейское и российское законодательство по охране ПДн и делимся практическими рекомендациями по его соблюдению.

Особенности подходов к охране ПНД в ЕС, США и России

В целом европейский GDPR (General Data Protection Regulation), американский ADPPA (American Data Privacy and Protection Act), российский Федеральный закон «О персональных данных» N 152-ФЗ и другие подобные правовые акты имеют общую направленность.

Это как «не убей» или «не укради», отраженные во всех уголовных кодексах мира. Тут же базовые заповеди можно сформулировать как «не допускай утечек», «соблюдай права пользователей», «не передавай данные без согласия». И все же нюансов немало. Не будем углубляться в мельчайшие детали, но обозначим некоторые сходства и различия.

Эксперты ReLife о сходствах GDRP и ADPPA

В обоих актах под ПДн понимается любая информация, позволяющая идентифицировать человека: адреса, телефоны, паспортные данные, номера кредитных карт, списки заказов, устройств, покупок, письма, комментарии и многое другое. Обезличенные (деидентифицированные) и общедоступные сведения не считаются ПДн как в европейской, так и в американской практике.

Каждый регламент вставляет свои пять копеек в детализацию по персональным данным, но и здесь нет особых противоречий между GDPR и ADPPA. Первый уточняет, что такая информация может быть связана с кем-либо напрямую (например, ФИО, дата рождения и т.д.) или опосредованно. То есть пальцем ни на кого не показывают, но по косвенным деталям, скажем, в переписке нетрудно установить личность человека.

Примерно так же классифицируются ПДн и в американском нормативном акте, хотя там и применяются свои формулировки. Термином «защищенные данные» обозначают абсолютно все, что так или иначе указывает на их обладателя. В свою очередь, «конфиденциальные защищенные данные» содержат личную информацию, не предназначенную для общего доступа (номера социального страхования, водительских прав и паспортов, медицинские и финансовые сведения, биометрические данные, геолокация и т. д.).

Европейское и Американское законодательство роднят и такие принципы, как минимизация и пропорциональность данных. То есть оператор не должен собирать больше информации, чем это необходимо для работы. Условно, интернет-магазину не полагается требовать у своих покупателей налоговую декларацию и группу крови в дополнение к адресу доставки.

Еще один общий принцип — прозрачность: каждый пользователь должен понимать, что происходит с его персональными данными. Отсюда обязательное требование к бизнесу размещать на сайте детализированную политику конфиденциальности. Совпадают и основные табу, такие как передача персональных данных третьей стороне без согласия обладателя и т. д.

Что касается контроля, то и в Европе, и в США регуляторы не следят за каждым шагом бизнеса. По крайней мере, к стартапам отношение довольно лояльное. Пока регулятор не получит какую-нибудь жалобу, он вряд ли обратит внимание на небольшую компанию. Но стоит европейской организации вырасти до размеров корпорации, как к ней приставят офицера по защите данных (DPO). В США применяются другие инструменты контроля, но по сути все похоже. Чем крупнее бизнес, тем больше проверок со стороны регулятора.

b706815d59d98b2b4596c54276a2af2c.png

Эксперты ReLife о различиях GDPR и ADPPA 

Пожалуй, GDPR выделяется большей масштабностью и фундаментальностью. Оно и понятно, ведь в ЕС входит почти три десятка государств, каждое из которых ранее имело свое законодательство в сфере охраны ПДн. В рамках общеевропейского регламента сделана попытка обобщить эту международную юридическую практику. Американский акт изначально ориентировался на одно государство, и поэтому не столь обширен. К тому же в США многое отдается на откуп судебной практике.

Другой нюанс — на кого именно распространяются требования регламентов. GDPR актуален абсолютно для любой организации, которая оперирует личной информацией граждан стран ЕС.

Область действия ADPPA несколько уже: в нее попадают компании с годовым доходом свыше $25 млн и обрабатывающие данные более 50 тыс. пользователей. Третье условие — хотя бы половина годового дохода должна приходиться на продажу личной информации и данных.

