25 мая вступил в силу Регламент № 2016/679 Европейского Парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных/ЕС» (коротко – General Data Protection Regulation, GDPR; далее – Регламент), заменивший собой действовавшую с 1995 г. Директиву ЕС № 95/46/EC. Регламент принят в рамках реализации европейской стратегии «Единого цифрового рынка» (см. сообщение Европейской комиссии № COM/2015/0192 A Digital Single Market Strategy for Europe) и является частью крупной реформы европейского права, направленной на его гармонизацию в условиях цифровой экономики.
Основные принципы обработки персональных данных существенно не изменились. К ним относятся:
- законность, справедливость и прозрачность;
- обработка только для заявленных и конкретных целей;
- минимизация обрабатываемых данных;
- обеспечение актуальности (точности) данных;
- ограничение срока хранения данных;
- обеспечение целостности и конфиденциальности данных;
- принцип подотчетности оператора (обработчика).
Вместе с тем Регламент содержит ряд принципиальных нововведений, ключевые из которых:
1. Прямо закреплена обязанность оператора соблюдать принципы privacy by design и privacy by default как при разработке новых технологий и продуктов, так и в процессе обработки данных. Первый принцип предполагает обязательное внедрение организационных и технических мер, разумно достаточных для обеспечения безопасности персональных данных. Согласно второму принципу, организационные и технические меры должны обеспечивать минимизацию обработки данных: по объему, времени, способам обработки и доступности третьим лицам.
2. У операторов появилась прямая обязанность проводить предварительную оценку влияния на защиту данных (data protection impact assessment) в отношении тех операций с данными, которые могут повлечь существенные риски нарушения прав субъектов персональных данных.
3. У субъектов персональных данных появилось право на перенос данных (data portability right), позволяющее субъектам получить от оператора свои персональные данные в структурированном и общепринятом формате для передачи другому оператору или, при наличии технической возможности, требовать передачи указанных данных напрямую новому оператору. Прямо закреплено право субъекта персональных данных на забвение (right to be forgotten).
4. У операторов появилась обязанность уведомлять надзорный орган и субъекта персональных данных о случаях нарушения безопасности данных.
5. Предусмотрено более строгое регулирование профайлинга (profiling) и процедур принятия решений в отношении субъекта персональных данных на основании автоматической обработки его данных, а также обработки персональных данных детей.
6. Установлен механизм «одного окна» (one-stop-shop), позволяющий надзорному органу страны, в которой расположен головной офис оператора, осуществлять общую координацию контрольных мероприятий в отношении оператора, осуществляющего трансграничную обработку данных.
7. Отменена процедура уведомления надзорных органов об обработке персональных данных и вместо этого введена обязанность оператора вести внутренний учет всех процессов обработки данных и, при необходимости, предоставлять соответствующие записи надзорным органам.
8. Для органов публичной власти и организаций, чья основная деятельность связана с систематической обработкой больших объемов персональных данных либо с обработкой специальных категорий персональных данных, установлена обязанность назначить уполномоченного по защите данных (data protection officer – DPO). Такое лицо должно обладать соответствующей квалификацией, быть в курсе всех связанных с обработкой персональных данных процессов в организации, напрямую отчитываться перед топ-менеджментом компании и осуществлять взаимодействие с надзорными органами.
9. Наконец, одно из наиболее значимых нововведений касается штрафов за нарушение Регламента. За нарушение ряда ключевых требований (например, за нарушение основных принципов или обработку данных без согласия субъекта) предусмотрен штраф в размере до 20 млн евро или 4% годового оборота за предшествующий год в зависимости от того, какая сумма выше. За иные нарушения размер максимального штрафа в два раза ниже – до 10 млн евро или 2% оборота соответственно.
Несмотря на то что Регламент, в отличие от утратившей силу Директивы, обладает прямым действием на территории ЕС, новое регулирование, как и прежде, содержит большое количество оценочных категорий и норм-принципов, предполагающих их последующее развитие и конкретизацию в национальном регулировании, правоприменительной практике надзорных органов и судов.
В этом прослеживается естественное стремление органов власти ЕС сделать регулирование более гибким и способным подстраиваться под меняющиеся условия оборота. Вместе с тем такой подход создает правовую неопределенность и вызывает у бизнеса разумные опасения относительно рисков применения к ним упомянутых санкций.
При этом Регламент носит экстерриториальный характер и распространяет свое действие не только на европейские компании и граждан ЕС. Так, к российским организациям Регламент может применяться в случаях, когда они обрабатывают персональные данные:
- в связи с деятельностью своего филиала, представительства, дочерней компании или агента, осуществляющего деятельность на территории ЕС;
- в связи с предложением товаров и услуг лицам, находящимся на территории ЕС;
- в связи с мониторингом поведения лиц, находящихся на территории ЕС.
Указанные критерии являются настолько широкими, что под действие Регламента может подпадать, к примеру, российская организация, имеющая сайт на английском языке с формами обратной связи или сайт, отслеживающий поведение пользователей с помощью файлов-cookie.
По общему правилу, компании не из ЕС, на которых распространяется действие Регламента, обязаны назначить представителя в ЕС для взаимодействия с надзорными органами. Данная обязанность не касается компаний, обрабатывающих персональные данные лиц, находящихся в ЕС, не на постоянной основе, а эпизодически, при условии, что не обрабатываются специальные категории персональных данных и риск нанесения вреда правам и законным интересам соответствующих субъектов маловероятен.
Для российских граждан вступление в силу Регламента означает, что теперь они наравне с гражданами ЕС вправе требовать от операторов, подпадающих под действие Регламента, соблюдения соответствующих прав, включая право на забвение и право на перенос данных.
В заключение хотелось бы отметить, что при разработке действующего российского законодательства о персональных данных за основу была взята именно Директива ЕС 1995 г., в связи с чем наше регулирование во многом схоже с европейским. Учитывая, что глобальные процессы, послужившие причиной разработки нового регулирования, в той или иной степени актуальны для всех юрисдикций без исключения, весьма вероятно, что в случае успеха нового Регламента российское регулирование в сфере персональных данных пойдет по тому же пути. Этому будет способствовать и то обстоятельство, что уже сейчас многие российские компании вынуждены соблюдать требования Регламента, и аналогичные изменения в российском регулировании уже не будут для них чем-то неожиданным.