В современных бизнес-реалиях международные (глобальные) корпорации (далее – МК), присутствующие на рынках нескольких стран или даже континентов, являются основными адресатами национальных законов, регулирующих обращение с персональными данными (далее – ПД). Юридическая и бизнес-структуры таких МК (состоящие, например, из аффилированных юридических лиц, учрежденных в одной или нескольких странах; лиц, входящих в одну группу; или даже лиц, формально не аффилированных, но связанных долгосрочными соглашениями в рамках определенных бизнес-процессов и т.п.) неизбежно влекут необходимость постоянного осуществления взаимной передачи большого количества ПД между участвующими в структуре юридическими лицами.
В частности, такая взаимная передача ПД может быть необходима для:
- внутренних целей поддержания структуры МК (например, оформления деловых поездок сотрудников, оформления перевода сотрудников между юридическими лицами в разных странах, организации центров процессинга для оптимизации процессов компании (общей обработки платежей в рамках региона) и т.п.);
- проведения международных бизнес-операций МК (например, передачи ПД контрагентов, таких как общая контактная информация, информация для перевозок, информация в рамках электронной коммерции и т.п.);
- передачи уполномоченным органам других стран (для целей осуществления таможенного и экспортного контроля, предоставления финансовой отчетности, лицензирования и сертификации, учреждения дочерних компаний и т.п.).
В последние годы национальные законодатели стали фактически придерживаться подхода к ПД как к еще одному виду ценных объектов, которые могут продаваться и покупаться (в различных правовых системах и национальных системах права их теоретическая классификация может быть различной – от имущества и имущественных прав до прав интеллектуальной собственности). Соответственно, для регулирования оборота ПД появляется ряд национальных и межнациональных нормативных правовых актов, которые будут регулировать оборот ПД в ближайшие десятилетия.
В связи с этим особо сложным и требующим неординарного подхода является выполнение противоречащих друг другу требований, например:
1. Общий регламент ЕС о защите ПД (General Data Protection Regulation или сокращенно – GDPR) одобрен Европарламентом 14 апреля 2016 г., вступил в силу 25 мая 2018 г. и является основополагающим и весьма подробным документом, регулирующим оборот ПД граждан стран ЕС.
В частности, GDPR обязывает получать предварительное согласие гражданина страны ЕС для использования его ПД для различных целей (например, для обработки его данных в рамках клиентской базы коммерческой организацией).
Другой не менее интересный документ – Закон Калифорнии о защите информации потребителей (California Consumer Privacy Law, 2018 г.), был принят в 2018 г. и полностью вступит в силу 1 января 2020 г. Это первый в США такого рода закон, остальные штаты работают в данном направлении, принятие ими аналогичных актов ожидается в ближайшие годы. Согласно названному закону потребитель (этот термин использован в максимально широком смысле, то есть включает в себя практически всех жителей Калифорнии) должен получить возможность исключить свои ПД из коммерческого оборота компании. Как GDRP, так и Закон Калифорнии, применяются экстерриториально в отношении соответствующих ПД, то есть любой обработчик ПД граждан ЕС независимо от его местонахождения обязан исполнять GDPR.
Соответственно, МК, собирающая ПД клиентов одновременно в США (что, вероятнее всего, будет включать штат Калифорнию как основной рынок внутри США) и в ЕС, должна предусмотреть два различных подхода к сбору данных, получению согласия и уведомлению владельцев ПД: для граждан ЕС нужно получать предварительное согласие для обработки, а для граждан Калифорнии – предоставить возможность вывести свои ПД из оборота (вероятно, последнее будет существенно сложнее осуществить, так как ПД могут быть уже использованы в различных бизнес-процессах, и придется предоставлять владельцу возможность исключить такие ПД из каждого из них).
2. Еще один пример – работа в юрисдикциях, требующих локализации всех или части ПД в пределах их территориальных границ (например, Россия или Китай (Закон о кибербезопасности Китая – China Cyber Security Law, 2017 г.). МК может столкнуться с трудностями при обработке ПД в третьей стране (например, для передачи ПД в общий дата-центр компании в целях обработки HR-документов или платежей). Для этого МК должна проанализировать, какие данные необходимы для обработки, ограничить передачу данных только набором необходимых данных, не передавать данные, ограниченные в передаче, и выполнять требования о локализации.
Для соблюдения законодательных требований МК должны внедрять в рамках своей структуры определенные практики, чтобы их дочерние юридические лица, учрежденные в различных юрисдикциях, могли эффективно соблюдать требования обработки ПД всех стран, где работает МК.
