GDPR (General Data Protection Regulation) — это регламент Европейского союза, регулирующий обработку персональных данных граждан ЕС. Он был введён в действие 25 мая 2017 года и заменил Директиву 95/46/EC.
Глава 1. Общие положения
Статья 1. Предмет и задачи
Предмет: Регламент устанавливает правила защиты физических лиц в отношении обработки персональных данных и свободного перемещения персональных данных.
Задачи:
- Защита основных прав и свобод физических лиц, в частности, права на защиту персональных данных;
- Обеспечение свободного перемещения персональных данных в пределах Союза без ограничений, связанных с защитой физических лиц.
Статья 2. Область применения материала
Сфера применения: Регламент регулирует обработку персональных данных:
- Автоматизированными средствами (полностью или частично);
- Неавтоматизированными способами, если данные включены в файловую систему или предназначены для неё.
Исключения: Регламент не применяется к обработке данных:
- В деятельности за пределами права ЕС;
- Государствами-членами ЕС в рамках деятельности, регулируемой Главой 2 Раздела V Договора о ЕС;
- Физическими лицами в личных или бытовых целях;
- Компетентными органами для борьбы с преступностью, угроз безопасности и исполнения наказаний.
Особые случаи:
- Для учреждений ЕС действует Регламент (ЕС) № 45/2001, который должен быть согласован с принципами данного Регламента (ст. 98);
- Не затрагивает нормы Директивы 2000/31/ЕС (например, ответственность посредников по ст. 12-15).
Статья 3. Территориальная сфера применения
Общее правило:
Регламент действует, если обработка данных осуществляется:
- Учреждением контролёра/обработчика в ЕС (независимо от места обработки);
- Контролёром/обработчиком вне ЕС, если: Предлагаются товары/услуги субъектам данных в ЕС (даже бесплатно); Осуществляется мониторинг поведения субъектов данных на территории ЕС.
Особые случаи: Применяется к контролёрам вне ЕС, если их деятельность подпадает под законодательство государства-члена ЕС в силу международного публичного права.
Регламент имеет экстерриториальный эффект — даже компании вне ЕС обязаны его соблюдать, если работают с данными европейцев. Это сделало GDPR эталоном глобальной защиты данных.
Статья 4. Определения
Ключевые определения (GDPR):
Персональные данные это любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо (например, имя, ID, местоположение, онлайн-идентификатор, биометрические/генетические данные).
Обработка данных это любые действия с персональными данными: сбор, хранение, изменение, передача, удаление и т.д. (включая автоматизированные и неавтоматизированные методы).
Ограничение обработки означает маркировку данных для временного запрета их использования (без удаления).
Профилирование означает автоматизированный анализ данных для оценки личных аспектов (поведение, предпочтения, местоположение и т.д.).
Псевдонимизация означает обработку данных так, чтобы их нельзя было связать с субъектом без дополнительной информации (хранится отдельно).
Файловая система это любой структурированный набор персональных данных, доступных по определённым критериям (централизованный или распределённый).
Контролёр это лицо/организация, определяющая цели и способы обработки данных (если это не установлено законом).
Обработчик это лицо/организация, обрабатывающая данные по поручению контролёра.
Получатель это лицо/организация, получающая данные (кроме госорганов, запрашивающих данные в рамках закона).
Третья сторона это любой субъект, не являющийся контролёром, обработчиком или лицом с прямым доступом к данным.
Согласие это добровольное, конкретное и осознанное разрешение субъекта на обработку данных (например, через подтверждение).
Нарушение безопасности данных это инцидент, приводящий к уничтожению, утечке или несанкционированному доступу к данным.
Генетические данные это информация о наследственных/приобретённых особенностях (например, анализ ДНК).
Биометрические данные, уникально идентифицирующие человека (отпечатки пальцев, сканы лица).
Данные о здоровье это информация о физическом/психическом состоянии, включая историю лечения.
Основное учреждение:
Для контролёра с филиалами в нескольких странах ЕС:
- Центральное управление в ЕС, если решения по обработке данных принимаются там.
- Если решения принимаются в другом филиале ЕС, имеющем полномочия для их исполнения, этот филиал считается основным.
Для обработчика с филиалами в ЕС: Центральное управление в ЕС или филиал, где происходит основная обработка данных.
Представитель это физическое/юридическое лицо в ЕС, назначенное контролёром или обработчиком (ст. 27) для выполнения их обязательств по Регламенту.
