EN
EN

Новые европейские правила обработки персональных данных: кого затронут изменения?

ОбзорКонтакты для прессы: pr@lp.ru

25 мая 2018 года вступит в силу Регламент Европейского парламента и Совета ЕС (Регламент, GDPR)[1], направленный на усиление контроля за сбором и обработкой персональных данных (ПД) резидентов и граждан ЕС и повышение прозрачности использования ПД. Регламент имеет прямое действие во всех странах ЕС и заменяет рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года[2]

GDPR потенциально затрагивает:

российские компании, имеющие филиалы, представительства и дочерние организации в ЕС;
российские компании без присутствия в ЕС, чья деятельность нацелена на европейских граждан.

Операторы (controllers) и обработчики (processors) ПД, учрежденные за пределами ЕС, обязаны соблюдать GDPR, если они:

предлагают товары или услуги физическим лицам в ЕС; или
отслеживают потребительское поведение физических лиц в ЕС.

Предположительно, наличие англоязычной версии веб-сайта само по себе не является основанием для безусловного применения GDPR.

До получения дальнейших разъяснений непонятно, распространяются ли требования GDPR только на ресурсы, прямо использующие ПД потребителей для осуществления коммерческой деятельности, или на все компании, собирающие данные о посещении пользователями своих веб-сайтов, например, используя файлы cookie.

При наступлении оснований для соблюдения GDPR (за определенными исключениями) неевропейский оператор или обработчик ПД должен назначить представителя в ЕС. 

Положения нового европейского Регламента могут коснуться в первую очередь российских операторов связи, ИТ-компаний, поставщиков ПО, а также интернет-магазинов. Указанным компаниям следует провести комплексную оценку применяемых методов и средств обработки ПД чтобы  определиться, обязаны ли они соблюдать положения Регламента.

Ключевые нововведения GDPR:

расширение прав субъектов ПД:
право запрашивать сведения об обработке ПД;
раво требовать изъятия ПД из обработки;
озможность отозвать согласие на обработку ПД;
раво требовать переноса ПД к другому оператору;
расширение обязанностей операторов ПД:
оповещение регуляторов в течение 72 часов об утечках и нарушениях, связанных с ПД;
раскрытие информации о целях применения ПД по запросу субъектов ПД;
усиление требований к форме получения согласия на обработку ПД;
назначение лица, ответственного за защиту ПД, и т. п.;
 
усиление ответственности за нарушение GDPR: штрафы до 20 млн евро или 2–4% от мирового годового оборота компании

Смогут ли европейские регуляторы привлекать к ответственности компании в России?

Если вопрос о возможности привлечения к ответственности европейскими регуляторами филиалов, представительств и дочерних компаний российских организаций на территории ЕС не вызывает сомнений, то возможность привлечения к ответственности операторов и обработчиков ПД, которые не имеют физического присутствия в ЕС, может быть под вопросом.

Регламент наделяет органы надзора ЕС достаточно широкими полномочиями – начиная с вынесения предупреждений и уведомлений о нарушении и заканчивая распоряжениями о приостановлении передачи данных третьим лицам и запретами на обработку. Однако неясно, каким образом европейские регуляторы будут приводить положения GDPR в исполнение на территории других государств, в том числе в России, учитывая, что признание в нашей стране распоряжений и/или решений органов власти ЕС весьма маловероятно

Роскомнадзор в настоящее время занимает позицию, что на территории России операторы ПД должны следовать Федеральному закону «О персональных данных», и требования GDPR на них не распространяются[3]

В случае назначения представителя в ЕС GDPR допускает принятие мер в отношении такого представителя за нарушения, допущенные оператором или обработчиком данных.

Теоретически надзорные органы ЕС могут блокировать веб-сайты, через которые операторы или обработчики осуществляют обработку данных с нарушением европейского законодательства. Однако подобная блокировка не затронет обеспечиваемый российскими провайдерами доступ пользователей в РФ к таким сайтам.

Российским компаниям, которые могут подпасть под регулирование GDPR, следует рассматривать необходимость соблюдения требований GDPR не только с позиции потенциальной ответственности за нарушения, но и с репутационной точки зрения, поскольку соответствие GDPR может расцениваться как конкурентное преимущество. И наоборот, несоответствие Регламенту может вызывать недоверие со стороны потребителей/пользователей.

 


[1] Регламент № 2016/679 Европейского парламента и Совета Европейского союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (General Data Protection Regulation).

[2] Директива 95/46/ЕС Европейского парламента и Совета Европейского союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных».

[3] https://www.rbc.ru/newspaper/2018/03/01/5a96b5fb9a7947568a1c8679.

Участники

Материалы

Скачать PDF