Российские компании подпали под действие европейского законодательства: каковы последствия?

Почему российские компании должны знать о европейском Регламенте о защите персональных данных?

25 мая 2018 г. вступил в силу Общий регламент о защите персональных данных (General Data Protection Regulation, или GDPR). Этот акт включает новые унифицированные для Европейского Союза правила, касающиеся обработки персональных данных (ПДн).

Между тем Регламент действует по экстерриториальному принципу, то есть соответствовать требованиям GDPR должны также компании, находящиеся за пределами ЕС, которые осуществляют обработку ПДн клиентов из ЕС. Стоит отметить, что российские компании здесь не являются исключением. По нашим данным, из 200 крупнейших компаний России около 50% подпадают под действие Регламента. Наличие дочерних компаний, офисов или представительств на территории ЕС, наличие веб-сайта на языке государства – члена ЕС, на котором можно заказать товары или услуги либо с помощью которого осуществляется мониторинг поведения субъектов ПДн из ЕС, – все это может послужить причиной подпадания компании под действие GDPR.

Регламент может также повлиять на российские компании, не имеющие дочерних предприятий в ЕС, – например, через деловых партнеров в ЕС, которые вынуждены учитывать риски при сотрудничестве с организациями, расположенными за пределами Европейского Союза. Принимая во внимание огромные штрафы за нарушение Регламента, российским компаниям стоит с большим вниманием отнестись к выполнению требований GDPR.

Как определить, подпала ли организация под действие GDPR?

Компания, расположенная на территории Российской Федерации, может подпадать под действие Регламента в следующих случаях:

• если предоставляет товары или услуги находящимся на территории ЕС субъектам и при этом осуществляет обработку их ПДн либо мониторинг их поведения в интернете, например в целях профилирования;
• если предоставляет услуги по обработке ПДн компаниям, попадающим под действие GDPR, вне зависимости от того, учреждена ли она на территории ЕС.

Российские компании, у которых есть партнеры, поставщики или дочерние предприятия в ЕС, также будут вынуждены соблюдать требования GDPR. Компаниям, учрежденным на территории ЕС, необходимо вносить дополнительные положения в договоры, чтобы их российские партнеры соблюдали требования Регламента. Таким образом, GDPR требует пересмотра всех договоров, поручений на обработку ПДн и соглашений с операторами, обрабатывающими ПДн субъектов ЕС.

Дополнительные индикаторы, на которые следует обращать внимание при определении того, подпадает ли компания под действие GDPR:

• наличие веб-сайта на языке страны ЕС (например, английском);
• наличие возможности оплаты в валюте ЕС (например, в евро);
• наличие программ лояльности или бонусных программ, которыми могут воспользоваться субъекты ПДн из ЕС.

На какие положения GDPR нужно обратить особое внимание?

Требования GDPR во многом схожи с требованиями российского Закона о персональных данных. И прежде чем приводить процессы обработки ПДн в соответствие с европейским Регламентом, следует убедиться в соблюдении норм российского закона.

Затем необходимо обратить внимание на ключевые положения Регламента, которые отсутствуют в законодательстве РФ:

• понятие «персональные данные» в GDPR шире, чем в российском законодательстве, и включает в том числе техническую информацию, которая неявно указывает на субъекта ПДн. Например, к такой информации могут относиться ip-адреса и сookies (это данные, которые записывает в браузер сервер посещаемого вами веб-сайта);
• права субъектов ПДн расширены и включают в себя в том числе права на перенос данных, доступ к информации об утечках персональных данных, получение копии обрабатываемых ПДн;
• компании должны проводить инвентаризацию информационных активов и вести реестр обрабатываемых персональных данных, который поможет соблюдать права субъектов ПДн – например, отозвать согласие на обработку ПДн или получить информацию, касающуюся обрабатываемых ПДн;
• компании должны проводить оценку воздействия на конфиденциальность (Data Protection Impact Assessment, DPIA), если процессы обработки данных представляют высокий риск для субъектов ПДн. Это возможно, если в компании используются новые технологии, осуществляется автоматическое принятие решений или обработка специальных категорий ПДн в широком масштабе. Также компании должны соответствовать принципам Privacy by design and default, которые подразумевают выбор и внедрение организационных и технических мер защиты, реализующих принципы безопасности ПДн;
• компании должны предоставлять регулятору отчеты об утечках персональных данных в течение 72 часов с момента регистрации инцидента, а также уведомлять субъекта ПДн в случае, если такая утечка может привести к высокому риску для него.

К каким последствиям может привести несоответствие требованиям GDPR?

Несоблюдение требований Регламента может привести к финансовым, юридическим и репутационным последствиям, поэтому не стоит скептически относиться к вероятности проведения на территории РФ проверки европейскими регуляторами (Data Protection Authority). Если будет выявлено несоответствие требованиям GDPR, европейский регулятор вправе запретить компании, имеющей дочерние предприятия в ЕС, вести деятельность на территории Европейского Союза. Это может привести к потере доверия клиентов, их оттоку и в результате к снижению дохода компании.

Отметим, что административная и судебная практика по GDPR начала формироваться только в мае 2018 г., однако уже известны случаи выставления штрафов за несоблюдение требований Регламента:

1. В Австрии DSB (Austrian Data Protection Authority) наложил штраф размером 4800 евро на предпринимателя, установившего камеру видеонаблюдения снаружи своего офиса без предупреждения о видеозаписи. В область обзора камеры попадали публичные места и соседние улицы. Нарушение заключалось в том, что обработка персональных данных велась при отсутствии правового основания, а субъекты ПДн не были уведомлены об этой обработке. 

