×

Защита персональных данных в международном контексте

Некоторые аспекты защиты ПД в международных корпорациях и при международных сделках
Корнев Игорь
Корнев Игорь
Глава юридической службы «Боинг», Россия и СНГ, к.ю.н. (ИЗиСП при Правительстве РФ), магистр права (Университет штата Миннесота, США), член коллегии адвокатов штата Нью-Йорк, США

В современных бизнес-реалиях международные (глобальные) корпорации (далее – МК), присутствующие на рынках нескольких стран или даже континентов, являются основными адресатами национальных законов, регулирующих обращение с персональными данными (далее – ПД). Юридическая и бизнес-структуры таких МК (состоящие, например, из аффилированных юридических лиц, учрежденных в одной или нескольких странах; лиц, входящих в одну группу; или даже лиц, формально не аффилированных, но связанных долгосрочными соглашениями в рамках определенных бизнес-процессов и т.п.) неизбежно влекут необходимость постоянного осуществления взаимной передачи большого количества ПД между участвующими в структуре юридическими лицами.

В частности, такая взаимная передача ПД может быть необходима для:

  • внутренних целей поддержания структуры МК (например, оформления деловых поездок сотрудников, оформления перевода сотрудников между юридическими лицами в разных странах, организации центров процессинга для оптимизации процессов компании (общей обработки платежей в рамках региона) и т.п.);
  • проведения международных бизнес-операций МК (например, передачи ПД контрагентов, таких как общая контактная информация, информация для перевозок, информация в рамках электронной коммерции и т.п.);
  • передачи уполномоченным органам других стран (для целей осуществления таможенного и экспортного контроля, предоставления финансовой отчетности, лицензирования и сертификации, учреждения дочерних компаний и т.п.).

В последние годы национальные законодатели стали фактически придерживаться подхода к ПД как к еще одному виду ценных объектов, которые могут продаваться и покупаться (в различных правовых системах и национальных системах права их теоретическая классификация может быть различной – от имущества и имущественных прав до прав интеллектуальной собственности). Соответственно, для регулирования оборота ПД появляется ряд национальных и межнациональных нормативных правовых актов, которые будут регулировать оборот ПД в ближайшие десятилетия. 

В связи с этим особо сложным и требующим неординарного подхода является выполнение противоречащих друг другу требований, например:

1. Общий регламент ЕС о защите ПД (General Data Protection Regulation или сокращенно – GDPR) одобрен Европарламентом 14 апреля 2016 г., вступил в силу 25 мая 2018 г. и является основополагающим и весьма подробным документом, регулирующим оборот ПД граждан стран ЕС.

В частности, GDPR обязывает получать предварительное согласие гражданина страны ЕС для использования его ПД для различных целей (например, для обработки его данных в рамках клиентской базы коммерческой организацией).

Другой не менее интересный документ – Закон Калифорнии о защите информации потребителей (California Consumer Privacy Law, 2018 г.), был принят в 2018 г. и полностью вступит в силу 1 января 2020 г. Это первый в США такого рода закон, остальные штаты работают в данном направлении, принятие ими аналогичных актов ожидается в ближайшие годы. Согласно названному закону потребитель (этот термин использован в максимально широком смысле, то есть включает в себя практически всех жителей Калифорнии) должен получить возможность исключить свои ПД из коммерческого оборота компании. Как GDRP, так и Закон Калифорнии, применяются экстерриториально в отношении соответствующих ПД, то есть любой обработчик ПД граждан ЕС независимо от его местонахождения обязан исполнять GDPR.

Соответственно, МК, собирающая ПД клиентов одновременно в США (что, вероятнее всего, будет включать штат Калифорнию как основной рынок внутри США) и в ЕС, должна предусмотреть два различных подхода к сбору данных, получению согласия и уведомлению владельцев ПД: для граждан ЕС нужно получать предварительное согласие для обработки, а для граждан Калифорнии – предоставить возможность вывести свои ПД из оборота (вероятно, последнее будет существенно сложнее осуществить, так как ПД могут быть уже использованы в различных бизнес-процессах, и придется предоставлять владельцу возможность исключить такие ПД из каждого из них).

2. Еще один пример – работа в юрисдикциях, требующих локализации всех или части ПД в пределах их территориальных границ (например, Россия или Китай (Закон о кибербезопасности Китая – China Cyber Security Law, 2017 г.). МК может столкнуться с трудностями при обработке ПД в третьей стране (например, для передачи ПД в общий дата-центр компании в целях обработки HR-документов или платежей). Для этого МК должна проанализировать, какие данные необходимы для обработки, ограничить передачу данных только набором необходимых данных, не передавать данные, ограниченные в передаче, и выполнять требования о локализации.

Для соблюдения законодательных требований МК должны внедрять в рамках своей структуры определенные практики, чтобы их дочерние юридические лица, учрежденные в различных юрисдикциях, могли эффективно соблюдать требования обработки ПД всех стран, где работает МК.

1. Универсальным решением является принятие МК общей политики по работе с персональными данными. Такая политика должна продолжать (и разъяснять) положения основной внутренней политики организации (как, например, Кодекса делового поведения и пр.). Данная внутренняя политика может взять в качестве общей основы общепризнанные основные принципы работы с ПД, разработанные независимой ассоциацией/международной организацией (типовые положения). 

