Новые европейские правила обработки персональных данных: кого затронут изменения?
25 мая 2018 года вступит в силу Регламент Европейского парламента и Совета ЕС (Регламент, GDPR)[1], направленный на усиление контроля за сбором и обработкой персональных данных (ПД) резидентов и граждан ЕС и повышение прозрачности использования ПД. Регламент имеет прямое действие во всех странах ЕС и заменяет рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года[2]
GDPR потенциально затрагивает:
Операторы (controllers) и обработчики (processors) ПД, учрежденные за пределами ЕС, обязаны соблюдать GDPR, если они:
Предположительно, наличие англоязычной версии веб-сайта само по себе не является основанием для безусловного применения GDPR.
До получения дальнейших разъяснений непонятно, распространяются ли требования GDPR только на ресурсы, прямо использующие ПД потребителей для осуществления коммерческой деятельности, или на все компании, собирающие данные о посещении пользователями своих веб-сайтов, например, используя файлы cookie.
При наступлении оснований для соблюдения GDPR (за определенными исключениями) неевропейский оператор или обработчик ПД должен назначить представителя в ЕС.
Положения нового европейского Регламента могут коснуться в первую очередь российских операторов связи, ИТ-компаний, поставщиков ПО, а также интернет-магазинов. Указанным компаниям следует провести комплексную оценку применяемых методов и средств обработки ПД чтобы определиться, обязаны ли они соблюдать положения Регламента.
Ключевые нововведения GDPR:
Смогут ли европейские регуляторы привлекать к ответственности компании в России?
Если вопрос о возможности привлечения к ответственности европейскими регуляторами филиалов, представительств и дочерних компаний российских организаций на территории ЕС не вызывает сомнений, то возможность привлечения к ответственности операторов и обработчиков ПД, которые не имеют физического присутствия в ЕС, может быть под вопросом.
Регламент наделяет органы надзора ЕС достаточно широкими полномочиями – начиная с вынесения предупреждений и уведомлений о нарушении и заканчивая распоряжениями о приостановлении передачи данных третьим лицам и запретами на обработку. Однако неясно, каким образом европейские регуляторы будут приводить положения GDPR в исполнение на территории других государств, в том числе в России, учитывая, что признание в нашей стране распоряжений и/или решений органов власти ЕС весьма маловероятно
Роскомнадзор в настоящее время занимает позицию, что на территории России операторы ПД должны следовать Федеральному закону «О персональных данных», и требования GDPR на них не распространяются[3]
В случае назначения представителя в ЕС GDPR допускает принятие мер в отношении такого представителя за нарушения, допущенные оператором или обработчиком данных.
Теоретически надзорные органы ЕС могут блокировать веб-сайты, через которые операторы или обработчики осуществляют обработку данных с нарушением европейского законодательства. Однако подобная блокировка не затронет обеспечиваемый российскими провайдерами доступ пользователей в РФ к таким сайтам.
Российским компаниям, которые могут подпасть под регулирование GDPR, следует рассматривать необходимость соблюдения требований GDPR не только с позиции потенциальной ответственности за нарушения, но и с репутационной точки зрения, поскольку соответствие GDPR может расцениваться как конкурентное преимущество. И наоборот, несоответствие Регламенту может вызывать недоверие со стороны потребителей/пользователей.
[1] Регламент № 2016/679 Европейского парламента и Совета Европейского союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (General Data Protection Regulation).
[2] Директива 95/46/ЕС Европейского парламента и Совета Европейского союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных».
[3] https://www.rbc.ru/newspaper/2018/03/01/5a96b5fb9a7947568a1c8679.