Государственные учреждения освобождаются от необходимости соблюдать ADPPA. Есть послабления и для бизнеса, который не обязан выполнять требования американского регламента по отношению к собственному персоналу. Это лишает сотрудников возможности «разыграть карту» персональных данных в решении трудовых споров, как часто происходит в странах ЕС.

Эксперты Бастион о сходствах GDPR и 152-ФЗ

GDPR и 152-ФЗ также не содержат принципиальных противоречий. Они одинаково обязывают бизнес уведомлять регуляторов об утечках ПДн и предпринятых мерах, схожи и другие базовые условия.

Оба нормативных акта концентрируются на правовой стороне вопроса и почти не содержат технических деталей. Нет выверенных, будто в аптеке, рецептов и по пакетам документов для регуляторов. Зачастую проверка напоминает игру в рулетку: всего ли хватит инспекторам или понадобится еще какая-то бумажка. Абсолютная ясность есть только по основной документации. Остальное приходится узнавать методом собственных проб и ошибок, а также из экспертных разъяснений регуляторов.

Кстати, требования по базовым бумагам тоже во многом схожи. Наряду с внутренними локальными актами по обработке ПДн, бизнесу придется выполнить оценку вреда их субъекту, которая в европейском варианте называется оценкой воздействия планируемых операций на защиту персональных данных. Какие именно действия нужно оценивать, а какие нет, на что обращать внимание: ответы ищите в себе у надзорного органа конкретной европейской страны. В России же такие моменты проясняет Приказ Роскомнадзора №178, выпущенный в конце прошлого года.

Другое сходство — международная сфера применения законодательств. По итогам последних поправок, действие ФЗ-152 также распространяется на все иностранные физические и юридические лица, которые обрабатывают персональные данные российских граждан.

dc2a3735c5d8a8771cf1234ad7011a8e.png

Эксперты Бастион о различиях GDPR и 152-ФЗ

Прежде всего в российском законодательстве гораздо больше различных подзаконных актов, например, по техническим деталям процесса обработки ПДн. Так, в Приказе ФСТЭК №21 перечислены конкретные меры, как обезопасить личную информацию в соответствии с прописанным в Постановлении Правительства №1119 уровнем защищенности персональных данных. А отдельные регуляторы регламентируют применение тех или иных инструментов и подходов. ФСТЭК в своих локальных нормативных актах вносит ясность по техническим мерам и средствам защиты информации (СЗИ); ФСБ курирует вопросы, связанные с криптографией, и т. д.

По GDPR подобного пула связанных нормативных актов в масштабах всего Евросоюза нет. Опубликовано лишь несколько разъяснительных записок к отдельным статьям регламента, но и там технические нюансы не затрагиваются. Иногда бизнесу приходится дополнительно изучать законодательство конкретных стран. Допустим, в Швейцарии действуют два местных закона, регламентирующих конкретные инструменты и подходы к защите персональных данных.

Есть различия и в плане уже упомянутых базовых документов, наличие которых отслеживают регуляторы. В России это политика обработки ПДн и акт определения уровня их защищенности. В европейском законодательстве наряду с политикой соответствия GDPR необходим специальный реестр работы с персональными данными. В нем подробно фиксируется, где, кем и на каких правовых основаниях обрабатывается подобная информация. Согласовывать реестр не нужно, но надзорный орган может запросить его в ходе проверки.

Как в ReLife «подружили» разные законодательства по охране ПДн

Понять сходства и различия подходов к охране ПДн в ЕС, США и России не сложно, но только в теории. На практике зачастую неясно, на какое законодательство ориентироваться. Особенно, если выстраивается система обработки персональных данных внутри международной компании, например, социальной сети, которая ориентирована разом и на Европу, и на США.

Как нет универсального, всеобъемлющего международного закона о персональных данных, так и отсутствует однозначный ответ на этот вопрос.

Специфика ReLife в части работы с персональными данными

Социальная сеть — это и есть прежде всего персональные данные. Поэтому регламент по охране ПДн — настоящая «библия» для администрации любого международного интернет-комьюнити. 

