МОСКВА, 21 мая — РАПСИ. Общий регламент по защите данных (General Data Protection Regulation или GDPR) Европейского Парламента и Совета Европейского Союза (ЕС) вступает в силу 25 мая. Документ предусматривает более строгие требования к сбору, обработке и хранению персональных данных лиц, находящихся на территории ЕС.
Современный бизнес независимо от своих масштабов в связи со всеобщей диджитализацией почти всегда предполагает трансграничный характер, и закономерно возникает вопрос о том, как вступление в силу GDPR отразится на бизнесе в РФ. Данная тема особенно актуальна в связи с тем, что новый регламент предусматривает внушительные штрафы за несоблюдение требований — до 20 миллионов евро или 4% от глобального оборота.
Эксперт, старший менеджер PwC Legal Артем Дмитриев рассказал РАПСИ о том, каковы основные требования GDPR, и при каких условиях компании из России должны ориентироваться на требования нового европейского регламента в своей деятельности.
Особенности GDPR
Несмотря на определенную гармонизацию российских норм в сфере защиты персональных данных с европейскими стандартами, требования GDPR во многом являются новыми для российской практики, считает Дмитриев. Эксперт PwC Legal выделил несколько положений GDPR, которые отражают специфику новых норм регламента в сравнении с российскими требованиями к деятельности, связанной с обработкой персональных данных.
Регламент ЕС предусматривает иной подход к реализации права субъекта персональных данных на доступ к своим данным. По российскому законодательству субъектам предоставлено право ознакомиться с обрабатываемыми персональными данными. В GDPR право субъекта на доступ к его персональным данным принципиально шире. Так, субъект может потребовать от контролера (лица, определяющего цели и способы обработки персональных данных, например, банка) предоставить ему копию данных либо передать их в структурированном виде в электронной форме другому контролеру.
Согласно положениям нового европейского регламента в случае, если обработка персональных данных осуществляется компанией не через постоянно действующую структуру в ЕС, то необходимо назначить представителя в ЕС. Это позволит европейским регуляторам эффективно взаимодействовать с компанией, а также привлекать к ответственности такого представителя за нарушения компанией требований GDPR.
Два новых системных принципа регламента — data protection by default и data protection by design — устанавливают требования к обработке персональных данных. Первый принцип обязывает контролеров знать, в каких процессах и IT-системах обрабатываются персональные данные, в каком объеме, с какой целью и как долго. Регулятор в ЕС имеет право оценивать заявленные объемы и сроки. Второй принцип обязывает компании продумывать механизмы защиты информации на этапе планирования процедур обработки данных. Если внедряется новая система или процесс, рабочая группа должна оценить, отвечает ли это изменение требованиям GDPR. Организация обработки персональных данных изначально должна учитывать требования GDPR, в том числе возможные способы управления доступом к данным, реализацию права на забвение или права на перенос данных.
Требования к получению согласия на обработку персональных данных весьма обширны, например, субъект персональных данных должен иметь возможность отозвать согласие также легко, как оно было предоставлено. Кроме того, субъект персональных данных должен быть проинформирован о своих правах доступным языком.
GDPR устанавливает обязанность контролёра уведомлять регулятора и субъекта персональных данных об инцидентах с персональными данными (неправомерное уничтожение, утрата, доступ, раскрытие или изменение). На уведомление регулятора дается 72 часа, сообщение должно содержать описание инцидента и затронутых данных, предпринятых и планируемых действий по устранению последствий.
Условия применения требований GDPR в России
Как пояснил Дмитриев, российская компания должна соблюдать требования GDPR, если она обрабатывает персональные данные лиц, находящихся на территории ЕС вне зависимости от их гражданства или резидентства. Однако сам по себе факт обработки персональных данных лиц из ЕС автоматически не означает применимость GDPR к компании в России. Анализировать нужно не наличие персональных данных в системах, приложениях и базах данных компании, а бизнес-процессы, в рамках которых такие данные могут появиться у компании, на соответствие следующим критериям. Деятельность в ЕС осуществляется через постоянную структуру на территории ЕС (это могут быть аффилированные компании или обособленные подразделения, агенты или контрагенты компании). Деятельность компании, включая предложение товаров или услуг, мониторинг активности физических лиц, направлена на лиц, находящихся в ЕС. Российская компания является совместным контролером с организацией в ЕС: оба лица совместно определяют цели и способы обработки персональных данных.
«Хотя GDPR вступает в силу 25 мая, в части экстерриториального применения GDPR к бизнесу за пределами ЕС остается много так называемых «серых зон», — отметил эксперт PwC Legal.
Штрафы и санкции
Невыполнение требований GDPR влечет риск наложения штрафов в размере до 20 миллионов евро или 4% от глобального годового оборота за весь предыдущий финансовый год (в зависимости от того, какая сумма больше), которые могут быть взысканы независимо от страны инкорпорации, напоминает эксперт. Как пояснил Дмитриев, штраф может быть взыскан за счет активов компаний в странах Евросоюза, и потенциально взыскание штрафа возможно за счет дебиторской задолженности компании в ЕС. Помимо штрафов, регулятор в ЕС может запретить другим компаниям передачу персональных данных организации, нарушившей требования GDPR. Данная мера существенно ограничит возможности взаимодействия с партнерами в ЕС, так как нарушение запрета грозит указанными ранее штрафами компании, которая передает данные нарушителю GDPR. Среди прочих мер обсуждается и возможность блокировать для пользователей из ЕС интернет-ресурсы компаний, нарушающих требования GDPR, добавил эксперт.
Двойное регулирование?
Эксперт также затронул часто обсуждаемую проблему необходимости российских компаний соответствовать двум стандартам защиты данных и вести двойной «учет».
На практике компании, которые подпадают под действие GDPR, приводят бизнес-процессы в соответствие с положениями регламента ЕС и нормами российского права, при этом в каждом случае выбирая стандарт, устанавливающий более высокие требования к защите персональных данных. При этом компании либо внедряют такой подход в отношении всех своих процессов (клиентские сервисы, внутренние процессы), либо только в части процессов, которые обязательно должны соответствовать GDPR, если есть возможность разделить процессы на две группы.
В ряде случаев российское регулирование предъявляет более жесткие и формальные требования к обработке персональных данных, подчеркнул Дмитриев. Это проявляется, например, когда речь идет об оформлении поручений на обработку персональных данных, защите персональных данных умерших лиц, требованиях к письменным согласиям на обработку персональных данных.
«Поэтому недостаточно просто внедрить в России политики из европейских компаний группы, они должны быть «локализованы» с учетом российского регулирования. Для бизнеса, безусловно, важно, чтобы российское регулирование было максимально гармонизировано с регулированием в ЕС как важным экономическим партнером РФ. Справедливости ради стоит отметить, что некоторые компании рассматривают применение GDPR как свое конкурентное преимущество и внедряют его независимо от экстерриториальной применимости требований европейского регламента к ним», — заключил эксперт PwC Legal.
Старший менеджер PwC Legal Дмитриев ранее принял участие в дискуссионной сессии «Защита персональных данных: благо или бремя для субъекта? Опыт и регулирование в России и Европейском союзе (GDPR)», которая состоялась на VIII Петербургском международном юридическом форуме (ПМЮФ, Legal Forum, LF).