25 мая 2018 г. вступил в силу Регламент № 2016/679 Европейского Парламента и Совета Европейского Союза от 27 апреля 2016 г. «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент о защите персональных данных) (“General Data Protection Regulation”, или “GDPR”)». Данный акт представляет собой новые унифицированные для ЕС правила, касающиеся обработки персональных данных. Это и есть одна из ключевых особенностей, а также причин принятия GDPR – если раньше законодательство о защите персональных данных в Европе было неодинаковым по объему и глубине (а в каких-то странах вообще отсутствовало), то сейчас для всех стран установлены довольно подробные единые нормы. Отдельные положения могут вводиться и на национальном уровне, но свобода усмотрения стран ЕС фактически в значительной степени ограничена.
GDPR – очень объемный документ (более 80 страниц), причем около 30 страниц – это преамбула из 173 (!) пунктов, поясняющая контекст его принятия, цели и принципы, отдельные нюансы контекста, которые могут влиять на толкование различных правил. Структура и основные положения GDPR в целом принципиально не отличаются от других известных европейских актов по вопросам обработки персональных данных. Более того, общая логика и отдельные детальные положения GDPR совпадают (местами – буквально) и с содержанием Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», что неудивительно, поскольку общие исторические корни обоих актов сводятся к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера (Страсбург, 28 января 1981 г.). Интересно, что некоторые нововведения GDPR приближают европейские подходы к российским, а не наоборот. Например, в параграфе 1(f) cт. 5 GDPR в качестве отдельного принципа предусмотрено принятие соответствующих технических или организационных мер для защиты персональных данных, что на практике означает документирование процессов по обработке данных, хорошо знакомое отечественным операторам. Пожалуй, именно поэтому само содержание GDPR (но не правила об экстерриториальном применении) в России, вероятно, вызывает меньше вопросов, чем в других странах, не находящихся в Европейской экономической зоне.
Собственно, самое главное нововведение GDPR – это прямо установленные в ст. 3 правила о территориальном действии акта. GDPR, естественно, применяется к деятельности контролера или обработчика данных, находящегося в ЕС, однако независимо от того, осуществляется ли обработка персональных данных на европейской территории. Но при этом в GDPR установлено и то, что обработка персональных данных субъектов, находящихся в ЕС, контролером или обработчиком данных, не имеющим места ведения деятельности («establishment» в специальном значении) в ЕС, осуществляется, если: (а) субъекту персональных данных, находящемуся в ЕС, предлагаются товары или услуги, в том числе бесплатно, и (или) (б) осуществляется мониторинг поведения субъектов персональных данных, находящихся в ЕС. Данное положение и привлекло наибольшее внимание к GDPR.
В первую очередь, оно выражает стремление разрешить давно известную проблему определения юрисдикции в интернете применительно к отношениям, связанным с обработкой персональных данных, на основании «критерия направленности». Если в отношении, например, сайта или мобильного приложения можно сказать, что предлагаемые на нем услуги ориентированы на европейских пользователей (по аналогии со ст. 1212 ГК РФ), это означает допустимость применения GDPR к оператору. Другое основание для такого экстерриториального применения – мониторинг, который может, например, принять форму сбора данных о пользователях посредством cookies или иным образом. Если говорить об операторах, находящихся за пределами Европейской экономической зоны, GDPR особенно актуален для тех, кто действует через интернет и нацелен в том числе на европейских пользователей, включая социальные медиа, различные онлайн-сервисы и пр. В условиях цифровой экономики риск такого таргетирования – уже не прерогатива интернет-бизнеса в узком смысле слова, поскольку очень многие используют возможности интернета для обратной связи, анализа пользовательской активности и т.п. в любых областях экономики.
Таким образом, пожалуй, два наиболее значимых аспекта GDPR – это правило, из которого следует необходимость документирования внутренних процессов (в целом довольно новое для стран ЕС) и положения об экстерриториальном применении (актуальные для тех, кто находится во «внешних» юрисдикциях).
