Комплаенс · GDPR и ИИ

GDPR и ИИ для МСП: вопросы, которые вы действительно задаёте себе

От данных клиентов в ChatGPT до серверов в США, от DPIA до автоматизированных решений: чёткие и практические ответы для тех, кто руководит МСП и каждый день использует цифровые инструменты и ИИ, не превращаясь при этом в юриста.

34 ответов

Могу ли я вносить данные своих клиентов в ChatGPT или другие инструменты ИИ?

Зависит от того, какие данные, с каким инструментом и на каком правовом основании. Вставить персональные данные (имена, email, содержание договоров, данные о здоровье или финансах) в инструмент ИИ означает передать их стороннему поставщику: этот поставщик фактически становится субъектом, обрабатывающим такие данные, а ответственность перед субъектами данных остаётся на вас.

В бесплатных потребительских тарифах ваши вводимые данные могут использоваться для обучения моделей, и у вас нет адекватных договорных гарантий: здесь практическое правило — не вносить персональные или конфиденциальные данные. С бизнес- и корпоративными тарифами, которые исключают обучение на данных и предлагают соглашение об обработке, ситуация становится управляемой, но всё равно требует оценки в каждом конкретном случае.

GiBSeS — Различать 'какие данные, какой инструмент, какая договорная защита' — это именно тот первый фильтр, который мы применяем, помогая МСП использовать ИИ, не подвергая себя риску.

Простыми словами: чего GDPR требует от меня как от небольшой компании?

GDPR (Регламент ЕС 2016/679, действующий с 25 мая 2018 года) по сути требует от вас трёх вещей: знать, какие персональные данные вы обрабатываете и зачем, обрабатывать их только для чётких целей и на действительном правовом основании, и защищать их соразмерно рискам. Это не разовая формальность: это способ работы, который должен быть доказуем (принцип подотчётности, accountability).

Для МСП это выливается в несколько живых документов: реестр обработки данных, уведомления о конфиденциальности, соглашения с поставщиками, меры безопасности. Не нужна бесконечная бюрократия — нужна согласованность между тем, что вы декларируете, и тем, что делаете на самом деле.

GiBSeS — Если у вас нет уверенности в том, что уже есть, а чего не хватает, картирование реального положения дел — это отправная точка, с которой мы начинаем работу.

Что значит 'правовое основание' и какое мне использовать для данных, которые я обрабатываю?

Правовое основание — это законная причина, по которой вы можете обрабатывать персональные данные: без хотя бы одного из них обработка незаконна. Статья 6 GDPR предусматривает шесть таких оснований, включая согласие, исполнение договора, законное обязательство и законный интерес. Для МСП большинство операционных обработок (обработка заказа, выставление счёта, ответ клиенту) опирается на договор или законное обязательство, а не на согласие.

Согласие нужно прежде всего для таких действий, как незапрошенный маркетинг или профилирование, и должно быть свободным, конкретным и отзываемым. Внимание: вы не можете произвольно менять правовое основание, когда выбранное становится неудобным.

GiBSeS — Присвоение правильного правового основания каждой обработке — одна из первых вещей, которые мы приводим в порядок при GDPR-диагностике.

Действительно ли я должен собирать как можно меньше данных? Что значит минимизация?

Да. Принцип минимизации данных гласит, что вы можете собирать только данные, адекватные, релевантные и ограниченные тем, что необходимо для заявленной цели. Если вы собираете данные 'на всякий случай', вы уже нарушаете этот принцип. Действует также ограничение цели: данные, собранные для одной цели, нельзя повторно использовать для несовместимой цели без нового правового основания.

Для МСП минимизация — это ещё и удобство: чем меньше данных вы собираете и храните, тем меньше риск в случае утечки и меньше затраты на управление. Хранить всё вечно — почти всегда проблема, а не актив.

