Регламент GDPR действует во всех обрабатывающих персональные данные резидентов и граждан ЕС организациях, независимо от территориального расположения. Май 2018 года известен тем, что Европа приняла новые правила обработки персональных данных, где усилилась ответственность за их нарушение. За невыполнение — грозит штраф от 2 до 4 % от годового оборота компании. Практика применения данного регламента вызывает много вопросов у российских компаний, которые работают с персональными данными.
Введение
С одной стороны, действие требований GDPR распространяется на организации, которые работают с жителями Европы. С другой — никто не может гарантировать, что пользователь вашего продукта не имеет двойного гражданства или не является туристом из стран ЕС. По этой причине каждой компании важно знать, как применять и интерпретировать разделы данного положения. Давайте разберём эти нюансы подробнее.
General Data Protection Regulation (GDPR) — общий регламент о защите персональных данных, требования которого обязательны для организаций предоставляющих сервис, товары или услуги потребителям из Европейского союза. При этом неважно, где зарегистрирована компания — в ЕС или за его пределами, например на территории Российской Федерации.
До вступления в силу GDPR на протяжении более чем 20 лет в области защиты персональных данных действовала Директива 95/46/EC. Данную директиву пришлось заменить, так как она «морально износилась», как выражаются эксперты. За 20 лет технологии сильно развились, и Директива утратила актуальность, так как её разрабатывали для ограниченных вычислительных операций, которые легко прослеживались и идентифицировались. Также Директива была неприменима в сферах трансграничной передачи данных и уведомительного характера их обработки.
Подробно о GDPR: общие положения и анализ ситуаций
Международный рынок не был готов ко вступлению GDPR в силу: в исследовании компании SAS всего 46 % респондентов выразили уверенность, что к 25 мая 2018 года они будут соответствовать требованиям нового на тот момент регламента. Несмотря на то что в первые месяцы после введения GDPR регуляторы не торопились штрафовать компании за несоблюдение безопасности персональных данных, уже в сентябре 2018 года стало известно о первом штрафе в адрес одной из португальских больниц на сумму 400 тыс. евро за то, что в системе хранения медицинских записей обнаружилась уязвимость, которая позволяла получить доступ к данным пациентов с помощью фальшивых профилей сотрудников. В системе обнаружили 985 зарегистрированных аккаунтов, хотя в больнице работали всего 296 врачей. Начало 2021 года также было отмечено штрафом в размере 10,4 млн евро за нарушения при использовании систем видеонаблюдения.
Значительные штрафы и контроль заставили большинство компаний внедрить недостающие процедуры защиты персональных данных.
Можно сделать вывод, что GDPR в целом повысил уровень доверия клиентов ценой усложнения ведения бизнеса (и, соответственно, усложнил ведение бизнеса ценой повышения уровня доверия его клиентов).
Несмотря на то что регламент действует уже три года, одним из актуальных вопросов по-прежнему остаётся подпадение деятельности компаний под требования GDPR. Ниже представлены выдержка из статьи 3 главы 1 GDPR и её последующий разбор.
Статья 3. Территориальная сфера действия
1. Данное положение применяется к обработке персональных данных в контексте деятельности учреждения контролёра или обработчика в Союзе независимо от того, где происходит обработка — в Союзе или нет.
2. Настоящее положение распространяется на обработку персональных данных находящихся в Союзе субъектов данных контролёром или обработчиком вне Союза, где деятельность по обработке связана с:
a) предложением товаров и услуг субъектам данных в Союзе независимо от того, требуется ли от них оплата или нет, или
b) наблюдением (мониторингом) за их поведением в рамках Союза.
3. Это положение применяется к обработке персональных данных контролёром вне Союза, но в месте, где согласно международному публичному праву действует законодательство государства — члена Союза.
Контролёр — это тот, кто определяет средства и цели обработки персональных данных, а обработчик (или процессор) — тот, кто обрабатывает эти данные, например облачный сервис, хостинг, оператор аналитики.
Ниже разобраны конкретные ситуации, на примере которых была определена обязанность соблюдать регламент.
- Российский производитель бытовой техники указывает на сайте, что продукцию компании можно отремонтировать в сервисных центрах в России и Латвии; перечислены их контактные данные. Подпадает ли данный процесс под действие GDPR?
Ответ: Подпадает. В условии не сказано, что у производителя техники есть учреждение в ЕС; тем не менее возможность отремонтировать технику в Латвии говорит о направленности на субъектов из ЕС. Таким образом, выполнены условия п. «а» ч. 2 ст. 3 GDPR.
- Люксембургская фармацевтическая компания открыла в России юридическое лицо, которое проводит сбор информации о больных коронавирусом по заданию из Люксембурга. Сбор информации о больных осуществляется для проверки эффективности лекарств. Подпадает ли данный процесс под действие GDPR?
Ответ: Подпадает — в контексте деятельности люксембургской компании (ч. 1 ст. 3 гл. 1 GDPR).
