С 25 мая 2018 г. действует Общий регламент о защите данных (General Data Protection Regulation, далее — GDPR, Регламент). Все компании, которые обрабатывают персональные данные физических лиц в европейских странах, обязаны соблюдать требования этого документа, в том числе и многие компании из России. Какие именно компании попали под действие GDPR и что им нужно теперь предпринять, «ЭЖ-Юристу» рассказал Артем Дмитриев, старший юрист практики интеллектуальной собственности, технологий и защиты данных PwC Legal в России.
«ЭЖ-Юрист»: Какие компании, которые работают в России, подпадают под действие GDPR?
Артем Дмитриев: GDPR действует по правилу «длинной руки». Так, предусмотрено несколько сценариев, когда GDPR применяется экстерриториально и может быть применим, в том числе, к компаниям в России.
В первую очередь, под регулирование GDPR подпадают любые иностранные компании, которые обрабатывают данные «в контексте деятельности постоянной структуры в ЕС». Под такой структурой понимается любое постоянное присутствие компании в ЕС, будь то филиал или представительство, аффилированная компания или даже агент и иной подрядчик. Несколько наиболее распространенных случаев: российская компания обрабатывает данные в связи с деятельностью филиала в ЕС (имеет доступ в общую с филиалом CRM-систему, управляет общей системой оценки KPI работников, рассчитывает бонусы и зарплаты для работников филиала, получает какую-либо отчетность от филиала и т.п.), либо привлекает агента в ЕС, например, для взыскания задолженности, заключения договоров, или сотрудничает с партнером в ЕС, который, например, продвигает продукцию или услуги, развивает клиентов, подбирает кандидатов на работу. Иными словами, это те случаи, когда российская компания действует «под маской» европейской компании и благодаря этому получает доступ к европейским персональным данным.
«ЭЖЮ»: А если у российской компании нет присутствия в ЕС, но ее деятельность в России связана с гражданами ЕС? В этом случае придется следовать GDPR?
А.Д.: Да. GDPR применим и к компаниям, не имеющим какого-либо физического присутствия в ЕС, если их деятельность направлена на физических лиц, находящихся в ЕС. Это случаи, когда компания предлагает товары и услуги клиентам в ЕС или же когда отслеживает активность лиц в ЕС. Например, для таргетирования рекламы, анализа данных «умных» устройств и т.п. Под этот критерий могут попадать авиа-, ж/д-перевозчики, онлайн-магазины, кинотеатры и игры, социальные сети, операторы связи, страховые компании, операторы «умных» устройств, отели и турфирмы. Список триггеров применения, опять же, не исчерпывающий — традиционно принято считать, что предпосылками применимости GDPR по этому основанию являются сбор cookie-файлов, IP-адресов, предложение кастомизированных продуктов для европейских потребителей, продвижение сайта в ЕС и иная рекламная активность в ЕС, предоставление доступа к сервису в онлайн-кабинете или внедрение систем безопасности, рассчитанных на ЕС. Для вывода о применимости GDPR, скорее всего, будет недостаточно наличия только одного триггера (например, сайта на английском языке), необходима очевидная направленность, поэтому оцениваться будет совокупность признаков.
Еще один случай экстерриториального применения GDPR — совместное определение целей и способов обработки данных с компанией-резидентом ЕС. В терминологии GDPR такие компании называются совместными контролерами. К примеру, GDPR будет применим, если российский и европейский университеты занимаются совместным научно-исследовательским проектом и в связи с этим обмениваются кадрами, собирая данные участвующих в проекте ученых и студентов в единой системе, либо если российская и европейская компании реализуют совместно услуги (например, особенно актуально для финансового и страхового сектора), либо просто ведут общую CRM-систему.
Критерии экстерриториального применения во многом являются оценочными, поэтому остается множество открытых вопросов о применимости GDPR в конкретных случаях за пределами ЕС. Сейчас бизнес замер в ожидании толкования GDPR в правоприменительной практике и рекомендациях регуляторов ЕС. В отраслях, где проблема обработки персональных данных стоит особенно остро (например, финансовый сектор и телеком), бизнес-ассоциации проактивно пытаются разъяснять спорные вопросы для своих участников, направляют регуляторам запросы о разъяснении положений GDPR. В связи с этим для компаний, к которым потенциально может быть применим GDPR, важно пристально следить за развитием практики.