GiBSeS — Сокращение объёма обрабатываемых данных и определение разумных сроков хранения — это тот тип упрощения, который мы привносим, причём не только в сфере комплаенса.

Когда я обязан провести DPIA (оценку воздействия)?

DPIA (оценка воздействия на защиту данных, статья 35) обязательна, когда обработка может создать высокий риск для прав и свобод физических лиц. Регламент прямо называет три случая: систематическая оценка на основе профилирования со значительными последствиями, крупномасштабная обработка специальных категорий данных (например, о здоровье) и систематическое наблюдение за публичными зонами в крупном масштабе.

Национальные надзорные органы публикуют дополнительные перечни видов обработки, требующих DPIA, поэтому стоит также проверить списки вашего надзорного органа. Когда в дело вступает ИИ с профилированием, скорингом или решениями в отношении людей, DPIA очень часто становится необходимой.

GiBSeS — Понять заранее, запускает ли проект с ИИ обязанность провести DPIA, — это именно тот анализ рисков и выгод, от которого мы никогда не отступаем.

Если я использую ИИ для профилирования клиентов или присвоения баллов, меняется ли что-то с точки зрения приватности?

Да, меняется многое. Автоматизированное профилирование и скоринг — одни из самых деликатных видов обработки: они повышают вероятность того, что потребуется DPIA, и требуют усиленной прозрачности по отношению к субъектам данных, которые имеют право знать, что их профилируют, и по какой примерно логике. Если оценка приводит к значительным последствиям (например, отказ в услуге), вступает в силу и статья 22 об автоматизированных решениях.

Кроме того, такая система ИИ может также подпадать под AI Act как система с высоким риском, с дополнительными обязательствами. GDPR и AI Act здесь пересекаются и должны читаться вместе.

GiBSeS — Согласование требований GDPR и AI Act применительно к одной и той же системе — это тот вид комплексного анализа, который мы проводим, чтобы избежать дублирования или пробелов.

У моего поставщика серверы в США: нарушаю ли я GDPR?

Не автоматически, но у вас должно быть действительное основание для передачи данных. Передача персональных данных за пределы Европейского экономического пространства допускается только при наличии надлежащих гарантий: решение Комиссии об адекватности, Стандартные договорные условия (SCC), обязывающие корпоративные правила или несколько других исключений. Для США с 2023 года действует Data Privacy Framework: если ваш поставщик присоединился к нему, передача данных этой организации покрыта.

Если поставщик не сертифицирован, нужны SCC вместе с оценкой реальных рисков (наследие решения Schrems II). Практический момент таков: недостаточно просто 'использовать американский инструмент' — нужно знать, какая гарантия его покрывает.

GiBSeS — Проверка того, на какой гарантии передачи данных основывается каждый облачный или ИИ-поставщик, — это контроль, который мы по умолчанию включаем в выбор инструментов.

Что такое Стандартные договорные условия (SCC) и когда они мне нужны?

SCC — это договорные шаблоны, утверждённые Европейской комиссией, которые экспортёр и импортёр данных подписывают, чтобы гарантировать надлежащий уровень защиты, когда данные покидают ЕС и направляются в страны без решения об адекватности. Это один из самых распространённых инструментов именно потому, что они стандартизированы.

После решения Schrems II их одних недостаточно: они должны сопровождаться оценкой (transfer impact assessment), проверяющей, позволяют ли законы страны назначения всё же получать доступ к данным, что свело бы гарантии на нет. Многие поставщики уже включают их в свои договоры, но ответственность за их проверку остаётся на вас.

GiBSeS — По-настоящему читать положения о передаче данных в договорах поставщиков, а не принимать их на веру, — часть нашего подхода к снижению vendor lock-in и риска.

С поставщиком ИИ или облачных услуг: кто отвечает за данные — я или он?

