Европейские ценности: GDPR в России

25 мая 2018 года вступил в силу Общий Регламент ЕС по Защите Персональных Данных (General Data Protection Regulation – GDPR). Новые требования изложены на 88 листах, но основная идея проста: защита личных данных европейцев существенно усилена по всему миру. У многих российских компаний, бизнес которых связан со странами Европы, возникла непростая задача: обеспечить выполнение GDPR, не нарушив законодательство РФ.

ЧТО ТАКОЕ GDPR

GDPR является наиболее важным нормативным актом ЕС в области персональных данных за последние 20 лет. Коммерческие и некоммерческие организации должны соблюдать его при ведении следующей деятельности: − обработки персональных данных полностью или частично с использованием средств автоматизации (например, в информационной системе, на интернет-сайте или облачном сервисе) и − обработки без использования средств автоматизации «файловой системы», т.е. любого упорядоченного массива персональных данных (например, бумажной картотеки).

Согласно Общему Регламенту, контроллеры персональных данных (в России аналогичные по статусу лица называются «операторами») обязаны применять технические и организационные меры по соблюдению GDPR и продемонстрировать это надзорным органам и субъектам персональных данных. Они должны утверждать политики по защите данных для различных ситуаций, включать условия о персональных данных в договоры с подрядчиками, участвующими в обработке («процессорами»), обеспечивать техническую безопасность, вести учет всех операций с персональными данными и выполнять большое количество других формальностей. GDPR позволяет контроллерам пройти добровольную сертификацию по соблюдению применимых требований, а также присоединиться к кодексам делового поведения, одобренным уполномоченными органами стран-членов ЕС для различных секторов экономики. Существенно измелись условия взаимодействия с субъектами персональных данных и правила их информирования. К персональным данным отнесены файлы «cookie» (небольшой текстовый файл, который автоматически сохраняется на компьютере пользователя при посещении интернет-сайта для фиксации сведений о действиях или предпочтениях пользователя), IP-адреса и другие онлайн-идентификаторы. В результате, на международных сайтах размещаются назойливые баннеры с просьбой дать согласие на обработку указанных сведений. Введены ограничения для «профайлинга», т.е. автоматизированной обработки сведений о людях с целью анализа или предугадывания их поведения, предпочтений, маршрутов передвижения и т.п.

За несоблюдение требований установлены беспрецедентные штрафы. Ряд нарушений (включая неисполнение предписания европейского надзорного органа) может повлечь штрафы в размере до 20 000 000 евро или 4% от общего годового оборота по всему миру за финансовый год, предшествующий нарушению. По общему правилу, необходимо задокументировать нарушения и уведомлять о них надзорные органы в течение 72 часов.

Применимость к российским организациям

Вопрос о соблюдении GDPR актуален для предпринимателей из России, как минимум, в трех случаях:

1. Бизнес на европейском рынке. GDPR применяется, если российская компания предлагает товары или услуги субъектам персональных данных, находящимся на территории Европейского Союза, независимо от наличия гражданства ЕС и необходимости оплачивать эти товары или услуги. Так, GDPR распространяется на сайты, которые допускают оформление заказов на языке одного из государств ЕС, поддерживают расчеты в евро или другой валюте стран-членов, содержат обращения к резидентам ЕС или отвечают ряду иных критериев.

GDPR обязателен для организаций, осуществляющих мониторинг поведения субъектов персональных данных на территории Евросоюза. Типичный пример – сервисы персонифицированной рекламы, отслеживающие действия потребителей по различным каналам с целью определения их интересов.

Чаще всего подобный бизнес ведется через интернет, соответственно, главными инструментами для демонстрации соблюдения GDPR станут корректно составленные и опубликованные политики по обработке персональных данных и файлов «cookie», а также тексты согласий субъектов персональных данных. Важно учитывать, что размещение на сайте политики в отношении обработки персональных данных, сведений о реализуемых требованиях к защите данных и текстов согласий является обязательным согласно пп.1 ч.1 ст.6 и ч.2 ст.18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» («ЗоПД»). На российской версии сайта документы должны быть на русском языке, при этом они могут отличаться от европейских, поскольку российская версия обычно не ориентирована на граждан ЕС.

Государственная граница РФ, скорее всего, не защитит от ответственности за невыполнение новых требований. Согласно GDPR, неевропейские компании обязаны назначать представителей, уполномоченных принимать жалобы и требования в одной из стран ЕС, где находятся интересующие их субъекты персональных данных (за рядом исключений). Получится ли привлечь к ответственности, если представитель не назначен и в Европе нет никаких активов? Это будет в значительной степени зависеть от законодательства конкретной страны-члена, где выявлено нарушение, но стоит ли проверять, учитывая величину штрафов?

2. Международная компания. GDPR распространяется на любую обработку персональных данных «в контексте постоянного присутствия» компании на территории ЕС (в любой организационно-правовой форме), даже если сама эта обработка происходит за пределами Евросоюза. Проще говоря, о нормах GDPR следует помнить российским офисам европейских компаний (например, филиалам, представительствам и дочерним обществам), а также отечественным компаниям с офисами в Европе.

Для выполнения GDPR в подобных компаниях обычно утверждаются корпоративные политики, обязательные для всех подразделений. Подобные политики имеют общий предмет регулирования с локальными актами и иными внутренними документами по защите персональных данных, принимаемыми на основании пп.2 ч.1 ст.18.1 ЗоПД. Поскольку некоторые вопросы в российском и европейском законодательстве решены по-разному, для многих российских офисов корпоративные политики целесообразно адаптировать.

3. Получение персональных данных из Европы. Эта ситуация типична как для представительств и филиалов иностранных компаний, так и для российских организаций с контрагентами в Европе. В зависимости от особенностей совместного бизнеса европейские компаньоны часто предлагают заключение двух договоров:

• стандартных договорных условий для трансграничной передачи данных по форме, утвержденной органами власти ЕС, и
• договора на обработку персональных данных, согласно которому российская сторона, выступая процессором, обязуется действовать по письменным инструкция контроллера, предоставлять ему сведения о ходе обработки данных, выполнять технические и организационные меры по защите данных, а также принимает другие обязанности.

Подобные документы могут противоречить ЗоПД в части формулирования целей обработки, требований по технической защите персональных данных и некоторых иных положений. Для европейцев отказ от подписания будет равносилен разрыву отношений. На практике распространены два решения: 1) переговоры по отдельным условиям договоров; или 2) подписание одновременно двух взаимосвязанных пакетов договорной документации: по европейским и по российским правилам.

Перспективы

Соблюдение GDPR – это обязательное условие для ведения бизнеса в Европе и с европейцами, причем в долгосрочной перспективе. Часто речь идет лишь о выполнении отдельных требований (например, соблюдении стандартных договорных условий). При этом не стоит забывать и о возможных противоречиях российскому закону, для устранения или минимизации которых используются различные юридические приемы. С учетом важности, придаваемой GDPR в Европе и по всему миру, готовность российской организации следовать этим правилам может послужить весомым конкурентным преимуществом в глазах международных компаний.