Статья опубликована в № 4714 от 11.12.2018 под заголовком: Критерии применения GDPR к российским компаниям прояснились

Критерии применения закона ЕС о защите данных к российским компаниям прояснились

Нельзя больше выжидать с исполнением требований GDPR
Александра Введенская, Юрист компании PwC Legal

Недавно Европейский совет по защите данных (EDPB) опубликовал разъяснения, в каких случаях компании из стран, не входящих в ЕС, должны соблюдать общий регламент ЕС о защите данных (GDPR). Он вступил в силу в мае 2018 г. Эти разъяснения имеют прямое отношение к российским компаниям. Напомним, что один из основных принципов GDPR – экстерриториальность и защита прав людей, предоставляющих персональные данные, независимо от их гражданства. Компаниям, не соблюдающим требования GDPR, грозят существенные штрафы – до 20 млн евро или до 4% от мирового оборота нарушителя. Проблема в том, что многие формулировки регламента неоднозначны. Из-за этого последние полгода российский бизнес пребывал в напряжении: отсутствовала единая трактовка, в каких случаях и в каком объеме российские компании должны соблюдать GDPR. Одни считали, что под действие GDPR подпадает абсолютно любая обработка данных европейских граждан. Другие – что самого факта обработки данных европейцев недостаточно, необходимо детально разбирать цели и способы использования данных.

После долгого молчания Европейский совет поставил точку в данном споре, подтвердив правильность второго подхода. Он рекомендовал в каждом конкретном случае анализировать процессы, при исполнении которых собираются персональные данные, и оценивать, насколько их содержание соответствует хотя бы одному из критериев экстерриториальности. Согласно статье 3 регламента GDPR таких критериев три:

1) компания из страны, не входящей в ЕС, ведет деятельность через постоянную структуру в Евросоюзе;

2) неевропейская компания предлагает в Европе товары;

3) компания ведет мониторинг клиентов в ЕС.

По первому пункту совет подтвердил, что GDPR применим к неевропейской компании, если она фактически действует в ЕС через филиал, компанию-партнера или же привлеченного агента – резидента ЕС и благодаря его деятельности получает и обрабатывает данные. Например, российский автопроизводитель обязан соблюдать GDPR при обработке данных европейских клиентов, если он привлекает в ЕС агента для рекламы и технической поддержки потребителей. Под этот же критерий, по мнению совета, также попадает и обратная ситуация, когда филиал европейской компании в России обрабатывает персональные данные по поручению головного офиса. Такой филиал обязан соблюдать GDPR. Вместе с тем совет подчеркнул, что не следует толковать постоянную структуру слишком широко – простая передача европейской компании какой-либо функции на аутсорсинг или использование дата-центра в ЕС сами по себе не влекут применимость GDPR к российской компании.

По применимости второго критерия совет поддержал точку зрения Европейской комиссии – что возможность доступа к сайту, мобильному приложению или услуге с территории ЕС не означает обязательности GDPR, если только этот сайт, приложение или услуга не ориентированы на европейских пользователей изначально.

Самый неоднозначный третий критерий не был разъяснен полностью. Совет не дал прямого ответа, что понимается под мониторингом лиц в ЕС и как определить его границы. Из разъяснений можно сделать вывод, что сбор персональной информации в ЕС, в том числе периодический, сам по себе не является мониторингом с точки зрения GDPR. Такой сбор считается мониторингом, если компания намерена впоследствии использовать эти данные, зная, что они относятся к лицам в ЕС. Получается, что сбор cookie-файлов без последующего использования (например, для таргетирования рекламы европейских пользователей) не попадает под действие GDPR.

Совет впервые прямо сказал об обязательном применении ряда требований GDPR к не европейской компании, которая заключает договор на обработку данных с европейской компанией. Это актуально прежде всего для российских провайдеров профессиональных услуг, например оказывающих европейским клиентам услуги хостинга, IT и HR, а также организующих деловые поездки для европейцев.

Выжидательная позиция, которую заняла существенная часть российского бизнеса, становится все более рискованной. При возникновении споров европейские регуляторы принимают во внимание добросовестность нарушителя – в частности, принял ли он все возможные меры, чтобы соответствовать требованиям. Но если российская компания при наличии официальных разъяснений не предпримет даже минимальных усилий по соответствию GDPR, доказать ее добросовестность будет крайне сложно.

Лучше всего уже сейчас оценить применимость регламента с учетом разъяснений совета и приступить к постепенному внедрению GDPR. Ряд способов позволяют выйти из сферы действия GDPR или минимизировать применимость регламента – реструктуризация процессов, обезличивание получаемых данных, разграничение доступа к информационным системам и т. д. Поэтому внедрение GDPR потребует минимальных усилий от российской компании.

Если по итогам оценки окажется, что GDPR неприменим или применим только к части процессов, рекомендуется определить точки, где компания балансирует на грани применимости и неприменимости, и внедрить процедуры контроля изменений в продуктовой линейке, IT-системах и организационной структуре. Тогда можно будет не опасаться, что компания внезапно попадет под действие регламента ЕС.

Пока никто не прокомментировал этот материал. Вы можете стать первым и начать дискуссию.
Комментировать
Читать ещё
Preloader more