Почти всегда контролёром обработки данных (оператором) являетесь вы (вы определяете цели и средства), а поставщик — обработчиком данных (processor), который обрабатывает их по вашему поручению. Это значит, что основная ответственность перед клиентами и надзорными органами остаётся на вас, даже если данными фактически управляет поставщик. Вы не можете 'переложить' соответствие требованиям, сказав, что этим занимался инструмент.

Именно поэтому статья 28 требует специального договора — соглашения об обработке данных (DPA), которое регулирует, что поставщик может и не может делать с данными. Без DPA доверие данных поставщику само по себе является нарушением.

GiBSeS — Проверка того, что у каждого поставщика есть подписанный и содержательный DPA, — один из конкретных контролей, которые мы проводим перед внедрением любого инструмента.

Что такое DPA (соглашение об обработке данных) и должен ли я подписывать его с каждым поставщиком?

DPA (Data Processing Agreement) — это договор, предусмотренный статьёй 28, который должен быть у вас с каждым поставщиком, обрабатывающим персональные данные по вашему поручению: облачные сервисы, ERP-системы, email-маркетинг, инструменты ИИ, в некоторых случаях даже бухгалтер. Он определяет предмет, срок, цели, виды данных, обязательства по безопасности, использование субподрядчиков и что происходит по окончании отношений.

Большинство серьёзных поставщиков предоставляют стандартный DPA, принимаемый онлайн. Ваша задача — проверить его наличие и согласованность и сохранить его: в случае проверки или утечки это один из первых документов, который у вас запросят.

GiBSeS — Ведение реестра поставщиков с соответствующими DPA — одна из тех упорядоченных основ, которые делают любой последующий аудит намного быстрее.

Какие права есть у людей, чьи данные я обрабатываю, и что я должен гарантировать?

У субъектов данных есть ряд прав, которые вы должны быть в состоянии удовлетворить: доступ к своим данным, исправление, удаление (так называемое право на забвение), ограничение обработки, переносимость данных и возражение против обработки. Как правило, вы должны ответить в течение месяца с момента запроса, бесплатно, за исключением чрезмерных или повторяющихся случаев.

Для МСП практическая проблема не столько в самом праве, сколько в организованности для ответа: знать, где находятся данные человека, и уметь быстро их извлечь или удалить. Если данные разбросаны по десяти разным инструментам без карты, каждый запрос превращается в небольшой кошмар.

GiBSeS — Знать в любой момент, где находятся данные клиента, — это тоже вопрос операционного порядка, а не только права: один из положительных побочных эффектов хорошего картирования.

Может ли ИИ самостоятельно принимать решение о клиенте (например, принять или отклонить)? Что говорит статья 22?

Статья 22 устанавливает, что человек имеет право не подвергаться решению, основанному исключительно на автоматизированной обработке, если оно порождает юридические последствия или существенно затрагивает его (например, предоставление кредита, приём на работу, отказ в услуге). Есть исключения, например если решение необходимо для заключения договора или основано на явном согласии.

Даже в случае исключений вы всё равно обязаны обеспечить гарантии: чёткую информацию, возможность добиться вмешательства человека, выразить своё мнение и оспорить решение. На практике: ИИ может поддерживать принятие решения, но человек должен иметь возможность реально, а не символически, вмешаться.

GiBSeS — Проектирование точек, в которых человек вмешивается в результат работы ИИ так, чтобы это было содержательным, а не показным, — часть того, как мы внедряем ИИ защитимым образом.

Если я стану жертвой утечки данных (data breach), что мне делать и в какие сроки?

Если вы столкнулись с нарушением, создающим риск для прав людей, вы должны уведомить о нём надзорный орган без неоправданной задержки и в любом случае в течение 72 часов с момента, когда вам стало об этом известно. Если риск для субъектов данных высок, вы должны проинформировать также их напрямую. Не все нарушения подлежат уведомлению, но все должны быть оценены и зафиксированы внутри компании.

