Что надо знать российским компаниям о защите данных в Европе

В конце мая этого года на территории Европейского союза (ЕС) вступил в силу общий регламент по защите данных (General Data Protection Regulation, GDPR). Он напрямую распространяется на все страны ЕС без необходимости вводить его положения в законодательство конкретной страны и носит экстерриториальный характер. Поэтому регламент обязателен и для российских компаний, которые каким-либо образом присутствуют на европейском рынке.

Европейским компаниям пришлось много работать над приведением своих бизнес-процессов в соответствие с требованиями нового регламента. Процесс был крайне трудоемок и требовал привлечения большого количества ресурсов. По разным оценкам, 50–60% европейских компаний пока его не завершили. Российские компании должны понять, насколько их касаются новые правила, и для этого им нужно ответить на несколько вопросов:

1. Имеет ли российская компания или группа компаний хотя бы одно аффилированное юридическое лицо (или иную форму присутствия) на территории ЕС?

2. Осуществляет ли компания мониторинг поведения населения ЕС (включая сбор и обработку анкетных данных, сведений о местонахождении, а также персональной информации о пользователях сети интернет посредством cookies)?

3. Направлены ли информационные ресурсы компании на реализацию товаров и услуг на территории ЕС?

4. Доступна ли версия корпоративного сайта компании на одном из европейских языков (французском, немецком, испанском и т. д.)?

5. Принимает ли компания оплату своих товаров или услуг в евро?

Утвердительные ответы на эти вопросы могут свидетельствовать о том, что российской компании потребуется соблюдать нормы регламента. Тем не менее каждый бизнес индивидуален. Относится ли новый регламент к компании и рискует ли она оказаться под санкциями за его несоблюдение, необходимо оценивать отдельно в каждом конкретном случае.

За нарушение регламента на компанию может быть наложен штраф в размере до 20 млн евро или до 4% ее годового оборота. Тем не менее в европейской практике соблюдается взвешенный подход к санкциям в зависимости от их соразмерности и разумности применения к конкретным нарушениям. Принимается во внимание характер, тяжесть и продолжительность нарушения, преднамеренный характер, меры, принятые для смягчения нанесенного ущерба, соблюдение мер, а также иные отягчающие или смягчающие вину обстоятельства.

Много вопросов возникает по поводу возможности применения санкций за нарушение регламента в случаях, когда российская компания не имеет «физического присутствия» на территории ЕС, например находится там в форме аффилированного юридического лица. Возможно, в этом случае европейский надзорный орган вправе будет применить блокировку сайтов или ограничение доступа к ним.

Если российский бизнес подпадает под действие GDPR, необходимо учитывать фундаментальные правила защиты персональных данных. Нужно:

планировать меры защиты персональных данных на этапе разработки конкретных бизнес-процессов, например внедрения конкретных технологических решений);

документировать процессы обработки персональных данных, а также внедрять соответствующие корпоративные политики по вопросам обработки и защиты данных;

получать информированные согласия на обработку персональных данных;

проводить оценку рисков, связанных с обеспечением конфиденциальности персональных данных, и внедрять систему их защиты не реактивно в случае наступления проблем, а по умолчанию и с определенной целью;

уведомлять надзорные органы в области защиты персональных данных об инцидентах, связанных с обеспечением безопасности персональных данных (общий срок уведомления составляет 72 часа); в случае высокого риска нарушения прав и свобод человека нужно уведомлять и самих субъектов персональных данных.

Компаниям, подпадающим под действие GDPR, нужно назначить своего представителя в ЕС, ответственного за обработку персональных данных. Это может не потребоваться, когда обработка персональных данных проводится на нерегулярной основе, не включает в себя обработку специальной категории данных или исключает риски нарушения прав и свобод человека. Однако примеры из международной практики показывают, что такие исключения редко применимы для трансграничного бизнеса.

Особое внимание должно уделяться запросам субъектов по обработке персональных данных (DSR). Выполнение таких запросов, например на доступ к данным, удаление или перенос данных, может потребовать значительных усилий. Возможно, придется преобразовать процессы реагирования на запросы в управляемую процедуру с измеряемыми параметрами и для надлежащего функционирования этих процессов нужно будет внедрить дополнительные технические мощности и решения. Компании надо правильно оценить масштаб технологических решений, необходимых для поддержания внутренних процессов.

Более того, приводя свои бизнес-процессы в соответствие с требованиями европейского регламента, российские компании могут столкнуться с проблемой их несовместимости с требованиями российских законов. Например, соблюдение российскими операторами законодательного пакета Яровой о хранении данных может привести к нарушению не только условий заключенных договоров с иностранными партнерами, но и норм GDPR. Это, к примеру, касается соблюдения принципа конфиденциальности персональных данных, который является одним из фундаментов регламента.