×
Бородин Дмитрий
Бородин Дмитрий
Старший юрист Группы Технологий и Инвестиций VEGAS LEX

25 мая вступил в силу Регламент № 2016/679 Европейского Парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных/ЕС» (коротко – General Data Protection Regulation, GDPR; далее – Регламент), заменивший собой действовавшую с 1995 г. Директиву ЕС № 95/46/EC. Регламент принят в рамках реализации европейской стратегии «Единого цифрового рынка» (см. сообщение Европейской комиссии № COM/2015/0192 A Digital Single Market Strategy for Europe) и является частью крупной реформы европейского права, направленной на его гармонизацию в условиях цифровой экономики. 

Основные принципы обработки персональных данных существенно не изменились. К ним относятся:

  • законность, справедливость и прозрачность;
  • обработка только для заявленных и конкретных целей;
  • минимизация обрабатываемых данных;
  • обеспечение актуальности (точности) данных;
  • ограничение срока хранения данных;
  • обеспечение целостности и конфиденциальности данных;
  • принцип подотчетности оператора (обработчика). 

Вместе с тем Регламент содержит ряд принципиальных нововведений, ключевые из которых:

1. Прямо закреплена обязанность оператора соблюдать принципы privacy by design и privacy by default как при разработке новых технологий и продуктов, так и в процессе обработки данных. Первый принцип предполагает обязательное внедрение организационных и технических мер, разумно достаточных для обеспечения безопасности персональных данных. Согласно второму принципу, организационные и технические меры должны обеспечивать минимизацию обработки данных: по объему, времени, способам обработки и доступности третьим лицам.

2. У операторов появилась прямая обязанность проводить предварительную оценку влияния на защиту данных (data protection impact assessment) в отношении тех операций с данными, которые могут повлечь существенные риски нарушения прав субъектов персональных данных.

3. У субъектов персональных данных появилось право на перенос данных (data portability right), позволяющее субъектам получить от оператора свои персональные данные в структурированном и общепринятом формате для передачи другому оператору или, при наличии технической возможности, требовать передачи указанных данных напрямую новому оператору. Прямо закреплено право субъекта персональных данных на забвение (right to be forgotten).

4. У операторов появилась обязанность уведомлять надзорный орган и субъекта персональных данных о случаях нарушения безопасности данных.

5. Предусмотрено более строгое регулирование профайлинга (profiling) и процедур принятия решений в отношении субъекта персональных данных на основании автоматической обработки его данных, а также обработки персональных данных детей.

6. Установлен механизм «одного окна» (one-stop-shop), позволяющий надзорному органу страны, в которой расположен головной офис оператора, осуществлять общую координацию контрольных мероприятий в отношении оператора, осуществляющего трансграничную обработку данных.

7. Отменена процедура уведомления надзорных органов об обработке персональных данных и вместо этого введена обязанность оператора вести внутренний учет всех процессов обработки данных и, при необходимости, предоставлять соответствующие записи надзорным органам. 

8. Для органов публичной власти и организаций, чья основная деятельность связана с систематической обработкой больших объемов персональных данных либо с обработкой специальных категорий персональных данных, установлена обязанность назначить уполномоченного по защите данных (data protection officer – DPO). Такое лицо должно обладать соответствующей квалификацией, быть в курсе всех связанных с обработкой персональных данных процессов в организации, напрямую отчитываться перед топ-менеджментом компании и осуществлять взаимодействие с надзорными органами.

9. Наконец, одно из наиболее значимых нововведений касается штрафов за нарушение Регламента. За нарушение ряда ключевых требований (например, за нарушение основных принципов или обработку данных без согласия субъекта)  предусмотрен штраф в размере до 20 млн евро или 4% годового оборота за предшествующий год в зависимости от того, какая сумма выше. За иные нарушения размер максимального штрафа в два раза ниже – до 10 млн евро или 2% оборота соответственно. 

Несмотря на то что Регламент, в отличие от утратившей силу Директивы, обладает прямым действием на территории ЕС, новое регулирование, как и прежде, содержит большое количество оценочных категорий и норм-принципов, предполагающих их последующее развитие и конкретизацию в национальном регулировании, правоприменительной практике надзорных органов и судов.