72 часа проходят быстро: поэтому лучше заранее иметь минимальную процедуру (кто оценивает, кто принимает решение, что сообщается), а не импровизировать в панике. Хорошо обработанное нарушение весит намного меньше, чем скрытое или плохо обработанное.

GiBSeS — Подготовить процедуру реагирования на инциденты до того, как она понадобится, — одно из вмешательств с самой высокой отдачей, которое мы рекомендуем МСП.

Насколько реален риск, если я ошибусь? Какие санкции предусмотрены GDPR?

GDPR предусматривает две категории административных штрафов. За менее серьёзные нарушения (например, отсутствие реестров обработки или DPA) штраф может достигать 10 миллионов евро или 2% годового мирового оборота, в зависимости от того, что выше. За более серьёзные нарушения (базовые принципы, правовые основания, права субъектов данных, незаконные передачи данных) штраф доходит до 20 миллионов евро или 4% оборота.

На практике для МСП штрафы соразмеряются с тяжестью нарушения, сотрудничеством и принятыми мерами: редко назначается максимум. Но помимо штрафа важны репутационный ущерб и гражданские компенсации, которые часто весят больше, чем сама санкция.

GiBSeS — Цель не в страхе перед штрафом, а в спокойствии от возможности доказать, что всё было сделано осмысленно: это та дисциплина, которую мы привносим в проекты.

В чём разница между GDPR и AI Act? Должен ли я соблюдать оба?

Да, это два разных регламента, которые могут применяться одновременно. GDPR защищает персональные данные: он применяется каждый раз, когда вы обрабатываете информацию, относящуюся к физическим лицам. AI Act регулирует системы искусственного интеллекта в зависимости от их уровня риска, независимо от того, обрабатывают ли они персональные данные. Система ИИ, которая профилирует клиентов, подпадает под оба регламента.

Там, где они пересекаются, обязательства складываются, но не должны дублироваться: качественная DPIA и документация, требуемая AI Act, могут отчасти питать друг друга. Риск для МСП — рассматривать их как два отдельных мира и дважды выполнять несогласованную работу.

GiBSeS — Читать GDPR и AI Act как единую систему, избегая дублирования, — именно тот тип упрощения, над которым мы работаем в рамках Academy AI Act.

Хранение данных на моих собственных серверах (on-premise) защищает меня от проблем с приватностью?

On-premise, или в более широком смысле ИИ и системы, размещённые на инфраструктуре, которую контролируете вы сами, устраняет в корне несколько проблем: никаких передач данных за пределы ЕС, никаких вводных данных, скармливаемых моделям третьих сторон, прямой контроль над тем, кто имеет доступ. Это сильная стратегия суверенитета данных, особенно для чувствительных или стратегических данных. Однако это не освобождает вас от остальных требований GDPR: правовые основания, минимизация, права субъектов данных и безопасность остаются вашими обязанностями.

Стоит также сказать, что on-premise означает больше операционной ответственности (обновления, резервное копирование, физическая безопасность). Это не ответ на всё: это правильный выбор, когда данные это оправдывают, оцененный с помощью анализа затрат и выгод.

GiBSeS — Решать в каждом конкретном случае между облаком и on-premise, исходя из реальной ценности данных, а не из моды, — это суть нашего вендор-независимого подхода.

Как мне доказать, что я соблюдаю требования, если придёт проверка?

GDPR строится на принципе подотчётности: недостаточно соответствовать требованиям — вы должны быть в состоянии это доказать. На практике это значит иметь упорядоченную и актуальную документацию: реестр обработки данных, уведомления о конфиденциальности, DPA с поставщиками, при необходимости DPIA, реестр нарушений и след запросов субъектов данных. Понятный журнал аудита (audit trail) превращает проверку из кошмара в формальность.

Когда в дело вступают инструменты ИИ, прослеживаемость становится ещё более полезной: знать, какие данные были использованы, с помощью какого инструмента, для какого решения. Это разница между 'мы доверяем' и 'мы можем показать'.