Следует отметить, что GDPR предусматривает и другие нововведения, среди которых, например, «принцип единого окна», в соответствии с которым операторы будут взаимодействовать в ЕС с одним органом по защите персональных данных, находящимся по месту «основного учреждения» («main establishment»). Также по многочисленным публикациям и обсуждениям широко известно, что в GDPR также прямо закреплены концепции «privacy by design» и «privacy by default». Хотя данные формулировки звучат весьма изящно и необычно, они также означают подходы, уже известные российской практике, пусть и под другим именем. «Privacy by design» подразумевает, что при создании процессов обработки персональных данных необходимо изначально учитывать принципы обработки персональных данных и требования GDPR, а «privacy by default» означает принятие организационных и технических мер для минимизации обработки персональных данных. Менее масштабные нововведения GDPR касаются, например, прямого закрепления особенностей обработки персональных данных детей и связанных с этим процессов (например, устанавливается возможность отозвать ранее данное согласие после наступления совершеннолетия). Также определяется право субъектов персональных данных на перенос персональных данных – «right to portability», в соответствии с которым персональные данные субъектов должны быть пригодны для переноса к другому оператору (в случаях если обработка осуществляется на основании согласия или договора). Есть и ряд других нововведений, среди которых стоит отметить, в том числе, обязанности, связанные с раскрытием информации об утечках персональных данных.
Особое внимание к GDPR и ажиотаж вокруг его правил вызваны и штрафами, установленными на уровне самого акта (ст. 83), – либо до 10 млн. евро, или до 2% от годового мирового оборота, либо до 20 млн. евро, или до 4% от годового мирового оборота. В обоих случаях действует оговорка «в зависимости от того, что больше». Меньший из этих штрафов предусмотрен, например, для случаев нарушения правил об обработке персональных данных детей, обработки персональных данных там, где это не является необходимым, непринятия технических и организационных мер, нарушения обязанностей ответственного лица. Больший из штрафов – за нарушение базовых принципов, требований к согласию, нарушение прав субъектов персональных данных (в том числе при автоматизированной обработке), правил трансграничной передачи, неисполнение требований уполномоченных органов. В то же время норма параграфа 1 ст. 84 GDPR предписывает государствам – членам ЕС установить дополнительные правила о штрафах в отношении нарушений законодательства о персональных данных, включая штрафы по тем нарушениям, на которые сам GDPR прямо не указывает. Как полагают европейские эксперты, столь высокие размеры штрафов, установленные GDPR, не обязательно подразумевают, что данные формы административного наказания будут применяться ко всем субъектам независимо от масштаба их деятельности и нарушения. Указанные суммы определяют верхнюю планку и, вероятно, нацелены в большей степени на то, чтобы продемонстрировать транснациональным корпорациям серьезность намерений.
Положительная сторона GDPR – это достижение качественно новой степени формальной определенности в ЕС относительно правил обработки персональных данных и высокого уровня унификации таковых. В то же время рискну утверждать, что при наличии многих новых правил, не все из которых были ранее известны Европейскому Союзу, GDPR (вынужденно или целенаправленно) находится в рамках старой парадигмы правил обработки персональных данных, которая не вполне соответствует актуальным трендам цифровой экономики, включая технологии и экономику Больших данных (Big Data).
Для российских граждан, находящихся в России, какого-либо существенного эффекта от GDPR ожидать сложно, ведь акт защищает права лиц, находящихся на территории ЕС. Однако может случиться так, что уровень реальной защиты прав российских субъектов персональных данных при этом повысится в случаях, когда речь идет об операторах, которые вынуждены соблюдать и российские, и европейские требования. Отметим, что Роскомнадзор уже высказывался о том, что GDPR не будет иметь силы на территории РФ, а вопросы его действия будут в перспективе решаться средствами международного права. С этим подходом можно согласиться и подчеркнуть, что GDPR действительно не будет действовать на территории РФ. Дело в другом: если российский оператор функционирует в соответствии с критериями экстерриториального применения GDPR, можно, напротив, утверждать, что применяется фикция деятельности российского оператора на территории ЕС. Примерно из этого исходит логика GDPR, и это не устраняет вопрос о действии GDPR в отношении российских компаний, ориентированных на европейских пользователей, которым придется соблюдать и европейское (с точки зрения ЕС), и российское законодательство, а местами разрешать непростые конфликты – как, например, для отдельных видов бизнеса работать в условиях сочетания требований Федерального закона от 6 июля 2016 г. № 374-ФЗ о хранении содержания коммуникации пользователей (в том числе, по сути, персональных данных) и требований GDPR о минимизации процессов обработки данных.