Мы, в свою очередь, также пытаемся активно взаимодействовать с европейскими регуляторами для уточнения их позиции по наиболее актуальным вопросам.
GDPR применяется к российским компаниям при наличии одновременно нескольких триггеров
«ЭЖЮ»: А возможны ситуации, когда российская компания не подпадает под перечисленные случаи, но GDPR все равно к ней будет применяться?
А.Д.: Да, и такое может быть. Например, если российская компания взаимодействует с какими-либо компаниями в ЕС и может получать доступ к персональным данным, то, вероятно, рано или поздно она будет вынуждена принять на себя ряд обязанностей по GDPR. Ведь европейские компании смогут передать персональные данные в Россию — страну, по мнению европейского регулятора, не обеспечивающую адекватный уровень защиты прав субъектов персональных данных, — только при получении прямого согласия субъекта на такую передачу либо при наложении на российскую компанию ряда обязанностей по защите персональных данных. В зависимости от статуса российской компании в таких отношениях (контролер или обработчик) объем обязанностей может отличаться. Например, в заключаемый с европейским сервис-провайдером договор могут быть включены модельные контрактные положения о передаче данных (EU Standard Contractual Clauses), либо в группе компаний могут быть приняты Обязательные правила обработки и передачи персональных данных (Binding Corporate Rules), обязательные, в том числе, для российского бизнеса группы.
«ЭЖЮ»: Вам уже пришлось столкнуться с ситуациями, когда не ясно, нужно определенной компании соблюдать GPPR или нет?
А.Д.: Конечно. Например, это вопрос о применимости GDPR к обработке российским банком данных об оплате картой покупок на территории ЕС. Банки традиционно собирают информацию о таких транзакциях: место оплаты, название и тип торговой точки, данные по карте плательщика. Владелец карты в момент оплаты находится на территории ЕС, и формально сбор данных в этом случае отвечает признакам мониторинга активности, что, соответственно, влечет применение GDPR. Вместе с тем, если банк не таргетирует европейских клиентов и не использует эти данные для маркетинга или иных целей, помимо соблюдения банковского регулирования и обеспечения безопасности транзакций, иначе говоря, никак не развивает эти данные, то существуют определенные предпосылки говорить, что такой сбор информации не является мониторингом в том смысле, который изначально закладывался при разработке GDPR. Вопрос применения GDPR в этом случае очевидно критичен для большинства российских банков, но, увы, ответ на него компетентные органы ЕС пока не дали.
«ЭЖЮ»: Давайте рассмотрим конкретные примеры: подпадает ли под GDPR российский интернет-магазин, у которого есть доставка по Европе, при этом цены в рублях, а сайт — только на русском языке? Или если российская компания (интернет-магазин) собирает данные пользователей с помощью cookie-файлов для таргетированной рекламы?
А.Д.: В приведенных ситуациях GDPR будет применим, только если выполняются дополнительные триггеры. Так, доставка товаров лицам на территории ЕС может свидетельствовать о направленности деятельности компании на потребителей в ЕС при условии, что продавец прямо заявляет о возможности такой доставки или даже представляет это своим конкурентным преимуществом. Сама по себе возможность зайти на сайт из ЕС и оплатить товар картой европейского банка не повлияет на применимость GDPR. Конечно же, важно понимать, как налажена поставка товаров покупателям в ЕС: если у магазина есть особый канал доставки для ЕС, то направленность деятельности на европейцев становится очевиднее. Отслеживание же поведения пользователей с помощью cookie-файлов формально представляет собой мониторинг активности лиц в ЕС. И если при этом есть и иные триггеры (например, таргетирование таких пользователей, сайт на европейском языке и цены в евро), то применения GDPR не избежать.
Теперь недостаточно только отобразить принципы в локальных актах компаний — эти принципы должны быть внедрены в IT-системы в виде конкретных мер
«ЭЖЮ»: Какие нормы в GDPR являются совершенно новыми для российских компаний?