Однако в каждой стране действуют местные законы и свои регуляторы, которые могут постучаться с проверкой. Когда у вас есть пользовали из 72 стран мира, просто физически невозможно разом угодить им всем. Приходится расставлять приоритеты.

Основные ориентиры ReLife

Прежде всего социальная сеть ReLife ориентируется на общеевропейское законодательство, на GDPR, ведь среди наших пользователей преобладают граждане ЕС. Еще у нас много американцев, а значит нельзя игнорировать ADPPA. Что касается других юрисдикций, то на практике приходится больше следовать не букве, а духу закона.

Соблюдение GDPR и ADPPA обеспечивает высокий общий уровень защиты персональных данных, который автоматически удовлетворяет запросам большинства национальных регуляторов.

Конечно, всегда найдется к чему придраться — в национальном законодательстве зачастую есть специфические узкие требования, о которых не подозревают и многие юристы. Но компании, соблюдающие GDPR, по умолчанию вызывают больше доверия и не часто подвергаются проверкам со стороны отдельных стран. Также играет роль малое число пользователей из других юрисдикций и отсутствие жалоб с их стороны.

Как выстроена работа по защите ПДн в ReLife

Соответственно мы изучаем законодательство сразу всех стран мира и кормим роту юристов выделяем основные подходы, которые обезопасят бизнес от проблем и претензий со стороны регуляторов и пользователей. Если коротко, то это минимизация собираемых данных, децентрализация хранения информации и четкое распределение ответственности между соцсетью и членами комьюнити.

Оцениваем риски

Допустим, мы собрались внедрить некое новшество, например, новый тип регистрации. Когда проработаны все нюансы с точки зрения бюджета, технической реализации и сроков, составляется приблизительный список рисков в сфере охраны ПДн. Фиксируются опасения, что может нарушить компания своей новой фичей и чем это грозит бизнесу.

Этот отчет передается для анализа юристам. На основе их экспертного заключения составляется уже более детализированная таблица. В ней прописываются риски, процент их вероятности, гипотетическое влияние на бизнес (например, возможные штрафы и другие санкции) и то, как избежать негативных последствий.

Риск

Вероятность (%)

Влияние

Потенциальное влияние на бизнес

Стратегия минимизации риска

1

Несоблюдение требований GDPR

40

Высокое

Штрафы, потеря доверия клиентов

Внедрение системы шифрования, обучение сотрудников

2

Утечка персональных данных

20

Высокое

Штрафы, ущерб репутации, возможные иски

Улучшение систем безопасности, регулярные аудиты

3

Технические сбои

15

Среднее

Временная недоступность сервиса, потеря данных

Создание резервных копий, обновление ПО

4

Ошибки пользователей

25

Среднее

Некорректное использование новой функциональности

Разработка интуитивно понятного интерфейса, туториалы

5

Недостаточное тестирование

10

Низкое

Баги, сбои в работе, недовольство пользователей

Проведение комплексного тестирования

В таблице показан структурированный подход к анализу рисков при внедрении новых функциональных возможностей, таких как упрощенная регистрация. Таблица помогает техническим командам, юристам и менеджерам выявить потенциальные угрозы и продумать способы минимизировать возможность негативных последствий.

Стоит уделить внимание колонке «Стратегия минимизации риска». Здесь необходимо формулировать конкретные задачи и действия. Это могут быть технические решения (доработка систем безопасности, разработка интуитивно понятного интерфейса), образовательные программы для сотрудников и т. д.

Разделяем типы персональных данных

Для внутренних нужд мы выделяем 3 основные группы ПДн:

  1. Информация по авторизации пользователей (пароли и т.д.).

  2. Дата рождения и страна проживания.

  3. Содержание профилей — здесь акцент делается на интересах члена комьюнити и его пользе для аудитории. У нас они выражены через теги, которые характеризуют человека.

Для хранения и управления этими данными предусмотрены отдельные процедуры, а обработку информации об авторизации мы и вовсе во многом переложили на Google и Apple, внедрив аутентификацию через их сервисы.