Предприятие это любая организация (включая ИП, ассоциации), регулярно ведущая экономическую деятельность, независимо от формы собственности.
Группа предприятий это контролирующая компания + её дочерние предприятия.
Обязательные корпоративные правила (BCR) это внутренние правила защиты данных, утверждённые компанией в ЕС для передачи данных в третьи страны в рамках группы предприятий.
Надзорный орган это независимый госорган ЕС, созданный для контроля соблюдения GDPR (например, CNIL во Франции).
Соответствующий надзорный орган это надзорный орган, который:
- Находится в стране ЕС, где учреждён контролёр/обработчик;
- Рассматривает жалобы субъектов данных из своей страны;
- Уполномочен действовать, если обработка существенно затрагивает граждан его страны.
Трансграничная обработка это:
- Обработка данных в филиалах контролёра/обработчика в нескольких странах ЕС;
- Обработка в одном филиале, существенно влияющая на субъектов данных в нескольких странах ЕС.
Обоснованное возражение это возражение против решения надзорного органа, если оно:
- Нарушает GDPR;
- Создаёт риски для прав субъектов данных или свободного потока данных в ЕС.
Услуга информационного общества это услуга, предоставляемая за плату или бесплатно, на расстоянии и по запросу (например, онлайн-магазины, облачные сервисы).
Международная организация это организация, регулируемая международным правом (например, ООН, ВОЗ).
Определение «персональных данных» в GDPR настолько широко, что включает даже IP-адреса и cookie-файлы, если они позволяют идентифицировать человека.
Глава 2. Принципы
Статья 5. Принципы, касающиеся обработки персональных данных
Законность, справедливость и прозрачность: Обработка данных должна быть:
- Правомерной (иметь законное основание, например, согласие или договор);
- Честной (не вводить субъекта в заблуждение);
- Прозрачной (субъект должен понимать, как и зачем используются его данные).
Данные собираются только для конкретных и заявленных целей. Дальнейшая обработка допустима лишь в случаях: Архивации в общественных интересах; Научных, исторических или статистических исследований (с соблюдением мер защиты).
Минимизация данных: Собираются только необходимые и достаточные данные для достижения заявленных целей. Запрещено избыточное накопление информации.
Точность данных: Достоверность; Актуальность (при необходимости — обновляться); Неточные данные подлежат немедленному удалению или исправлению.
Ограничение хранения: Данные хранятся не дольше, чем требуется для целей обработки. Значительно дольше если это архивация в общественных интересах, научные/исторические исследования, статистика (с применением защитных мер).
Целостность и конфиденциальность: Обеспечение безопасности данных.
Защита от несанкционированного доступа, утечек, потери или повреждения.
Использование технических (шифрование) и организационных мер (политики доступа).
Подотчетность: Контролёр обязан соблюдать все принципы GDPR и демонстрировать соответствие требованиям (например, вести документацию, проводить аудиты).
Принцип «подотчетности» является новой веткой определения зрелости информационной безопасности операторов персональных данных, так компании не только должны соблюдать GDPR, но и доказывать это регуляторам. Например, в 2023 году Meta была оштрафована на €1.2 млрд за недостаточность мер при трансграничной передаче данных в США, что нарушило принципы минимизации и безопасности.
Статья 6. Законность обработки
Обработка данных закона, если применяется хотя бы 1 условие:
- Согласие субъекта: Обработка разрешена, если субъект явно согласился на конкретные цели (например, подписка на рассылку).
- Исполнение договора: Обработка необходима для выполнения договора с субъектом (например, доставка товара) или действий по запросу субъекта до заключения договора (например, расчёт стоимости услуги).
- Юридические обязательства контролёра: Обработка требуется для соблюдения законов (например, передача данных в налоговые органы).
- Защита жизненно важных интересов: Обработка необходима для спасения жизни (например, передача медицинских данных при экстренной госпитализации).
- Общественный интерес или официальные полномочия: Обработка проводится для выполнения задач в общественных интересах (например, эпидемиологический контроль) или по официальным полномочиям (например, работа правоохранительных органов).
- Законные интересы контролёра или третьей стороны: Обработка допустима, если интересы контролёра не нарушают права и свободы субъекта. За исключением госорганов при исполнении своих задач.