А.Д.: С учетом определенной гармонизации российского регулирования с европейскими нормами о защите данных, правила GDPR по большей части устанавливают более высокие стандарты тех требований, которые в том или ином виде уже есть в российском регулировании. Можно отметить несколько положений, которые принципиально новы для России, и потому российским компаниям следует обратить на них особое внимание при внедрении GDPR.
Эти положения связаны, в первую очередь, с правами субъектов персональных данных. GDPR, определяя право на получение информации об обработке данных, гарантирует субъекту возможность получить от контролера копию данных либо потребовать передать их в структурированном виде в электронной форме другому контролеру (так называемая портативность данных). Для субъекта нужно обеспечить возможность отозвать согласие на обработку его персональных данных так же просто, как оно было получено. Наконец, в случае инцидента с персональными данными (их неправомерного уничтожения, утраты, раскрытия или изменения), контролер должен оперативно, в течение 72 часов, сообщить об этом регулятору ЕС и в минимально возможные сроки — самому субъекту персональных данных, если нарушение может повлечь серьезные последствия для последнего.
Еще одно важное для компаний в РФ требование — обязанность неевропейских компаний в ряде случаев назначить представителя в ЕС, если компания не имеет там постоянно действующей структуры. Предполагается, что это позволит европейским регуляторам эффективно взаимодействовать с компанией, в том числе накладывать штрафы.
Также важным отличием GDPR от действующего российского регулирования является необходимость тонкой настройки системы защиты персональных данных. Принципы обработки данных data protection by default и by design обязывают контролера знать, в каких процессах и на каких условиях обрабатываются персональные данные, продумывать методы защиты еще на этапе планирования процедур обработки персональных данных и при необходимости корректировать их на протяжении всего периода обработки. В развитие этих принципов в GDPR предусмотрен такой инструмент, как оценка воздействия на защиту данных (data protection impact assessment, DPIA), при проведении которой контролер должен учитывать специфику обрабатываемых персональных данных, потенциальные угрозы и способы предотвращения и устранения последствий инцидентов. Важно, что этот документ не статичен и должен соответствовать актуальным процессам обработки. Российское регулирование в этом вопросе не требует от оператора такой гибкости и устанавливает довольно формальные рамки для определения угроз безопасности персональных данных.
«ЭЖЮ»: Получается, что, хотя в российском законодательстве нет некоторых требований, предусмотренных GDPR, в целом отличий не так много?
А.Д.: Было бы некорректно или даже опасно пытаться искать точечные отличия GDPR от российского регулирования, они не столь значительны. Направленность регулирования и его тональность — вот что действительно является совершенно новым для отечественного бизнеса. Новое регулирование GDPR направлено на установление исключительной прозрачности системы обработки персональных данных контролерами и призвано обеспечить механизмы эффективного действия некогда декларативных принципов защиты прав субъектов персональных данных. То есть теперь недостаточно только отобразить многие знакомые нам принципы и требования в локальных актах компаний, согласиях или договорах с подрядчиками. Эти принципы должны быть внедрены в IT-системы в виде конкретных мер, воплощены в эффективных процессах обработки данных и дополнены инструментами постоянного контроля их исполнения. Именно это сейчас действительно важно понимать. Соответствие GDPR — это далеко не вопрос настройки локальных актов и стандартных документов, как иногда, к сожалению, приходится слышать.
«ЭЖЮ»: Относит ли GDPR к персональным данным IP-адреса?
А.Д.: Нужно различать статические и динамические IP-адреса. Статический (или постоянный) IP-адрес присваивается устройству на постоянной основе и сохраняется при переподключении к интернету. Динамический, напротив, меняется при каждом выходе в сеть.
Если с квалификацией статических IP-адресов в качестве персональных данных вопросов не возникало, то квалификация динамических адресов вызывала дискуссии, поскольку они постоянно меняются и сами по себе не позволяют идентифицировать пользователя. Споры разрешил суд ЕС в 2016 г. (дело № 582/14, Патрик Брейер против Германии). Он признал, что квалификация IP-адреса в качестве персональных данных относительна и зависит от того, кто обрабатывает эти данные. Если лицо имеет или на законных основаниях может получить доступ к иным данным, которые в совокупности с IP-адресом позволят идентифицировать субъекта (например, если онлайн-сервис вправе запросить данные аккаунта у интернет-провайдера), в руках такого лица IP-адрес является персональными данными. Если же дополнительных данных нет или нет возможности их получить, то режим персональных данных неприменим.