Собираем минимум персональных данных

Здесь все просто: чем меньше мы знаем о пользователе, тем ниже риск утечки его данных. Да и вообще, ПДн — не ПДн, если по ним нельзя однозначно идентифицировать человека. Так что в наших планах реализовать анонимную регистрацию, благо современные алгоритмы антифрода уже достаточно хороши, чтобы отсекать даже анонимных спамеров и ботов.

Децентрализуем хранение информации

Мы распределяем данные по серверам в соответствии с законодательством разных стран. Информация о пользователях из ЕС хранится в немецких дата-центрах, из США и Канады — на мощностях Amazon и т. д. Крупные хостеры во многом «заточены» под выполнение требований местных регуляторов, и это облегчает соблюдение законодательства. Вдобавок такая децентрализация повышает скорость работы платформы.

Упрощается и задача перемещения данных по запросу их обладателей согласно GDPR. И на такой случай хостеры имеют отработанные протоколы. Каждый пользователь соцсети может подать соответствующий официальный запрос хостинг-провайдеру. Первым делом проверяется личность заявителя, чтобы данные не попали не в те руки. Для этого используются различные методы аутентификации, включая электронную почту, СМС и т. д. Далее хостинг-провайдер приступает к сбору нужных ПДн из различных баз и хранилищ. Собранная информация структурируется и приводится в общепринятый и машиночитаемый формат, чтобы максимально упросить ее передачу другому поставщику услуг. Притом делается все возможное, чтобы предотвратить утечки при перемещении, каждая операция тщательно логируется. Наконец, обладатель данных получает уведомление об успешном выполнении его запроса.

Разграничиваем ответственность за сохранность ПДн между соцсетью и пользователями

Пользователи нашей площадки имеют возможность продвигать собственные услуги. Например, они могут добавлять через API ботов, которые предлагают те или иные сервисы.

Чтобы обезопаситься от юридических претензий, необходимо учитывать это при составлении политики обработки персональных данных и предупреждать пользователей, что на площадке могут действовать и другие операторы ПДн.

Как российским компаниям обеспечить соответствие GDPR

Пример социальной сети ReLife показывает, как балансировать между американским и европейским законодательством по защите ПДн. А что делать, если ваши пользователи живут преимущественно в России и Евросоюзе?

Мы неоднократно консультировали компании, оказавшиеся меж двух этих огней. Первый типовой совет заключается в том, чтобы убедиться в необходимости соответствовать GDPR. Согласно 3-й статье европейского регламента, соблюдать его должны любые компании, которые ориентированы на европейские рынки и предлагают услуги гражданам стран ЕС. Неважно, платный это сервис или нет. Упомянул между делом на корпоративном сайте, что «в Европу прорубил окно», — хотя бы в теории жди «все флаги» зарубежных регуляторов в гости. Может быть, оно вам и не надо?

Если компания базируется в России, штрафов де факто можно не бояться, но перестраховаться все же стоит. Так и сайт не заблокируют за несоответствие GDPR, и щепетильные в вопросах конфиденциальности европейские клиенты будут больше доверять бизнесу.

0f41f34ba6e809fb198699428c551460.png

С целесообразностью определились. Следующий шаг — удостовериться, что у компании все в порядке с соблюдением 152-ФЗ. Российская Фемида гораздо ближе к здешнему бизнесу, чем западная, и пожалуй даже более склонна «рубить с плеча»‎. Инспекции и санкции со стороны Роскомнадзора или ФСТЭК — вполне обыденная реальность. Пока не выстроена системная работа и не учтены все риски в России, заглядываться на GDPR рано.

Когда компания готова к взаимодействию с отечественными регуляторами, можно стартовать работу с европейским регламентом. Тут многое зависит от специфики бизнеса, но есть и комплекс универсальных базовых мер. Так, если у организации нет филиалов или отделений на территории ЕС, то, согласно статье 27 GDPR, нужно назначить контактное лицо для коммуникации с европейскими регуляторами. Такой представитель обязан находится в стране, где проживают обладатели ПДн. О назначении контактного лица требуется выпустить приказ, который будет предъявляться регуляторам по запросу.