2. В Португалии CNPD (Comissão Nacional de Protecção de Dados – Portuguese Data Protection Authority) наложил штраф размером 400 тыс. евро на госпиталь, не обеспечивший ограничение доступа своих работников к персональным данным. Нарушение заключалось в том, что отсутствовали организационные и технические меры защиты специальных категорий ПДн, а именно контроль доступа.

3. В Германии LfDI (Authority of the German state of Baden-Württemberg) наложил штраф размером 20 тыс. евро на компанию – владельца социальной сети Knuddels.de DS-GVO, осуществлявшую хранение паролей пользователей в незашифрованном виде, что было причиной утечки ПДн в сентябре 2018 г. Нарушение заключалось в том, что отсутствовали организационные и технические меры защиты ПДн, а именно шифрование/псевдонимизация данных.

Как видно из судебной практики, размер наложенных штрафов за нарушение требований GDPR меньше, чем указано в Регламенте. В GDPR предусмотрено два вида максимальных штрафов: 10 млн евро, или 2% от глобального годового дохода группы компаний, и 20 млн евро, или 4%. Несмотря на это, возможные штрафы остаются весомым аргументом для соблюдения требований Регламента. Как выписывание штрафа, так и проверка компаний на соответствие требованиям GDPR входит в сферу обязанностей регуляторов, которые назначаются в каждом государстве – члене ЕС. 

В настоящий момент о случаях плановых проверок операторов и обработчиков регулятором из ЕС неизвестно. Основными причинами проверок компаний европейскими регуляторами и судебных разбирательств являются:

• заявления субъектов ПДн о нарушении их законных прав;
• утечки персональных данных.

За прошедшие полгода были оштрафованы только компании, учрежденные на территории ЕС. Тем не менее это не исключает того, что в ближайшее время штрафы за несоблюдение GDPR начнут назначаться и российским компаниям. В данном случае штраф может быть наложен на дочерние компании в ЕС или на представителя компании, назначенного в ЕС. Регулятор может взыскать штраф с российской компании за счет открытых счетов в банках или при наличии других активов на территории ЕС.

Стоит отметить, что регуляторы имеют полномочия только на территории страны, в которой они учреждены. То есть если на российскую компанию поступила жалоба и у нее нет дочерних предприятий или представительств на территории Европейского Союза, надзорный орган из ЕС вряд ли сможет прийти в компанию с проверкой. При этом он может удаленно затребовать документацию, подтверждающую исполнение Регламента, если у проверяемой компании есть представитель в ЕС. В случае если компания не представит доказательств соблюдения требований GDPR, регулятор может запретить обрабатывать персональные данные, например заблокировать веб-сайт компании.

Как избежать финансовых и репутационных потерь из-за несоблюдения требований GDPR?

Государства – члены ЕС адаптируют положения GDPR в своем законодательстве и подготавливают разъяснения по его внедрению. Например, в Великобритании действует Data Protection Act 2018, в Германии – Act to Adapt Data Protection Law to Regulation (EU) 2016/679 and to Implement Directive (EU) 2016/680. Если компания имеет дочерние предприятия в ЕС, необходимо ознакомиться с законодательством данной страны и узнать о проведенных локальным регулятором мероприятиях по адаптации GDPR.

Далее компаниям, попадающим под действие Регламента, необходимо внедрять соответствующие меры защиты в целях реализации требований GDPR. Такие меры могут включать:

• публикацию на сайте компании информации о политике конфиденциальности (Privacy Statement), разработанной в соответствии с требованиями Регламента. Компании также могут обновить существующую политику конфиденциальности, дополнив ее необходимыми пунктами, например расширенными правами субъектов ПДн;
• проведение инвентаризации информационных активов и определение потоков обработки персональных данных, например подготовку реестра ПДн и карты потоков ПДн;
• разработку процедуры уведомления регуляторов и субъектов ПДн об утечках данных;
• определение необходимости проведения оценки воздействия на конфиденциальность (Data Protection Impact Assessment, DPIA) для высокорискованных процессов обработки ПДн и проведение DPIA;
• определение необходимости назначения ответственного за защиту ПДн (Data Protection Officer, DPO) и представителя в ЕС;
• определение наличия правовых оснований для трансграничной передачи ПДн (Binding corporate rules, Standard contractual clauses, Code of conduct, сертификация и др.);
• заключение соглашений о защите персональных данных с операторами или поручений на обработку с обработчиками ПДн.

Данный перечень мероприятий не является исчерпывающим, так как для каждой организации он может отличаться в зависимости от процессов обработки ПДн.

Отметим, что в GDPR встречаются гибкие понятия, поэтому российские компании должны определить четкую позицию и уметь ее отстоять перед регулятором. К примеру, в ситуации, когда компания осуществляет передачу ПДн третьим лицам, последние могут выступать операторами, совместными операторами (joint controllers) или обработчиками ПДн. Помимо критериев GDPR по определению того, кем является третье лицо в конкретной ситуации, важна позиция и самой компании в части интерпретации процесса обработки ПДн. Например, если компания использует средства Google или Яндекс в целях аналитики, Google и Яндекс могут выступать как операторами, так и обработчиками. Именно поэтому компании должны хорошо разбираться в собственных процессах и потоках ПДн. Лучшей практикой в данном случае считается распределение ролей оператора, обработчика и объединенных операторов при заключении договора. Это является залогом успеха при определении ответственности и отстаивании своих интересов в судебном порядке.