Такой подход был закреплен в GDPR. Регламент прямо указывает, что онлайн-идентификаторы (IP-адреса, cookie-файлы и радиочастоты) оставляют «следы» активности пользователя, что в совокупности с уникальными идентификаторами и иной информацией может индивидуализировать субъекта.
В России пока нет четкой позиции по этому вопросу, но были отдельные случаи, когда суды называли IP-адреса, в том числе динамические, персональными данными. В основном такие судебные решения относятся к случаям, когда операторы связи передавали массивы пользовательских данных компаниям, в дальнейшем использующим их для таргетирования рекламы. На практике мы видим, что Роскомнадзор применяет европейский подход и признает IP-адреса персональными данными, а суды такую позицию поддерживают.
«ЭЖЮ»: Каковы должны быть действия компании, если европеец решил воспользоваться своим «правом на забвение» и потребовал удалить его персональные данные?
А.Д.: GDPR не регламентирует внутренние процессы компании на случай реализации «права на забвение». Конкретные действия зависят от того, какие персональные данные требуется удалить, в какой форме они хранятся и в каких бизнес-процессах задействованы. В целом процедура выглядит следующим образом.
В первую очередь, нужно оценить, есть ли у субъекта правовые основания для реализации «права на забвение». GDPR обязывает удалить данные по такому запросу в определенных случаях, например, если необходимость в обработке отпала, если субъект персональных данных отзывает свое согласие на обработку или возражает против нее, если удаление данных требуется в соответствии с регуляторными требованиями, или же данные несовершеннолетнего были собраны для предоставления онлайн-сервисов.
Если хотя бы одно из таких условий соблюдено, дальше следует проверить наличие исключений, при которых компания не обязана удалять данные по запросу субъекта. Среди них — случаи, когда удаление противоречит законодательным требованиям или приведет к нарушению свободы слова и информации, либо, например, если обработка необходима для предъявления претензий или защиты от них.
Если после этого двухэтапного теста компания заключает, что все же должна удовлетворить запрос субъекта персональных данных, нужно с помощью реестра персональных данных идентифицировать, в каких системах, в каком составе обрабатываются персональные данные, и организовать работу соответствующих департаментов для их удаления во всех системах.
GDPR устанавливает достаточно короткий срок на выполнение запроса — 30 дней с даты его получения (в исключительных случаях может быть увеличен до 60 дней). В связи с этим рекомендуем заранее принять внутренние регламенты и операционные процедуры, назначить ответственное лицо, а также провести обучение работников.
«ЭЖЮ»: Какие конкретно изменения нужно внести в документы, касающиеся персональных данных?
А.Д.: Универсальный перечень необходимых изменений в документах назвать невозможно — он напрямую зависит от того, как на данный момент регламентирована обработка и защита персональных данных в конкретной компании. Как я уже отметил, изменение или адаптация документов — лишь вершина айсберга, под которой скрывается необходимость более сложного выстраивания работающих процессов и обеспечивающих их выполнение контролей, как на уровне бизнес-процессов, так и для используемых IT-систем. Для этого компании придется провести аудит всех IT-систем, баз данных, задействованных в обработке персональных данных, технических и организационных средств защиты.
Даже полное соответствие российским требованиям к обработке персональных данных не исключает существенных затрат на внесение изменений в работу IT-систем и адаптацию внутренних процедур и политик компании для приведения их в соответствие с GDPR. Как правило, российским компаниям приходится дополнительно разрабатывать реестры обрабатываемых персональных данных, внутренние процедуры обработки и формы контроля, реагирования на запросы субъектов, модель действий на случай инцидентов с данными, соглашения об обмене данными с контролерами и процессорами; внедрять в информационные системы функционал для реализации прав субъектов данных; обеспечивать информирование субъектов об имеющихся у них правах, предоставлять подробное понятное описание целей, сроков и иных условий обработки и получение согласий на обработку, а также возможность отзыва согласия субъектами так же просто, как согласия были получены; проводить обучение ответственного за обработку данных, в некоторых случаях также потребуется назначить представителя в ЕС и провести оценку влияния на защиту данных (DPIA).