Не стоит тянуть и с подготовкой других основополагающих документов: политик соблюдения GDPR и обработки файлов cookie. Кстати, на наличие последней стали обращать внимание и российские регуляторы.

Чтобы соблюсти 35 ст. GDPR, понадобится выполнить ту самую оценку воздействия планируемых операций обработки на защиту персональных данных. Повторимся, что каких-то стандартов по содержанию и оформлению здесь нет: все придется искать в законодательствах конкретных стран ЕС. Зато в 30-й статье общеевропейского регламента довольно подробно описываются требования к структуре реестра деятельности по обработке ПДн, который тоже лучше сразу начать вести компании.

Еще один важный шаг — создание внутренних регламентов работы с персональными данными. Что именно имеется в виду, в общеевропейском законодательстве не разъясняется. Если в компании уже подготовили пакет документов для российских регуляторов, его можно перевести на английский язык и адаптировать под европейские стандарты. Так вы обеспечите базовую готовность компании к проверкам.

Вместо выводов: как стартапам выстроить работу с ПДн пользователей из разных стран

Подытожим статью несколькими советами, как сохранять баланс между разными законодательствами в части охраны ПДн. Возможно, это поможет стартапам и небольшим компаниям избежать досадных ошибок, лишних «телодвижений» и даже затрат.

  1. Не нужно пытаться объять необъятное и досконально погрузиться в законодательство всех стран по охране персональных данных. Так легко разориться на услуги юристов. Лучше изучить основные регламенты, наиболее актуальные для компании, и стараться соблюдать вышеописанные базовые заповеди работы с ПДн. Если не возникнет жалоб со стороны пользователей, утечек или других триггеров, национальные регуляторы не станут разглядывать под микроскопом »‎очередной стартап».

  2. Прежде чем обращаться к юристам для разработки правил работы с персональными данными, стоит ознакомиться с лучшими практиками похожих компаний. В открытых источниках нетрудно собрать нужную информацию (политики и регламенты публикуются на сайтах компаний). Это поможет понять, как адаптировать best practices под свои реалии.

  3. Чтобы перестраховаться, на старте лучше дополнительно проконсультироваться со сторонними юристами и специалистами по охране ПДн. Они имеют «перед глазами» опыт самых разных клиентов. И исходя из этих кейсов способны задать правильные ориентиры и снизить трудозатраты на разработку документов для регуляторов. Что европейское, что российское законодательство в сфере охраны персональных данных изобилует размытыми формулировками. Профессиональная консультация позволит избежать связанных с ними рисков и снизить трудозатраты на разработку документов для регуляторов.

  4. Российскому бизнесу нет смысла соответствовать требованиям GDPR «ради чести и престижа»‎. Это оправдано только тогда, когда компания ориентирована на европейские рынки и предлагает услуги гражданам стран ЕС.

  5. Прежде чем налаживать работу по соблюдению GDPR, лучше убедиться, что в компании обеспечено полное соответствие российскому законодательству. Ведь, в отличие от европейских регуляторов, отечественные надзорные органы обладают реальными административными рычагами воздействия на здешний бизнес.

  6. Базовое требование GDPR — назначение контактного лица для взаимодействия с европейскими регуляторами, если у компании нет филиалов и отделений на территории ЕС. Параллельно необходимо подготовить основные регламенты и документы: политики соответствия GDPR и обработки файлов cookies и т. д. Потребуется и выполнить оценку воздействия планируемых операций обработки на защиту персональных данных, а также завести реестр по работе с ПДн.

  7. На данный момент российским компаниям не нужно бояться штрафов, других юридических и административных санкций со стороны западных регуляторов. Однако в случае нарушений они могут заблокировать интернет-ресурсы организации в странах ЕС и усложнить работу на европейском рынке в будущем.

  8. При оперировании персональными данными граждан ЕС иногда важно учитывать не только GDPR, но и законодательство отдельных стран. Например, общеевропейский регламент практически не содержит детализации по применяемым техническим инструментам и подходам к защите ПДн. Все это придется искать в нормативных актах конкретных государств.

© Habrahabr.ru