×
Архипов Владислав
Архипов Владислав
Cоветник практики санкт-петербургского офиса Dentons в области ИС, ИТ и телекоммуникаций

25 мая 2018 г. вступил в силу Регламент № 2016/679 Европейского Парламента и Совета Европейского Союза от 27 апреля 2016 г. «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент о защите персональных данных) (“General Data Protection Regulation”, или “GDPR”)». Данный акт представляет собой новые унифицированные для ЕС правила, касающиеся обработки персональных данных. Это и есть одна из ключевых особенностей, а также причин принятия GDPR – если раньше законодательство о защите персональных данных в Европе было неодинаковым по объему и глубине (а в каких-то странах вообще отсутствовало), то сейчас для всех стран установлены довольно подробные единые нормы. Отдельные положения могут вводиться и на национальном уровне, но свобода усмотрения стран ЕС фактически в значительной степени ограничена.

GDPR – очень объемный документ (более 80 страниц), причем около 30 страниц – это преамбула из 173 (!) пунктов, поясняющая контекст его принятия, цели и принципы, отдельные нюансы контекста, которые могут влиять на толкование различных правил. Структура и основные положения GDPR в целом принципиально не отличаются от других известных европейских актов по вопросам обработки персональных данных. Более того, общая логика и отдельные детальные положения GDPR совпадают (местами – буквально) и с содержанием Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», что неудивительно, поскольку общие исторические корни обоих актов сводятся к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера (Страсбург, 28 января 1981 г.). Интересно, что некоторые нововведения GDPR приближают европейские подходы к российским, а не наоборот. Например, в параграфе 1(f) cт. 5 GDPR в качестве отдельного принципа предусмотрено принятие соответствующих технических или организационных мер для защиты персональных данных, что на практике означает документирование процессов по обработке данных, хорошо знакомое отечественным операторам. Пожалуй, именно поэтому само содержание GDPR (но не правила об экстерриториальном применении) в России, вероятно, вызывает меньше вопросов, чем в других странах, не находящихся в Европейской экономической зоне.

Собственно, самое главное нововведение GDPR – это прямо установленные в ст. 3 правила о территориальном действии акта. GDPR, естественно, применяется к деятельности контролера или обработчика данных, находящегося в ЕС, однако независимо от того, осуществляется ли обработка персональных данных на европейской территории. Но при этом  в GDPR установлено и то, что обработка персональных данных субъектов, находящихся в ЕС, контролером или обработчиком данных, не имеющим места ведения деятельности («establishment» в специальном значении) в ЕС, осуществляется, если: (а) субъекту персональных данных, находящемуся в ЕС, предлагаются товары или услуги, в том числе бесплатно, и (или) (б) осуществляется мониторинг поведения субъектов персональных данных, находящихся в ЕС. Данное положение и привлекло наибольшее внимание к GDPR.

В первую очередь, оно выражает стремление разрешить давно известную проблему определения юрисдикции в интернете применительно к отношениям, связанным с обработкой персональных данных, на основании «критерия направленности». Если в отношении, например, сайта или мобильного приложения можно сказать, что предлагаемые на нем услуги ориентированы на европейских пользователей (по аналогии со ст. 1212 ГК РФ), это означает допустимость применения GDPR к оператору. Другое основание для такого экстерриториального применения – мониторинг, который может, например, принять форму сбора данных о пользователях посредством cookies или иным образом. Если говорить об операторах, находящихся за пределами Европейской экономической зоны, GDPR особенно актуален для тех, кто действует через интернет и нацелен в том числе на европейских пользователей, включая социальные медиа, различные онлайн-сервисы и пр. В условиях цифровой экономики риск такого таргетирования – уже не прерогатива интернет-бизнеса в узком смысле слова, поскольку очень многие используют возможности интернета для обратной связи, анализа пользовательской активности и т.п. в любых областях экономики.

Таким образом, пожалуй, два наиболее значимых аспекта GDPR – это правило, из которого следует необходимость документирования внутренних процессов (в целом довольно новое для стран ЕС) и положения об экстерриториальном применении (актуальные для тех, кто находится во «внешних» юрисдикциях).

Следует отметить, что GDPR предусматривает и другие нововведения, среди которых, например, «принцип единого окна», в соответствии с которым операторы будут взаимодействовать в ЕС с одним органом по защите персональных данных, находящимся по месту «основного учреждения» («main establishment»). Также по многочисленным публикациям и обсуждениям широко известно, что в GDPR также прямо закреплены концепции «privacy by design» и «privacy by default». Хотя данные формулировки звучат весьма изящно и необычно, они также означают подходы, уже известные российской практике, пусть и под другим именем. «Privacy by design» подразумевает, что при создании процессов обработки персональных данных необходимо изначально учитывать принципы обработки персональных данных и требования GDPR, а «privacy by default» означает принятие организационных и технических мер для минимизации обработки персональных данных. Менее масштабные нововведения GDPR касаются, например, прямого закрепления особенностей обработки персональных данных детей и связанных с этим процессов (например, устанавливается возможность отозвать ранее данное согласие после наступления совершеннолетия). Также определяется право субъектов персональных данных на перенос персональных данных – «right to portability», в соответствии с которым персональные данные субъектов должны быть пригодны для переноса к другому оператору (в случаях если обработка осуществляется на основании согласия или договора). Есть и ряд других нововведений, среди которых стоит отметить, в том числе, обязанности, связанные с раскрытием информации об утечках персональных данных.