GiBSeS — Выстраивать журнал аудита по мере внедрения ИИ, а не постфактум, — это то, как мы интегрируем инструменты: прослеживаемые по определению.

Могу ли я использовать ИИ для управления данными моих сотрудников (заявки на вакансии, оценки)?

Да, но это одна из самых деликатных областей. Данные сотрудников и кандидатов — это персональные данные в полном смысле, и трудовые отношения затрудняют опору на согласие (которое должно быть свободным, что сложно при наличии отношений подчинённости). Автоматический скрининг резюме, оценки или мониторинг с помощью ИИ часто затрагивают статью 22 и могут потребовать DPIA.

Во многих странах есть также национальные трудовые нормы, дополняющие GDPR (например, о дистанционном контроле). Прежде чем автоматизировать отбор или оценку, стоит проверить и аспект приватности, и трудовое право.

GiBSeS — Оценивать вместе аспекты приватности и трудового права перед автоматизацией HR — тот тип комплексного анализа, который мы проводим перед запуском проекта.

Должна ли моя компания назначить DPO (специалиста по защите данных)?

Не все МСП обязаны это делать. DPO обязателен в трёх случаях: если вы государственный орган, если ваша основная деятельность заключается в регулярном и систематическом мониторинге в крупном масштабе, или если вы в крупном масштабе обрабатываете специальные категории данных (здоровье, взгляды и т.д.). Многие малые предприятия не подпадают под эти случаи и не имеют такой обязанности.

Но даже без обязанности нужен кто-то, кто компетентно этим занимается: вы можете назначить внутреннего ответственного или обратиться к внешней поддержке. Отсутствие обязанности не означает отсутствие ответственности.

GiBSeS — Понять, действительно ли вам нужен DPO или достаточно более лёгкого присмотра, — один из первых вопросов, которые мы проясняем, не продавая вам структуру, которая вам не нужна.

Как долго я могу или должен хранить данные клиентов?

GDPR не устанавливает единого числа: действует принцип ограничения хранения — вы храните данные только столько времени, сколько необходимо для целей обработки, а затем удаляете их или обезличиваете. Некоторые сроки устанавливает закон (например, бухгалтерские и налоговые документы имеют обязательные сроки хранения, которые различаются по странам), другие вы определяете сами, обоснованно.

Правильная практика — определить для каждой категории данных срок хранения и механизм его соблюдения. 'Храним всё вечно' — это не политика: это накапливающийся риск, который рано или поздно обернётся против вас.

GiBSeS — Определение реалистичных сроков хранения по категориям данных — одно из тех простых правил, которые одновременно снижают риск и беспорядок.

Я МСП и не знаю, с чего начать с GDPR: какой первый шаг?

Первый шаг — не покупка ПО и не написание страниц политик: это честный снимок того, что вы обрабатываете сегодня. Какие персональные данные вы собираете, куда они попадают, какие инструменты и поставщики их касаются, на каком правовом основании. Из этой карты сразу проступают реальные приоритеты (часто это 3-4 конкретные вещи), и вы перестаёте беспокоиться о проблемах, которых у вас нет.

Оттуда остальное строится соразмерно: сначала высокие риски, затем документация, затем непрерывное улучшение. Идеального соответствия с первого раза не существует; правильное и доказуемое направление — существует.

GiBSeS — Этот первоначальный снимок с реальными приоритетами — именно та диагностика, с которой мы начинаем работу с каждым МСП: полчаса, чтобы понять, где вы находитесь, прежде чем двигать что-либо.

Моя компания не имеет представительства в ЕС: применяется ли GDPR ко мне в любом случае?

Да, он может применяться, даже если у вас нет никакого учреждения в Союзе. Статья 3(2) GDPR распространяет действие регламента на компании за пределами ЕС в двух случаях: когда вы предлагаете товары или услуги людям, находящимся в ЕС (даже бесплатно), или когда вы отслеживаете их поведение (например, онлайн-трекинг, профилирование, аналитику).

