Архив. GDPR – последствия для российских организаций
Журнал «Успешный бизнес», 2017 г.
25 мая 2016 года по итогам длительных обсуждений Европейский парламент принял новый Общий регламент по защите данных (General Data Protection Regulation, GDPR). Применение этого документа не ограничивается территорией Европейского союза, а его положения будут иметь последствия в том числе и для российских организаций.
Регламент распространяется на три категории субъектов:
Организации, учреждённые в ЕС и осуществляющие обработку персональных данных (ПД) или контролирующие такую обработку «в контексте своей деятельности» в ЕС, вне зависимости от того, где именно осуществляется такая обработка.
Иные организации, осуществляющие обработку ПД европейских граждан в связи с реализацией товаров или услуг. Необходимо, чтобы организация прямо «предусматривала» возможность реализации товаров или услуг европейским гражданам (использование языка страны ЕС или принятие платежей в соответствующей валюте).
Иные организации, осуществляющие мониторинг поведения европейских граждан. Под таким мониторингом предлагается понимать «отслеживание» поведения субъектов ПД в сети Интернет, включая последующую обработку ПД для составления профилей.
К наиболее вероятным «жертвам» среди российских организаций относятся онлайн-сервисы, предлагающие услуги на различных языках и принимающие в качестве оплаты евро, а также дата-центры, расположенные на территории России и хранящие ПД европейцев.
ОТДЕЛЬНЫЕ ПРАВИЛА GDPR
Назначение представителя в ЕС, если организация не находится на территории ЕС, но подпадает под действие GDPR. Такой представитель должен иметь прямой мандат действовать от имени организации и представлять её интересы.
Согласие на обработку ПД. Субъекты ПД должны иметь возможность отозвать своё согласие. Отдельное согласие должно быть дано в отношении каждой отдельной цели обработки таких ПД. Общие (‘omnibus’) согласия презюмируются недействительными.
Согласие детей. Согласие детей до 16 лет (с возможностью понижения возрастного лимита до 13 лет) должно быть сопровождено согласием их родителей.
Уведомление о взломе / компрометации ПД. Организации обязаны уведомлять регулятора и субъектов ПД об имевших место случаях взлома или компрометации ПД. Такое уведомление должно быть сделано не позднее 72 часов с того момента, когда стало известно о взломе.
Обязательства по управлению ПД. В зависимости от конкретных обстоятельств, организации должны осуществлять оценку воздействия на личность высокорискованных методик по обработке ПД (Privacy Impact Assessments), назначать ответственное лицо (Data Protection Officer), проявлять бдительность при выборе субподрядчиков, участвующих в обработке ПД, и вести учёт всех действий по обработке ПД.
Расширенные права субъектов ПД. Регламент уточняет и расширяет права граждан-субъектов ПД. Так, субъекты ПД вправе: (а) получать подтверждение факта обработки ПД; (б) требовать предоставления копии таких ПД; (в) выражать протест против обработки ПД для конкретных целей и пр.
ШТРАФЫ
Регламент предусматривает максимальные размеры штрафов, в то время как полномочия по определению конкретных сумм штрафов предоставлены национальным органам власти государств-членов ЕС. Предусматривается две категории штрафов в зависимости от состава нарушения: 20 млн. евро или 4% от глобального оборота (большее из указанного); и 10 млн. евро или 2% от глобального оборота (большее из указанного).
Вместо штрафа может быть сделан выговор (reprimand) в случаях, когда совершенное правонарушение является незначительным, или наложенный штраф будет чрезмерен (несопоставим с нарушением).
РЕКОМЕНДАЦИИ
1. Российским организациям, особенно тем, которые осуществляют мониторинг поведения европейских граждан, стоит оценить возможность применения положений GDPR к их деятельности. Следует обратить внимание на наличие среди своих клиентов европейских граждан.
2. Российская организация, подпадающая под действие GDPR, должна позаботиться либо об ограничении своей деятельности на территории ЕС во избежание применения GDPR, либо о принятии соответствующих мер по соблюдению его требований.
3. Организации, решившие принять меры по соблюдению положений GDPR, должны сделать это до 25 мая 2018 года, когда положения о санкциях станут исполнимыми принудительно.