В Европейском союзе начал действовать новый регламент, который существенно ужесточил правила обработки персональных данных (GDPR). Под его действие попали и некоторые российские компании. Например, такие, которые маркетируют товар в Европу с помощью контекстной рекламы, направленной на потребителей в ЕС. И это лишь один из примеров. Невыполнение требований GDPR влечет риск наложения весьма серьезных штрафов и иных санкций.
С 25 мая вступил в силу Общий регламент по защите данных Европейского союза (General Data Protection Regulation, далее — GDPR, Регламент). Документ предусматривает более строгие требования к обработке персональных данных лиц, находящихся на территории Европейского союза (далее — ЕС). В отдельных случаях он применим и к бизнесу в России.
В то время как некоторые компании задумываются о проведении уже постимплементационных аудитов на соответствие требованиям GDPR с учетом новых разъяснений регуляторов в ЕС и экспертных сообществ, другие участники рынка пытаются понять, как вступление в силу GDPR отразится на их бизнесе в РФ и отразится ли вообще. В неведении пребывают даже представители крупного бизнеса, не говоря уже о среднем и малом.
Применение европейских регламентов в России
По ранее существовавшему в ЕС регулированию (Директива 95/46/ЕС) предполагалось, что в определенных случаях Директива могла косвенно применятьсяк российским компаниям. То есть компании обязаны выполнять ряд требований для защиты данных и обеспечения прав физических лиц в силу заключения соответствующих договоров. Это было актуально, когда «европейские» данные передавались европейской компанией российской организации как обработчику или самостоятельному контролеру (оператору) персональных данных. В этом случае передача данных в Россию как страну, не обеспечивающую надлежащий уровень защиты персональных данных, в отсутствие согласия субъекта персональных данных и иных исключений из общего правила, могла сопровождаться заключением договора, включающего стандартные договорные условия, которые предполагают частичное выполнение обязанностей, предусмотренных европейским регулированием, и утверждены Еврокомиссией.
Эти правила сохраняют свою актуальность и для косвенного применения GDPR к бизнесу в РФ. Однако теперь российские компании могут быть обязаны выполнять требования европейского регулирования и в силу прямого экстерриториального применения. GDPR может применяться к совершенно разным организациям: как к интернет-бизнесу, так и к компаниям, работающим в реальном секторе.
Прямое применение GDPR в России
Компания в России должна соблюдать требования GDPR, если она обрабатывает персональные данные лиц, находящихся на территории ЕС, вне зависимости от их гражданства или резидентства. Однако факт обработки персональных данных лиц из ЕС сам по себе еще не влечет автоматическую применимость GDPR. Анализировать нужно не наличие персональных данных в системах, приложениях и базах данных компании, а бизнес-процессы, в рамках которых такие данные могут появиться у компании, на соответствие следующим критериям:
-
компания работает в ЕС через постоянную структуру на территории ЕС. Это могут быть ее аффилированные компании или обособленные подразделения, агенты или контрагенты. А персональные данные компания получает в контексте именно такой деятельности. Например, она привлекает европейские компании для постоянного представления интересов на территории ЕС в части взаимодействия с клиентами, урегулирования вопросов, связанных с задолженностью, фасилитирования деятельности клиентов в ЕС, оказания клиентам технической поддержки в ЕС и т.п.;
-
деятельность компании, включая предложение товаров или услуг, направлена на физических лиц, находящихся в ЕС. Например, свидетельствовать о такой направленности может рассылка клиентам на территории ЕС специальных рекламных предложений, таргетированная контекстная реклама, возможность оплаты услуг резидентами ЕС в евро;
-
компания отслеживает активность физических лиц на территории ЕС. Например, если она использует информацию об активности в интернете или данные о клиенте, собранные при использовании систем дистанционного обслуживания, для направления таргетированной рекламы, занимается мониторингом профессионального развития работников компании, которые находятся в ЕС, обработкой информации, собираемой «умными» IoT-устройствами, видеокамерами, и т.п.;
-
российская компания является совместным с организацией в ЕС контролером: оба лица совместно определяют цели и способы обработки персональных данных.
Хотя GDPR вступил в силу, в части экстерриториального применения GDPR к бизнесу за пределами ЕС остается много так называемых «серых зон». Особенно горячо обсуждают периметр деятельности через постоянную структуру и мониторинга, так как существует много пограничных ситуаций, в случае возникновения которых и в отсутствие практики и точечных разъяснений сложно однозначно определить применимость GDPR или, наоборот, исключить его применимость.
Новые требования для бизнеса в РФ
Несмотря на определенную гармонизацию российского регулирования с европейскими стандартами, требования Регламента во многом являются новыми для российской практики. Перечислим несколько положений, которые отражают специфику новых норм GDPR.
1. Регламент ЕС предусматривает иной подход к реализации права субъекта персональных данных на доступ к своим данным. По российскому законодательству субъектам предоставлено право ознакомиться с обрабатываемыми персональными данными. В GDPR право субъекта на доступ к его персональным данным принципиально шире. Так, субъект может потребовать от контролера (лица, определяющего цели и способы обработки персональных данных) предоставить ему копию данных либо передать их в структурированном виде в электронной форме другому контролеру.