Национальное законодательство: Страны ЕС могут уточнять правила для пунктов "юридические обязательства контролёра" и "законные интересы контролёра или третьей стороны" (например, устанавливать сроки хранения данных для госучреждений).
Законы ЕС или стран-членов должны:
- Быть направлены на защиту общественных интересов;
- Соответствовать заявленным целям (не избыточны);
Чётко определять:
- Типы обрабатываемых данных (например, биометрические, медицинские);
- Сроки хранения;
- Меры безопасности (шифрование, анонимизация);
- Круг субъектов, имеющих доступ к данным.
Обработка данных для новых целей: Если данные используются не для первоначальной цели, контролёр обязан:
Проверить совместимость целей, учитывая:
- Связь между старой и новой целью (например, сбор email для рассылки использовать для анализа трафика сайта);
- Контекст сбора данных (доверие субъекта к контролёру);
- Тип данных;
- Риски для субъекта (дискриминация, утечка);
- Наличие мер защиты (псевдонимизация, шифрование).
Получить новое согласие или убедиться, что обработка разрешена законом ЕС/страны-члена.
Статья 7. Условия согласия
Согласие должно выполнять требования:
Доказуемость согласия: Контролёр обязан подтвердить, что субъект явно и добровольно дал согласие (например, галочка в форме, подписанное заявление).
Чёткое оформление: Если согласие включено в документ с другими условиями:
- Должно быть визуально выделено;
- Сформулировано простым языком.
Любые пункты, нарушающие GDPR, не имеют силы.
Право отзыва:
- Субъект может отозвать согласие в любой момент;
- Отзыв должен быть таким же простым, как и его предоставление (например, кнопка «отписаться»);
- Обработка данных до отзыва остаётся законной.
Добровольность согласия: Запрещено обязывать к согласию на обработку данных, не связанных с основной услугой (например, нельзя требовать согласия на рекламную рассылку для доступа к базовому функционалу).
Сайт требует согласия на передачу данных для оформления заказа — это незаконно, если передача не нужна для выполнения заказа.
Статья 8. Условия, применимые к согласию ребенка в отношении услуг информационного общества
Обработка данных детей (GDPR):
Возраст согласия:
- 16 лет — базовый возраст для самостоятельного согласия на обработку данных в онлайн-сервисах (соцсети, игры).
- Страны ЕС могут снизить до 13 лет (например, в Швеции - 13, в Германии - 16).
Согласие родителей: Если ребёнок младше установленного возраста, требуется согласие родителя/опекуна. Контролёр обязан проверить законность согласия (например, запрос подтверждения по email, проверка документов).
Технические меры:
- Использование возрастных гейтов (опросы, верификация через банковские данные);
- Шифрование данных детей и ограничение профилирования.
Правила не отменяют национальные нормы о дееспособности детей (например, возможность заключать договоры с 14 лет).
В 2023 году Epic Games оштрафовали на €20 млн за сбор данных детей в Fortnite без верификации возраста и согласия родителей.
Статья 9. Обработка особых категорий персональных данных
Запрещена обработка персональных данных, раскрывающих:
- расовое/этническое происхождение;
- политические, религиозные, философские взгляды;
- членство в профсоюзах;
- генетические/биометрические данные (для идентификации);
- данные о здоровье, сексуальной жизни/ориентации.
Разрешено если:
- есть явное согласие субъекта (если закон не запрещает);
- необходима для выполнения обязательств в сфере занятости, соцзащиты;
- необходима для защиты жизненно важных интересов (если согласие невозможно);
- необходима для деятельности некоммерческих организаций (только для членов/контактов, без публичного раскрытия);
- данные обнародованы самим субъектом;
- ведутся судебные разбирательства/защита прав;
- имеется существенный общественный интерес (с гарантиями защиты данных);
- преследуются медицинские цели (диагностика, лечение, профилактика);
- в целях архивация, научные исследования, статистика (с соблюдением условий).
Страны ЕС могут вводить свои ограничения для генетических, биометрических данных и данных о здоровье.
Обработка в медицинских целях возможна под ответственность специалистов, связанных профессиональной тайной.
Даже неевропейские компании (например, американские IT-гиганты) вынуждены соблюдать GDPR, если работают с данными граждан ЕС. Это привело к созданию отделов compliance по всему миру.
Использование биометрических данных (например, Face ID) попадает под строгие правила GDPR. Однако в ЕС до сих пор нет единого реестра биометрических данных из-за этических споров.