Если регулирование внутренних процессов обработки данных должно действительно настраиваться каждой компанией самостоятельно, то при взаимодействии с третьими лицами, включая контрагентов и компании группы в ЕС, можно использовать модельные контрактные положения о передаче данных. Эти положения утверждает Еврокомиссия, и они необходимы для обеспечения минимального уровня соответствия GDPR. Конкретные их условия и объем требований будут зависеть от роли компании в процессе обработки персональных данных и структуры отношений сторон.
Европейский регулятор предпочитает взаимодействовать с операторами, разъясняя им положения GDPR в ответ на запросы
«ЭЖЮ»: Что грозит компаниям за несоблюдение GDPR?
А.Д.: Штраф в размере до 20 млн евро или 4% от глобального оборота группы за предшествующий финансовый год (в зависимости от того, какая сумма больше). Для определения конкретного размера штрафа будут оцениваться характер, длительность и последствия нарушения, степень вины нарушителя. В отношении компаний, не являющихся резидентами стран ЕС, штраф могут наложить, в том числе и на представителя в ЕС, которого в некоторых случаях должны назначать неевропейские компании. Штраф может быть взыскан за счет активов компаний в странах ЕС, и потенциально взыскание штрафа возможно за счет дебиторской задолженности компании в ЕС.
Помимо штрафов, в случае выявления нарушений GDPR регулятор в ЕС может запретить другим компаниям передачу персональных данных лицам, нарушающим GDPR. Несоблюдение такого запрета грозит компании наложением такого же значительного штрафа. Безусловно, эта мера грозит фактической потерей европейского рынка даже для компаний, которые работают в ЕС через посредников или с партнерами.
Среди прочих мер обсуждается и возможность блокировать для пользователей из ЕС интернет-ресурсы компаний, нарушающих GDPR.
«ЭЖЮ»: Есть ли уже примеры привлечения российских компаний к ответственности за нарушение GDPR?
А.Д.: Нет. Нам пока не известно о случаях применения этих санкций даже к компаниям из ЕС. Но формированию судебной практики по GDPR активно способствуют как субъекты персональных данных, так и сами компании, обрабатывающие их данные. Например, уже 25 мая 2018 г., в первый день действия Регламента, медиагиганты Google и Facebook получили многомиллиардные иски от австрийского активиста по защите персональных данных. Из совсем недавнего — польский регулятор получил жалобу на социальную сеть «ВКонтакте». По мнению заявителя, компания нарушила права, предоставляемые ему в соответствии с GDPR.
Первое судебное решение, в котором был применен GDPR, было принято 29 мая 2018 г. Окружной суд Бонна (Германия) разрешил спор между ICANN (корпорация по управлению доменными именами и IP-адресами) и аккредитованным регистратором доменных имен EPAG Domainservices GmbH. Немецкий регистратор со ссылкой на GDPR отказался выполнять требование ICANN о сборе контактных данных административного и технического персонала для WHOIS. Суд согласился, что необходимости в обработке такой информации нет, а потому ее сбор противоречит принципу минимизации, который закреплен в GDPR.
Уже первый судебный акт позволяет понять, что суды не намерены делать послаблений ни для крупных игроков рынка, ни для компаний вне ЕС, подпадающих под сферу применения GDPR. Однако здесь важно отметить, что даже признанное судом несоответствие не означает незамедлительного применения огромных штрафов. Вектор, которого придерживается европейский регулятор при применении GDPR, — активное взаимодействие с операторами, включая разъяснение им положений GDPR в ответ на запросы. В той же ситуации с ICANN Европейский совет по защите данных (EDPB) выпустил открытое письмо с рекомендациями по приведению данных WHOIS в соответствие с Регламентом.
Очевидно, что российским компаниям не удастся избежать ответственности за несоответствие GDPR. У европейских регуляторов есть механизмы воздействия для потенциального привлечения иностранной компании к ответственности. Как именно нормы об ответственности будут применяться на практике, покажет время.
«ЭЖЮ»: С какими еще проблемами столкнулись компании, которые подпадают под GDPR?