2. Если компания обрабатывает персональные данные не через постоянно действующую структуру в ЕС, то в определенных случаях необходимо назначить представителя в ЕС. Это позволит регуляторам в ЕС эффективно взаимодействовать с компанией.
3. Два новых системных принципа регламента — data protection by default и data protection by design — устанавливают требования к обработке персональных данных. Первый принцип обязывает контролеров знать, в каких процессах и ИТ-системах обрабатываются персональные данные, в каком объеме, с какой целью и как долго. Регулятор в ЕС имеет право оценивать заявленные объемы и сроки. Второй принцип обязывает компании продумывать механизмы защиты информации на этапе планирования процедур обработки данных. Если внедряется новая система или процесс, рабочая группа должна оценить, отвечает ли это изменение требованиям GDPR. Организация обработки персональных данных изначально должна учитывать требования GDPR, в том числе возможные способы управления доступом к данным, реализацию права на забвение или на перенос данных. Необходимо иметь возможность при запросе регуляторов в ЕС подтвердить, что компания соблюдает указанные принципы.
4. Требования к получению согласия на обработку персональных данных весьма обширны. Например, субъект персональных данных должен иметь возможность отозвать согласие так же легко, как оно было предоставлено. Кроме того, субъект персональных данных должен быть проинформирован о своих правах доступным языком.
5. GDPR устанавливает обязанность контролера уведомлять регулятора и субъекта персональных данных об инцидентах с персональными данными (неправомерное уничтожение, утрата, доступ, раскрытие или изменение). На уведомление регулятора дается 72 часа. Сообщение должно содержать описание инцидента и затронутых данных, предпринятых и планируемых действий по устранению последствий.
Вместе с тем в ряде случаев российское регулирование предъявляет более жесткие и формальные требования к обработке персональных данных. Например, при оформлении поручений на обработку персональных данных, защите персональных данных умерших лиц, требованиях к письменным согласиям на обработку персональных данных. Поэтому недостаточно внедрить в России политики из европейских компаний группы, они должны быть «локализованы» с учетом российской специфики.
Чем грозит нарушение регламента
Невыполнение требований GDPR влечет риск наложения штрафов в размере до 20 млн евро или 4% от глобального годового оборота за весь предыдущий финансовый год (в зависимости от того, какая сумма больше). Причем независимо от страны инкорпорации. Штраф могут взыскать за счет активов компаний в ЕС. Кроме того, штраф может быть взыскан с представителя в ЕС, о котором говорилось выше.
Помимо штрафов, регулятор в ЕС может запретить другим компаниям передачу персональных данных организации, нарушающей GDPR. Данная мера существенно ограничит возможности взаимодействия с партнерами в ЕС, так как нарушение запрета грозит такими же штрафами компании, которая передает данные нарушителю GDPR. Среди прочих мер обсуждается и возможность блокировать для пользователей из ЕС интернет-ресурсы компаний, нарушающих GDPR.
Комментарий эксперта
Алексей Марков, партнер EY, группа оказания юридических услуг
GDPR применяется не только к юридическим лицам, зарегистрированным на территории стран ЕС, но и ко всем юридическим лицам, зарегистрированным за пределами ЕС, при наличии определенных условий. Требования Регламента применимы к юридическим лицам любых индустрий: банкам, страховым компаниям, компаниям, занимающимся интернет-торговлей, промышленным компаниям и т.д. Одним из главных критериев применимости Регламента (помимо физического нахождения на территории ЕС дочерней российской компании или филиала/представительства российской компании) является таргетирование (ориентированность) бизнеса российской компании на территорию и граждан ЕС. В качестве примера можно привести российского производителя каких-либо товаров (электроники, косметики, товаров легкой промышленности), который реализует свою продукцию гражданам ЕС через свой интернет-сайт. У такого российского производителя сайт может иметь версии на нескольких европейских языках (немецком, французском, итальянском, польском), позволять физическим лицам оплачивать приобретаемые через интернет-магазин товары банковскими картами, в том числе в иностранной валюте. Очевидно, что такой российский производитель ориентируется на рынок стран ЕС в качестве потенциального рынка сбыта своей продукции. В таком случае производитель подпадает под действие Регламента и обязан соблюдать все установленные им требования.
Другим примером может являться наличие у российской компании дочернего предприятия на территории страны ЕС. Например, российский банк имеет на территории ЕС свое дочернее подразделение, которое осуществляет коммерческие операции на территории ЕС и с участием граждан ЕС. В таком случае дочернее подразделение российского банка, находящееся на территории ЕС, должно соблюдать требования Регламента. Кроме того, если между дочерним подразделением российского банка и самим российским банком происходит передача персональных данных граждан ЕС, которые будут обрабатываться и храниться в российском банке, то и российский банк тоже подпадает под требования Регламента.
Еще одним примером применения Регламента является мониторинг поведения субъекта персональных данных на территории ЕС. Например, приехав в одну из стран ЕС, человек использует какие-либо мобильные приложения, через которые владелец приложения, отслеживая геопозицию пользователя, может предлагать ему рекламу находящихся поблизости кафе, ресторанов или достопримечательностей. В этом случае владелец мобильного приложения также будет подпадать под требования Регламента даже в случае, если он находится за пределами стран ЕС.