В этом прослеживается естественное стремление органов власти ЕС сделать регулирование более гибким и способным подстраиваться под меняющиеся условия оборота. Вместе с тем такой подход создает правовую неопределенность и вызывает у бизнеса разумные опасения относительно рисков применения к ним упомянутых санкций. 

При этом Регламент носит экстерриториальный характер и распространяет свое действие не только на европейские компании и граждан ЕС. Так, к российским организациям Регламент может применяться в случаях, когда они обрабатывают персональные данные:

  • в связи с деятельностью своего филиала, представительства, дочерней компании или агента, осуществляющего деятельность на территории ЕС;
  • в связи с предложением товаров и услуг лицам, находящимся на территории ЕС;
  • в связи с мониторингом поведения лиц, находящихся на территории ЕС.

Указанные критерии являются настолько широкими, что под действие Регламента может подпадать, к примеру, российская организация, имеющая сайт на английском языке с формами обратной связи или сайт, отслеживающий поведение пользователей с помощью файлов-cookie.

По общему правилу, компании не из ЕС, на которых распространяется действие Регламента, обязаны назначить представителя в ЕС для взаимодействия с надзорными органами. Данная обязанность не касается компаний, обрабатывающих персональные данные лиц, находящихся в ЕС, не на постоянной основе, а эпизодически, при условии, что не обрабатываются специальные категории персональных данных и риск нанесения вреда правам и законным интересам соответствующих субъектов маловероятен.

Для российских граждан вступление в силу Регламента означает, что теперь они наравне с гражданами ЕС вправе требовать от операторов, подпадающих под действие Регламента, соблюдения соответствующих прав, включая право на забвение и право на перенос данных.

В заключение хотелось бы отметить, что при разработке действующего российского законодательства о персональных данных за основу была взята именно  Директива  ЕС 1995 г., в связи с чем наше регулирование во многом схоже с европейским. Учитывая, что глобальные процессы, послужившие причиной разработки нового регулирования, в той или иной степени актуальны для всех юрисдикций без исключения, весьма вероятно, что в случае успеха нового Регламента российское регулирование в сфере персональных данных пойдет по тому же пути. Этому будет способствовать и то обстоятельство, что уже сейчас многие российские компании вынуждены соблюдать требования Регламента, и аналогичные изменения в российском регулировании уже не будут для них чем-то неожиданным.

Рассказать:
Другие мнения
Гривцов Андрей
Гривцов Андрей
Адвокат, старший партнер АБ «ЗКС»
Об уголовном преследовании адвоката Ивана Павлова
Защита прав адвокатов
Почему необходимо добиваться изменения положений УК и УПК, касающихся разглашения данных предварительного расследования
04 Мая 2021
Пылаева Анастасия
Пылаева Анастасия
Руководитель практики «Банкротство» в консалтинговой компании «Кучерена Групп»
Неурегулированная сфера
Арбитражное право и процесс
Почему Закон о банкротстве целесообразно дополнить разделом об особенностях банкротства групп компаний
29 Апреля 2021
Будылин Сергей
Будылин Сергей
Советник АБ «Бартолиус»
Важные вопросы банкротного права
Арбитражное право и процесс
Правовые позиции ВС в делах о банкротстве
27 Апреля 2021
Сазонов Всеволод
Сазонов Всеволод
Управляющий партнер АБМО «Сазонов и партнеры»
Как предотвратить попадание в санкционные списки
Арбитражное право и процесс
Важные факторы, которые следует учитывать при проведении санкционного комплаенса
26 Апреля 2021
Семенов Алексей
Семенов Алексей
Адвокат АП Московской области, партнер АБ «Система защиты»
Разночтения устранены
Уголовное право и процесс
Исключение из УПК термина «преступления в сфере предпринимательства» помогает свести к минимуму судебные ошибки
22 Апреля 2021
Борщ Юрий
Борщ Юрий
Юрист, партнер консалтинговой компании «Кучерена Групп»
Криптовалюта: пробелы регулирования
Налоговое право
Проект поправок в НК РФ, связанных с налогообложением криптовалюты, требует доработки
20 Апреля 2021
Яндекс.Метрика