А.Д.: Основная проблема, с которой сталкиваются наши клиенты, — это определение периметра процессов, в отношении которых GDPR будет внедряться, и процессов, которые будут изменены, чтобы исключить риск применения GDPR к компании. Однако это скорее проблема расстановки бизнес-приоритетов с учетом корректной оценки необходимых инвестиций в GDPR compliance.
Проблемой же больше в правовой плоскости является то, что российскому бизнесу приходится соответствовать и европейскому, и российскому законодательству одновременно. При том, что GDPR в целом устанавливает более сложную структуру защиты персональных данных, российское регулирование в отдельных моментах предъявляет больше формальных требований. Самым ярким примером является получение согласия субъектов. В соответствии с GDPR форма получения согласий, требующих письменной формы, для регулятора не так важна. Европейский регулятор делает акцент на свободе получения согласия, оно также должно быть информированным, специальным и простым для понимания. Роскомнадзор же, буквально толкуя закон, требует строго формальное согласие — в письменном виде, отдельно для каждой из целей обработки данных. В такой ситуации целесообразно вырабатывать подход к выстраиванию бизнес-процессов, который будет соответствовать более высокому стандарту, но учитывать и необходимые формальные требования.
Кроме того, в России, как и в любой стране, установлено множество императивных требований, направленных на защиту публичных интересов, — это, например, нормы налогового, антитеррористического, информационного законодательства. И хотя Регламент допускает исключения, связанные с публичными нормами, они должны быть установлены локально и не учитывают неевропейские юрисдикции. Так что для российских компаний GDPR связан не только с необходимостью вложения значительных временных и материальных ресурсов, но и влечет за собой сложности примирения некоторых требований российского законодательства с установленными GDPR-требованиями.
«ЭЖЮ»: Это, например, «пакет Яровой», который начал действовать в июле 2018 г. и в котором, помимо прочего, предусмотрено, что операторы связи должны хранить информацию о сообщениях клиентов? Как это соотносится с нормами GDPR?
А.Д.: Да, это отличный пример потенциального конфликта норм.
Среди основополагающих принципов GDPR — ограничение целей обработки, минимизация данных и ограничение срока их хранения. Этим принципам соответствует обязанность компании удалять персональные данные, например, при достижении целей их обработки, при отзыве субъектом согласия на обработку или при реализации им «права на забвение». Соответственно, в таких случаях дальнейшая обработка данных недопустима, кроме тех ситуаций, когда это необходимо в соответствии с требованиями законодательства ЕС или стран — членов ЕС и еще ряда исключений, например, в государственных или общественных интересах. GDPR также позволяет ограничить право субъекта на удаление персональных данных, если это необходимо для обеспечения государственной безопасности. Однако такие ограничения должны устанавливаться нормами ЕС или стран — членов ЕС. Исключений для иностранного регулирования прямо не предусмотрено, несмотря на экстерриториальное применение Регламента.
«Пакет Яровой» же обязывает всех операторов связи хранить информацию о фактах передачи сообщений пользователей в течение трех лет и содержание этих сообщений — шесть месяцев (для интернет-трафика — 30 дней). Кроме того, операторы обязаны по запросу предоставить эти данные правоохранительным органам. Такая информация содержит персональные данные физических лиц, среди которых могут оказаться и те, кто находится в ЕС, то есть чьи данные должны обрабатываться в соответствии с GDPR. В результате у российских компаний возникнет дилемма: соблюдать требования GDPR, удаляя персональные данные находящихся в ЕС лиц в нарушение предписаний «пакета Яровой», либо соблюдать их, храня данные и передавая их правоохранительным органам в нарушение GDPR.
Роскомнадзор сначала скептически высказывался о применении GDPR к российским компаниям. Сейчас же ведомство заявляет о необходимости взаимодействия с Европейской комиссией по вопросам соблюдения GDPR российскими компаниями. В нынешних условиях нам остается только следить за позициями европейских регуляторов, чтобы понять, как они будут толковать исключения GDPR и смогут ли примирить противоречия требований GDPR и «пакета Яровой».
Интервью провела Дарья Бондарчук, «ЭЖ-Юрист»