В 2023 году в Финляндии разрешили использовать анонимизированные медицинские данные для обучения ИИ-моделей диагностики, но только с согласия пациентов и под контролем государства.
Статья 10. Обработка персональных данных, связанных с судимостями и правонарушениями
Обработка данных о судимостях и правонарушениях допускается только под контролем официальных органов или если разрешено законодательством ЕС/государства-члена, предусматривающим гарантии прав и свобод субъекта данных.
Ведение реестров судимостей всеобъемлющие реестры уголовных судимостей могут вестись исключительно под контролем официальных властей.
В США реестры судимостей часто публичны (например, Megan’s Law), а в ЕС такие данные строго защищены. В Германии, например, даже работодатель не может запросить справку о судимости без веской причины.
В 2021 году хакеры взломали базу данных Interpol, получив доступ к информации о 18 тыс. разыскиваемых лицах. Это привело к ужесточению мер кибербезопасности для госреестров.
В ЕС граждане могут требовать удаления упоминаний о старых судимостях из поисковиков, если они неактуальны (например, мелкие правонарушения 10-летней давности).
Статья 11. Обработка, не требующая идентификации
Если обработка данных не требует идентификации субъекта (например, данные анонимизированы), контролер не обязан хранить или собирать дополнительную информацию для соблюдения GDPR.
Если контролер не может идентифицировать субъекта (даже при желании), он должен уведомить его об этом, при возможности.
В случаях предусмотренных ст. 15-20 права субъекта (доступ, исправление, удаление данных и т.д.) не применяются, если только сам субъект не предоставит дополнительные сведения для своей идентификации.
В блокчейн-сетях данные часто псевдоанонимны (например, Bitcoin-транзакции). В 2022 году ЕС постановил, что операторы блокчейнов не обязаны выполнять запросы на удаление данных, если не могут установить связь между кошельком и реальным лицом.
В 2021 году журналисты обнаружили базу данных с 267 млн записей о пользователях Facebook, включая номера телефонов. Данные были анонимизированы, но через открытые источники (например, Telegram-каналы) их удалось деанонимизировать. Это привело к штрафу для Meta в €5,5 млн.
В 2024 году французский регулятор запретил использование Google Analytics, так как даже обезличенные данные европейцев могли быть реидентифицированы через IP-адреса и cookie-идентификаторы. Это нарушало принцип «минимальной идентификации».
Глава 3. Права субъекта данных
Глава 12. Прозрачная информация, коммуникация и способы осуществления прав субъекта данных
Прозрачность и доступность информации:
- Контролер обязан предоставлять информацию о обработке данных (ст. 13–14 GDPR) и ответы на запросы (ст. 15–22) ясно, просто и бесплатно, особенно если субъект - ребенок.
- Форматы: письменно, электронно, устно (при подтверждении личности).
- Срок ответа: 1 месяц (можно продлить до 3 месяцев с уведомлением).
Содействие правам субъектов:
- Контролер не может отказать в запросе, если не доказана невозможность идентификации субъекта.
- При сомнениях в личности запрашивающего можно запросить дополнительные данные для подтверждения.
Плата и ограничения:
- Информация предоставляется бесплатно, но за повторные/необоснованные запросы могут взимать плату или отказать.
- Бремя доказательства «необоснованности» лежит на контролере.
Стандартизированные иконки:
- Информацию можно дополнять значками для наглядности (машиночитаемыми в цифровом формате).
- Еврокомиссия регулирует дизайн и содержание иконок.
В 2023 году TikTok оштрафовали на €12 млн за непонятные настройки приватности для несовершеннолетних. Оказалось, формулировки типа «ваши данные могут быть использованы для улучшения сервиса» нарушали требование «ясного языка» для детей.
По данным исследователей, 40% компаний намеренно затягивают ответы на запросы, используя «законное продление сроков». Например, Netflix в 2022 году отвечал на 70% запросов о данных только на 89-й день, избегая штрафов.
Статья 13. Информация, которая должна быть предоставлена в случае сбора персональных данных от субъекта данных
При сборе данных субъект должен получить:
Базовую информацию:
- данные о контролере и представителе;
- контакты уполномоченного по защите данных;
- цели обработки и её правовое основание;
- информацию о получателях данных;
- сведения о трансграничной передаче.