1. Универсальным решением является принятие МК общей политики по работе с персональными данными. Такая политика должна продолжать (и разъяснять) положения основной внутренней политики организации (как, например, Кодекса делового поведения и пр.). Данная внутренняя политика может взять в качестве общей основы общепризнанные основные принципы работы с ПД, разработанные независимой ассоциацией/международной организацией (типовые положения).
Наиболее часто встречающиеся примеры таких типовых документов:
- Общепринятые принципы обращения с ПД (Generally accepted privacy principles or GAPP). GAPP разработаны путем совместных консультаций Канадского института дипломированных бухгалтеров и Американского института сертифицированных публичных бухгалтеров;
- Принципы обращения с ПД Организации экономического сотрудничества и развития (Organization of economic cooperation and development or OECD);
- Принципы обращения с ПД Азиатско-Тихоокеанского экономического сотрудничества (Asia-Pacific Economic Cooperation or APEC).
Структура типовых положений обычно включает следующие разделы (на примере GAPP): порядок оборота, уведомление об использовании, получения согласия, порядок сбора, использование и хранение, доступ к ПД, раскрытие третьим лицам, защита ПД, качество ПД.
Такая общая политика в силу ее универсальности и недетализированности ее положений всегда будет соответствовать требованиям нормативных правовых актов любого государства, регулирующих оборот ПД. Соответственно, можно порекомендовать российским компаниям, выходящим на международные рынки, принимать такую общую политику на основе типовых положений; это может способствовать успешному взаимодействию с иностранными партнерами, которые будут понимать, что политика компании в области ПД основана на общепризнанных и понятных им стандартах.
2. Еще один общепринятый подход к решению проблемы – внедрение локальных политик в отдельных компаниях группы МК. Этот процесс может включать в себя следующие этапы:
- принятие обязательной локальной политики по ПД, отвечающей специальным требованиям соответствующей юрисдикции (например, в России – требование о назначении конкретного лица, ответственного за соблюдение политики/обработку ПД);
- принятие локальной политики по ПД по усмотрению – даже когда местное законодательство специально не требует наличия такой политики (в том числе для того, чтобы положения глобальной политики МК стали обязательными для выполнения в конкретном юридическом лице, были переведены на местный язык и пр.);
- предъявление к локальным поставщикам и контрагентам требований соответствовать основным положениям по защите ПД, принятым головной компанией/соблюдать политику локальной компании.
3. Во многих случаях принятие политик в компаниях группы МК недостаточно, поэтому необходимы точечные решения, например:
- соглашения между отдельными компаниями группы (на основе (или путем отсылки к) стандартных(м) форм(ам) (стандартных контрактных положений, одобренных Еврокомиссией, для выполнения требований GDPR)). Например, соглашение между юрлицом ЕС и юрлицом, учрежденным за пределами ЕС, принадлежащими к одной группе компаний, для передачи ПД по конкретным проектам. Целью такого соглашения может быть введение меры защиты ПД получающей стороной, ограничение раскрытия и пр.;
- «Щит ПД» (privacy shield) (меры, принимаемые одним юрлицом в одной юрисдикции для защиты ПД, полученных из другой юрисдикции; юрлицо должно быть сертифицировано для допуска к ПД; носят экстерриториальный характер);
- Программы «Безопасная гавань» (safe harbor) (программы, разработанные с целью защитить ПД из конкретных стран; имеют экстерриториальный характер).
Соглашение о передаче ПД между юридическими лицами группы МК, как правило, включает в себя следующие основные разделы:
- список участвующих сторон и определение процесса передачи ПД (например, какая сторона передает и какая сторона получает и обрабатывает ПД);
- список ПД, которые будут передаваться, и связанные с этой передачей обязанности следовать правилам каждой юрисдикции в отношении сбора, обработки, передачи и хранения ПД;
- определение предоставляемых услуг между сторонами (цель передачи) и необходимости передачи и обработки ПД;
- список субподрядчиков по обработке ПД (кому участвующие лица могут делегировать обработку полученных ПД);
- механизм добавления новых участников соглашения из той же группы компаний (присоединение).
В данной статье освещены лишь некоторые аспекты работы с ПД в рамках международных проектов. В любом случае интерес к сфере регулирования ПД со стороны регуляторов только растет, поэтому юристы и специалисты по работе с ПД в МК должны периодически проверять актуальность принятых мер.