Не важна ваша национальность и не важно, где у вас серверы: важно, что вы намеренно обращаетесь к субъектам данных, находящимся на территории Союза. Простого факта, что европеец заходит на ваш сайт, недостаточно, но если вы принимаете оплату в евро, доставляете в ЕС, у вас есть версия на европейском языке или вы проводите таргетированные кампании, то вы подпадаете под действие регламента.

GiBSeS — GiBSeS помогает вам понять, прежде чем выходить на европейский рынок, применяется ли к вам GDPR и в какой мере.

Как мне узнать, действительно ли я 'предлагаю товары или услуги' людям в ЕС?

Критерий — не просто доступность сайта, а явное намерение обращаться к рынку ЕС. Признаки, которые учитывают надзорные органы: цены в евро или валютах государств-членов, доставка или отправка в страны ЕС, один или несколько европейских языков, отличных от языка вашей страны, упоминания европейских клиентов, национальный домен ЕС, геолокализованная реклама на Европу.

Если же ваш сайт только на английском языке, цены в долларах и вы не доставляете в Европу, случайный клиент из ЕС, покупающий по собственной инициативе, автоматически не делает вас подпадающим под действие регламента. Это оценка в каждом конкретном случае, которую стоит документировать.

GiBSeS — GiBSeS анализирует вашу модель продаж, чтобы защитимо установить, 'таргетируете' ли вы европейский рынок.

Нужен ли мне представитель в Европе, чтобы продавать в ЕС?

Если вы подпадаете под статью 3(2) — то есть предлагаете товары/услуги или отслеживаете поведение людей в ЕС — как правило да: статья 27 GDPR обязывает вас письменно назначить представителя в Союзе. Это не просто контактный адрес: это лицо (физическое или юридическое), учреждённое в одном из государств-членов, где находятся ваши субъекты данных, которое служит точкой контакта для надзорных органов и пользователей.

Представитель должен быть указан в уведомлении о конфиденциальности и должен вести (или предоставлять доступ к) реестр обработки данных. Внимание: назначение представителя не снимает с вас ответственности контролёра данных, но его отсутствие само по себе является наказуемым нарушением.

GiBSeS — GiBSeS может сориентировать вас в выборе и оформлении представителя в ЕС, чтобы не превратить формальную обязанность в риск.

Я небольшая компания: освобождён ли я от обязанности иметь представителя в ЕС?

Освобождение от статьи 27 зависит не от размера вашей компании, а от характера обработки. Вы освобождены от назначения представителя, если обработка носит случайный характер, не включает в крупном масштабе специальные категории данных (здоровье, биометрические данные, взгляды и т.д.) или данные об уголовных судимостях, и маловероятно создаёт риск для прав субъектов данных. Освобождены также государственные органы.

На практике многие МСП за пределами ЕС, которые продают в Европу на постоянной основе, НЕ подпадают под освобождение именно потому, что обработка не является 'случайной'. Неправильная оценка этого пункта — одна из самых распространённых ошибок.

GiBSeS — GiBSeS помогает вам правильно задокументировать, можете ли вы опираться на освобождение или всё же стоит назначить представителя.

Могу ли я перенести данные европейских клиентов в свою страну (США, Азия и т.д.)?

Да, но передача данных в страну за пределами Европейского экономического пространства требует правового основания по статье 44 и последующим. Три основных пути: (1) решение Комиссии ЕС об адекватности, если ваша страна признана 'адекватной'; (2) Стандартные договорные условия (SCC), наиболее используемое решение для стран без адекватности; (3) специальные гарантии, такие как обязывающие корпоративные правила (BCR) для групп компаний.