- Российское маркетинговое агентство имеет договор с итальянской компанией, по которому осуществляет рассылки по электронной почте клиентам этой компании. Подпадает ли такая обработка под действие GDPR?
Ответ: Подпадает. Компания является обработчиком (процессором) по отношению к итальянской компании, и GDPR к ней применим только как к обработчику. При этом работа с европейскими компаниями не является направленностью на сбор и обработку данных европейцев.
- Российская компания выпустила мобильное приложение. Страница описания приложения представлена на русском языке, политика конфиденциальности — на английском (требования App Store и Google Play). При регистрации приложение просит указать страну, а потом — номер мобильного телефона, используемый в этой стране. Подпадает ли данный процесс под действие GDPR?
Ответ: Подпадает, так как выбор страны в ЕС может являться подтверждением направленности на работу с гражданами ЕС, а значит, и обработки их персональных данных (ч. 2 ст. 3 гл. 1 GDPR).
- Российский стартап, разработавший онлайн-систему обучения клиентов, имеет версии сайта на английском и русском языках. Оплата использования онлайн-системы может производиться в рублях, долларах и евро. Подпадает ли данный процесс под действие GDPR?
Ответ: Не подпадает, так как расплачиваться в евро (а также держать деньги на валютных счетах и картах российских банков) могут и граждане России. Английский язык, на котором оформлен вариант сайта, является международным.
- Российское юридическое лицо международной группы компаний имеет доступ к корпоративной социальной сети, где видны персональные данные всех сотрудников группы компаний по всему миру. Данные используются только сотрудниками для общения с коллегами из других стран. Подпадает ли данный процесс под действие GDPR?
Ответ: Подпадает, так как российское юридическое лицо является дочерней компанией (ч. 1 ст. 3 гл. 1 GDPR). Пример — дело Гонсалеса против Google Spain.
В 2010 г. г-н Гонсалес подал в испанское агентство по защите персональных данных (AEPD) жалобу на Google Inc., Google Spain и издательский дом La Vanguardia Ediciones SL. Суть жалобы заключалась в том, что по запросу его имени в Google поисковик выдавал ссылку на две страницы каталонской газеты La Vanguardia, датируемые 1998 г. и содержавшие информацию о том, что его дом арестован за долги. Гонсалес требовал удалить или скрыть относящиеся к нему персональные данные таким образом, чтобы они больше не появлялись в результатах поиска. Получив требование прекратить индексацию указанных страниц, Google подал иск о его незаконности в Верховный суд Испании. Далее испанским судом данное разбирательство было передано в Европейский суд, который обязал Google устранить связь между сайтом газеты La Vanguardia и именем Гонсалеса, закреплённую в системе поиска, несмотря на то что в 1998 году заметка была размещена на странице издания без нарушения закона.
Исходя из этого примера видно, что у Google Inc. есть учреждение в Союзе — Google Spain, что удовлетворяет условиям ч. 1. ст. 3 GDPR.
- Страховая компания из России выдаёт туристические страховки. Некоторые клиенты звонят им в российский контакт-центр из Европы, чтобы получить помощь по страховому случаю. Они передают также фотографии разных рецептов, протоколов ДТП и т. д. Подпадает ли данный процесс под действие GDPR?
Ответ: Не подпадает. Нет точной направленности на страны и граждан ЕС. Туристические страховки подходят для всех стран (в условии также не сказано, что данная страховка выдаётся только гражданам ЕС).
Европейский регламент сильно влияет на политику защиты персональных данных в других странах. Например, власти США на первое место ставят вопросы борьбы с терроризмом и киберпреступностью, а не защиту персональных данных. Вашингтон считает GDPR одной из главных «дипломатических проблем», а также полагает, что европейский регламент может работать в пользу террористов, онлайн-мошенников и других киберпреступников. На текущий момент вся эта ситуация не разрешилась, но очевидно, что урегулировать спор позволит создание специального нового механизма в области защиты персональных данных. Несмотря на позицию США в данном вопросе, в Европе следует ожидать усиления контроля за обработкой персональных данных.
Выводы
На данный момент GDPR накрывает всю область персональных сведений, тем самым обеспечивая их защиту, так же как и права субъектов данных. С развитием технологий и изданием новых законов GDPR может меняться в ту или иную сторону.
Даже если российская компания не подпадает под действие GDPR, в этом случае всё равно стоит ожидать стремления регулятора в области обработки и защиты персональных данных гармонизировать отечественное законодательство с европейским, что повлечёт за собой увеличение нагрузки на службу информационной безопасности — тем более в свете уже внесённых в российский федеральный закон № 152 «О персональных данных» поправок (сценарий реализации которых на практике для бизнеса пока неочевиден), наделяющих субъекта дополнительными возможностями в части запроса прекращения обработки своих данных.
Авторы:
Наталья Иванова, консультант по информационной безопасности Cross Technologies
Елизавета Тутова, руководитель группы консалтинга Cross Technologies