Дополнительные сведения:
- срок хранения данных;
- права субъекта (доступ, исправление, удаление);
- право отозвать согласие;
- право пожаловаться;
- обязательность предоставления данных;
- информация об автоматизированной обработке.
Особые условия:
- при изменении целей обработки - новое уведомление;
- если субъект уже знает информацию - требования не применяются.
Статья 14. Информация, которая должна быть предоставлена, если персональные данные не были получены от субъекта данных
Если данные получены не от субъекта, то контролер обязан предоставить:
Базовую информацию:
- данные о контролере и представителе;
- контакты уполномоченного по защите;
- цели и основания обработки;
- категории данных;
- получатели данных;
- информация о трансграничной передаче.
Дополнительные сведения:
- срок хранения;
- источник получения данных;
- права субъекта (доступ, исправление, удаление);
- право отозвать согласие;
- право пожаловаться;
- информация об автообработке.
Сроки предоставления:
- в течение 1 месяца;
- до первого контакта с субъектом;
- до передачи третьим лицам.
Уведомление предоставлять не нужно, если:
- субъект уже владеет информацией;
- несоразмерные усилия для предоставления;
- требования законодательства;
- профессиональная тайна.
Amazon использовала данные из соцсетей для найма сотрудников без согласия кандидатов.
Статья 15. Право субъекта данных на доступ
Субъект данных (гражданин) имеет право запросить у контролера (организации) информацию о том, обрабатываются ли его персональные данные, и получить доступ к ним. В ответ контролер обязан предоставить:
- Цели обработки и категории персональных данных.
- Список получателей (включая третьи страны или международные организации).
- Срок хранения данных или критерии его определения.
- Права субъекта: требовать исправления, удаления, ограничения обработки данных, а также право подать жалобу в надзорный орган.
- Источник данных, если они получены не от самого субъекта.
- Информацию о автоматизированном принятии решений (профилирование), включая логику и последствия таких процессов.
- Меры безопасности при передаче данных в третьи страны.
Контролер предоставляет бесплатную копию данных в электронной форме (по умолчанию), но за дополнительные копии может взимать плату. Реализация прав не должна нарушать права других лиц.
Если запрос отправлен электронно, ответ тоже должен быть в цифровом виде (если субъект не указал иное).
Субъект вправе узнать, как алгоритмы влияют на решения, касающиеся его (например, кредитный рейтинг или таргетированная реклама).
Даже при передаче данных за пределы ЕС/ЕЭЗ контролер обязан обеспечить защиту, соответствующую стандартам GDPR (например, через специальные договоры).
Статья 16. Право на исправление
Субъект данных имеет право:
- Без неоправданной задержки получить исправление неточных персональных данных.
- Дополнить неполные данные, включая предоставление дополнительного заявления (с учётом целей обработки).
За отказ в исправлении или дополнение данных предусмотрены штрафы до 4% годового оборота компании (в рамках GDPR).
Статья 17. Право на стирание («право на забвение»)
Право на стирание («право на забвение») позволяет субъекту данных требовать удаления своих персональных данных, если:
- Данные больше не нужны для целей их сбора.
- Субъект отозвал согласие на обработку, и нет иных законных оснований.
- Субъект возражает против обработки (например, для прямого маркетинга), и нет приоритетных оснований.
- Данные обработаны незаконно.
- Удаление требуется по закону ЕС/государства-члена.
- Данные собраны в рамках услуг информационного общества (например, соцсети) для детей.
Обязанности контролера:
- Удалить данные без задержки и уведомить другие организации, если данные были обнародованы.
- Применить технические меры для информирования третьих сторон о необходимости удаления (с учётом затрат и технологий).
Право не действует, если обработка необходима для:
- Свободы слова и информации.
- Исполнения юридических обязательств или задач в общественных интересах.
- Здравоохранения, архивных, научных или статистических целей.
- Защиты законных требований (например, в суде).
Европейский суд постановил, что при определённых обстоятельствах люди имеют право требовать от поисковых систем удаления ссылок на информацию о них.
Даже после удаления данных контролеру сложно гарантировать их исчезновение из всех резервных копий и сторонних систем.
Нарушение права на стирание может привести к штрафу до €20 млн или 4% глобального оборота компании (что для гигантов вроде Meta исчисляется миллиардами).
Исторические архивы или научные исследования — законные основания сохранять данные, даже если субъект требует их удаления.