Наиболее часто встречающиеся примеры таких типовых документов:

  • Общепринятые принципы обращения с ПД (Generally accepted privacy principles or GAPP). GAPP разработаны путем совместных консультаций Канадского института дипломированных бухгалтеров и Американского института сертифицированных публичных бухгалтеров;
  • Принципы обращения с ПД Организации экономического сотрудничества и развития (Organization of economic cooperation and development or OECD);
  • Принципы обращения с ПД Азиатско-Тихоокеанского экономического сотрудничества (Asia-Pacific Economic Cooperation or APEC).

Структура типовых положений обычно включает следующие разделы (на примере GAPP): порядок оборота, уведомление об использовании, получения согласия, порядок сбора, использование и хранение, доступ к ПД, раскрытие третьим лицам, защита ПД, качество ПД. 

Такая общая политика в силу ее универсальности и недетализированности ее положений всегда будет соответствовать требованиям нормативных правовых актов любого государства, регулирующих оборот ПД. Соответственно, можно порекомендовать российским компаниям, выходящим на международные рынки, принимать такую общую политику на основе типовых положений; это может способствовать успешному взаимодействию с иностранными партнерами, которые будут понимать, что политика компании в области ПД основана на общепризнанных и понятных им стандартах. 

2. Еще один общепринятый подход к решению проблемы – внедрение локальных политик в отдельных компаниях группы МК. Этот процесс может включать в себя следующие этапы:

  • принятие обязательной локальной политики по ПД, отвечающей специальным требованиям соответствующей юрисдикции (например, в России – требование о назначении конкретного лица, ответственного за соблюдение политики/обработку ПД);
  • принятие локальной политики по ПД по усмотрению – даже когда местное законодательство специально не требует наличия такой политики (в том числе для того, чтобы положения глобальной политики МК стали обязательными для выполнения в конкретном юридическом лице, были переведены на местный язык и пр.);
  • предъявление к локальным поставщикам и контрагентам требований соответствовать основным положениям по защите ПД, принятым головной компанией/соблюдать политику локальной компании.

3. Во многих случаях принятие политик в компаниях группы МК недостаточно, поэтому необходимы точечные решения, например:

  • соглашения между отдельными компаниями группы (на основе (или путем отсылки к) стандартных(м) форм(ам) (стандартных контрактных положений, одобренных Еврокомиссией, для выполнения требований GDPR)). Например, соглашение между юрлицом ЕС и юрлицом, учрежденным за пределами ЕС, принадлежащими к одной группе компаний, для передачи ПД по конкретным проектам. Целью такого соглашения может быть введение меры защиты ПД получающей стороной, ограничение раскрытия и пр.; 
  • «Щит ПД» (privacy shield) (меры, принимаемые одним юрлицом в одной юрисдикции для защиты ПД, полученных из другой юрисдикции; юрлицо должно быть сертифицировано для допуска к ПД; носят экстерриториальный характер);
  • Программы «Безопасная гавань» (safe harbor) (программы, разработанные с целью защитить ПД из конкретных стран; имеют экстерриториальный характер).

Соглашение о передаче ПД между юридическими лицами группы МК, как правило, включает в себя следующие основные разделы:

  • список участвующих сторон и определение процесса передачи ПД (например, какая сторона передает и какая сторона получает и обрабатывает ПД);
  • список ПД, которые будут передаваться, и связанные с этой передачей обязанности следовать правилам каждой юрисдикции в отношении сбора, обработки, передачи и хранения ПД;
  • определение предоставляемых услуг между сторонами (цель передачи) и необходимости передачи и обработки ПД;
  • список субподрядчиков по обработке ПД (кому участвующие лица могут делегировать обработку полученных ПД); 
  • механизм добавления новых участников соглашения из той же группы компаний (присоединение).

В данной статье освещены лишь некоторые аспекты работы с ПД в рамках международных проектов. В любом случае интерес к сфере регулирования ПД со стороны регуляторов только растет, поэтому юристы и специалисты по работе с ПД в МК должны периодически проверять актуальность принятых мер.

Рассказать:
Другие мнения
Лебедев Илья
Лебедев Илья
Адвокат АП г. Москвы, руководитель уголовной практики юридической группы «ПАРАДИГМА»
«Подводные камни» ограничения срока прекращения уголовного преследования
Уголовное право и процесс
Какие аспекты не учел Конституционный Суд
07 февраля 2023
Саркисов Валерий
Саркисов Валерий
Адвокат АП г. Москвы, АК «Судебный адвокат»
Рассмотрение уголовного дела коллегией судей
Уголовное право и процесс
Состав суда неоправданно забыт защитой
06 февраля 2023
Львов Виктор
Львов Виктор
Адвокат АП Московской области, МКА «Защита»
Приостановление срока давности привлечения к административной ответственности: правомерно ли?
Производство по делам об административных правонарушениях
Суды по-разному подходят к данному вопросу
06 февраля 2023
Баландин Алексей
Баландин Алексей
Адвокат АП Омской области, КА «Межрегион»
«Фальсификация… и наказание»?
Уголовное право и процесс
По мнению защиты, в основу обвинительного приговора положены подложные доказательства
03 февраля 2023
Пирогов Юрий
Пирогов Юрий
Директор по правовым вопросам Группы компаний «СОЛО», г. Москва
Аффидевит: «практика противоречий»
Арбитражный процесс
Суды по-разному оценивают данное средство доказывания, не предусмотренное российским законодательством
03 февраля 2023
Ванюков Сергей
Ванюков Сергей
Адвокат АП Чувашской Республики, группа проекта EVIDENCE SAKHALIN-2018
Истребование прокуратурой документов без решения о проведении проверки недопустимо
Арбитражный процесс
КС сохранил приверженность позиции, изложенной им в 2015 году
02 февраля 2023
Яндекс.Метрика