При использовании SCC может также потребоваться оценка воздействия передачи данных (Transfer Impact Assessment) и дополнительные технические меры, такие как шифрование. Недостаточно просто 'перенести' данные: вы должны быть в состоянии доказать уровень защиты, по существу эквивалентный уровню ЕС.

GiBSeS — GiBSeS вместе с вами настраивает механизм передачи данных, наиболее подходящий для вашей страны, не утяжеляя без необходимости поток данных.

Я компания из США: решает ли EU-US Data Privacy Framework мою проблему с передачей данных?

Частично. С июля 2023 года действует решение об адекватности для США, основанное на EU-US Data Privacy Framework: компании из США, которые самосертифицируются и фигурируют в соответствующем перечне, могут получать персональные данные из ЕС без необходимости в SCC для этих потоков данных.

Два предупреждения. Первое: адекватность действует только если вы действительно сертифицированы и соблюдаете обязательства Framework; если вы не сертифицированы, вам по-прежнему нужен другой механизм (как правило, SCC). Второе: как и предыдущие соглашения, Framework может стать предметом судебных оспариваний, поэтому многие компании сохраняют SCC как страховочную сеть.

GiBSeS — GiBSeS помогает вам решить, делать ли ставку на Framework, на SCC или на комбинированный подход, учитывая стабильность во времени.

Кто отвечает перед GDPR: я, мой европейский дистрибьютор или импортёр?

В GDPR ответственность следует за ролями в отношении данных, а не за коммерческой цепочкой продукта. Тот, кто определяет цели и средства обработки, является 'контролёром' и отвечает лично; тот, кто обрабатывает данные по поручению контролёра, является 'обработчиком'. Если вы напрямую собираете данные европейских пользователей (аккаунты, заказы, отслеживание), контролёром являетесь вы, независимо от того, где у вас представительство.

Дистрибьютор или партнёр в ЕС отвечает за свои собственные обработки, а не за ваши. Если же поставщик обрабатывает данные для вас, потребуется соглашение по статье 28 (DPA), распределяющее обязательства. Внимание: не путайте роль по GDPR с ролью 'импортёра', предусмотренной другими нормативами ЕС о продукции.

GiBSeS — GiBSeS картирует потоки данных вашей европейской деятельности и проясняет, кто контролёр, кто обработчик и какими договорами это покрыть.

Я поставщик/SaaS за пределами ЕС для европейских компаний: какие у меня обязанности по GDPR?

Если ваши европейские клиенты доверяют вам персональные данные своих пользователей или сотрудников, как правило, вы являетесь 'обработчиком данных' от их имени. Это влечёт подписание соглашения по статье 28 (Data Processing Agreement), которое устанавливает требования по безопасности, конфиденциальности, авторизованным субобработчикам, содействию контролёру и возврату/удалению данных по окончании отношений.

Кроме того, поскольку вы получаете данные за пределами ЕС, вы также являетесь 'импортёром' для целей международной передачи данных, и вам потребуется подписать SCC в соответствующем модуле (контролёр-обработчик). Многие тендеры и переговоры с клиентами из ЕС срываются именно потому, что поставщик за пределами ЕС не имеет готовых DPA и SCC.

GiBSeS — GiBSeS готовит вместе с вами пакет DPA + SCC, который потребуют европейские клиенты, чтобы не терять контракты из-за формальной придирки.

Что мне реально грозит, если я не соответствую требованиям: штрафы, блокировка продаж?

Санкции GDPR — одни из самых высоких в праве ЕС: до 20 миллионов евро или, если больше, 4% годового мирового оборота группы за самые серьёзные нарушения (до 10 миллионов или 2% за другие). Надзорные органы также могут вводить ограничения или приостановку обработки и передачи данных, что фактически может заблокировать вашу деятельность в Европе.

К этому добавляются репутационный ущерб, жалобы пользователей и риск того, что европейские B2B-клиенты исключат вас, потому что вы не можете предоставить гарантии соответствия требованиям. GDPR не 'останавливает товары' на таможне, как нормативы о продукции, но может перекрыть поток данных, на котором держится ваш бизнес.