Особое внимание к GDPR и ажиотаж вокруг его правил вызваны и штрафами, установленными на уровне самого акта (ст. 83), – либо до 10 млн. евро, или до 2% от годового мирового оборота, либо до 20 млн. евро, или до 4% от годового мирового оборота. В обоих случаях действует оговорка «в зависимости от того, что больше». Меньший из этих штрафов предусмотрен, например, для случаев нарушения правил об обработке персональных данных детей, обработки персональных данных там, где это не является необходимым, непринятия технических и организационных мер, нарушения обязанностей ответственного лица. Больший из штрафов – за нарушение базовых принципов, требований к согласию, нарушение прав субъектов персональных данных (в том числе при автоматизированной обработке), правил трансграничной передачи, неисполнение требований уполномоченных органов. В то же время норма параграфа 1 ст. 84 GDPR предписывает государствам – членам ЕС установить дополнительные правила о штрафах в отношении нарушений законодательства о персональных данных, включая штрафы по тем нарушениям, на которые сам GDPR прямо не указывает. Как полагают европейские эксперты, столь высокие размеры штрафов, установленные GDPR, не обязательно подразумевают, что данные формы административного наказания будут применяться ко всем субъектам независимо от масштаба их деятельности и нарушения. Указанные суммы определяют верхнюю планку и, вероятно, нацелены в большей степени на то, чтобы продемонстрировать транснациональным корпорациям серьезность намерений.

Положительная сторона GDPR – это достижение качественно новой степени формальной определенности в ЕС относительно правил обработки персональных данных и высокого уровня унификации таковых. В то же время рискну утверждать, что при наличии многих новых правил, не все из которых были ранее известны Европейскому Союзу, GDPR (вынужденно или целенаправленно) находится в рамках старой парадигмы правил обработки персональных данных, которая не вполне соответствует актуальным трендам цифровой экономики, включая технологии и экономику Больших данных (Big Data).

Для российских граждан, находящихся в России, какого-либо существенного эффекта от GDPR ожидать сложно, ведь акт защищает права лиц, находящихся на территории ЕС. Однако может случиться так, что уровень реальной защиты прав российских субъектов персональных данных при этом повысится в случаях, когда речь идет об операторах, которые вынуждены соблюдать и российские, и европейские требования. Отметим, что Роскомнадзор уже высказывался о том, что GDPR не будет иметь силы на территории РФ, а вопросы его действия будут в перспективе решаться средствами международного права. С этим подходом можно согласиться и подчеркнуть, что GDPR действительно не будет действовать на территории РФ. Дело в другом: если российский оператор функционирует в соответствии с критериями экстерриториального применения GDPR, можно, напротив, утверждать, что применяется фикция деятельности российского оператора на территории ЕС. Примерно из этого исходит логика GDPR, и это не устраняет вопрос о действии GDPR в отношении российских компаний, ориентированных на европейских пользователей, которым придется соблюдать и европейское (с точки зрения ЕС), и российское законодательство, а местами разрешать непростые конфликты – как, например, для отдельных видов бизнеса работать в условиях сочетания требований Федерального закона от 6 июля 2016 г. № 374-ФЗ о хранении содержания коммуникации пользователей (в том числе, по сути, персональных данных) и требований GDPR о минимизации процессов обработки данных.

Рассказать:
Другие мнения
Саркисов Валерий
Саркисов Валерий
Адвокат АП г. Москвы, АК «Судебный адвокат»
«Разгрузка» с риском для стороны защиты
Уголовное право и процесс
Оргвопросы деятельности судов не должны нарушать права и законные интересы участников судопроизводства
20 января 2023
Коновалов Андрей
Коновалов Андрей
Руководитель юридической компании «Щит и Меч»
Понуждение к соблюдению закона или наказание за ошибку?
Налоговое право
Чем является санкция, предусмотренная п. 1 ст. 122 НК РФ
19 января 2023
Жаров Евгений
Жаров Евгений
Адвокат АП г. Москвы, ZHAROV GROUP, лауреат Ecoworld РАЕН, к.э.н
Общая судьба как основание для солидарности
Природоохранное право
Почему идея о генеральном деликте не распространяется на область охраны окружающей среды
18 января 2023
Буклова Виктория
Буклова Виктория
Адвокат АП г. Москвы, партнер Адвокатского бюро ZKS
Необходимо совершенствование УПК РФ
Уголовное право и процесс
Его содержание нуждается в дальнейшем законодательном регулировании
17 января 2023
Гаспарян Нвер
Гаспарян Нвер
Адвокат АП Ставропольского края, советник ФПА РФ
К вопросу о ревизии регламентации предварительного слушания
Уголовное право и процесс
Ходатайства об исключении доказательств в ходе предварительного слушания есть процессуальный рудимент
17 января 2023
Загайнов Дмитрий
Загайнов Дмитрий
Почетный адвокат России, партнер INTELLECT
Важно правильно расставить все точки над «i»
Уголовное право и процесс
Не упуская из вида оговорки законодателя
17 января 2023
Яндекс.Метрика