GiBSeS — GiBSeS помогает вам оценить реальный риск для вашего случая и обезопасить активы данных до того, как они станут проблемой.

Я использую аналитику и отслеживание на сайте: подпадаю ли я из-за этого под GDPR?

Да, 'мониторинг поведения' субъектов данных, находящихся в ЕС, — одна из двух дверей, открывающих действие статьи 3(2), совершенно независимо от продаж. Сюда относятся профилирующие cookie, рекламные пиксели, ретаргетинг, аналитика, восстанавливающая привычки или предпочтения, и fingerprinting.

Если вы отслеживаете европейских пользователей, помимо GDPR применяется также регулирование 'ePrivacy' в отношении cookie, которое, как правило, требует предварительного согласия перед установкой инструментов, не являющихся строго необходимыми. Поэтому вам нужны соответствующий баннер, уведомление о конфиденциальности и, если применимо, представитель в ЕС и основание для возможных передач собранных данных.

GiBSeS — GiBSeS проверяет ваш стек отслеживания и указывает, где вмешаться, чтобы оставаться на рынке ЕС, не отказываясь от данных, которые вам действительно нужны.

С чего мне начать на практике, чтобы соответствовать требованиям и получить доступ к рынку ЕС?

Упорядоченный путь снижает затраты и сюрпризы. Кратко: (1) проверьте, применяется ли к вам статья 3 и как именно; (2) картируйте персональные данные, которые вы собираете о пользователях ЕС, и соответствующие потоки в вашу страну; (3) определите правовые основания и подготовьте уведомление о конфиденциальности и реестр обработки данных; (4) оцените обязанность иметь представителя в ЕС по статье 27; (5) наладьте международные передачи данных (адекватность, DPF или SCC); (6) согласуйте договоры с поставщиками и клиентами (DPA) и меры безопасности.

Не нужно делать всё сразу: стоит начать с пунктов, блокирующих доступ к рынку (представитель, передачи данных, B2B-договоры), а затем укрепить остальное.

GiBSeS — GiBSeS, как независимый консультант, выстраивает вместе с вами дорожную карту соответствия требованиям, индивидуальную для выхода в ЕС, не привязывая вас к одному поставщику или избыточным решениям.

Я уже соответствую нормам приватности своей страны: достаточно ли этого для Европы?

К сожалению, нет. Соответствие таким нормам, как калифорнийский CCPA/CPRA, канадский PIPEDA, бразильский LGPD или азиатские законы, не равнозначно соответствию GDPR: меняются определения, правовые основания, права субъектов данных, документальные обязательства и правила передачи данных. Некоторые принципы схожи, но пробелы часто оказываются именно там, где GDPR наиболее строг (согласие, представитель в ЕС, международные передачи данных).

Хорошая новость в том, что большая часть уже проделанной работы — инвентаризация данных, меры безопасности, процедуры для запросов пользователей — может быть повторно использована и 'адаптирована' под GDPR, а не переделана с нуля.

GiBSeS — GiBSeS отталкивается от уже имеющегося у вас комплаенса и закрывает только тот пробел, который нужен для работы в Европе, избегая дублирования усилий.

Этот материал носит информационный характер и не является юридической консультацией.

Разберитесь со своими данными, прежде чем добавлять новые технологии

GiBSeS — независимый технологический консультант: мы не продаём вам ИИ — мы используем ИИ и другие инструменты только после анализа рисков и выгод, с суверенитетом данных и журналом аудита (audit trail) как настройками по умолчанию. Мы начинаем с диагностики того, на каком этапе вы находитесь по GDPR и по реальному использованию цифровых инструментов, и оттуда выстраиваем конкретные приоритеты, без vendor lock-in и без лишней бюрократии.

Записаться на диагностику с GiBSeS