Новый европейский регламент по защите данных – последствия для российских организаций

25 мая 2016 года по итогам длительных обсуждений Европейский парламент принял новый Общий регламент по защите данных (General Data Protection Regulation) (далее –  Регламент). Применение этого документа не ограничивается территорией Европейского союза (далее – ЕС), а его положения будут иметь последствия в том числе и для российских организаций.

На кого распространяется Регламент

Регламент распространяется на три категории субъектов:

  • Организации, учрежденные в ЕС. Регламент применяется к организациям, учрежденным в ЕС и осуществляющим обработку персональных данных (далее – ПД) или контролирующим такую обработку «в контексте своей деятельности» в ЕС, вне зависимости от того, где именно осуществляется такая обработка.
  • Иные организации, осуществляющие обработку ПД европейских граждан в связи с реализацией товаров или услуг. В комментариях к Регламенту разъяснено, что пассивный доступ к сайту или контактным данным организации недостаточен. Необходимо, чтобы организация прямо «предусматривала» возможность реализации товаров или услуг европейским гражданам. Например, путем использования языка соответствующей страны ЕС, в том числе при оформлении заказа, прямого упоминания европейских граждан на сайте или путем принятия платежей в соответствующей валюте.
  • Иные организации, осуществляющие мониторинг поведения европейских граждан. Под таким мониторингом предлагается понимать «отслеживание» поведения субъектов ПД в сети Интернет, включая последующую обработку ПД для составления профилей, в особенности для целей принятия решений в отношении таких субъектов или анализа и предсказывания их поведения и предпочтений.

Как видно, Регламент применяется не только к организациям, которые учреждены на территории ЕС, но и к другим организациям, которые непосредственно работают на европейском рынке. К наиболее вероятным «жертвам» среди российских организаций отнесятся онлайн-сервисы, предлагающие услуги на различных языках и принимающие в качестве оплаты евро, а также дата-центры, расположенные на территории России и хранящие ПД европейцев.

Отдельные правила Регламента

Отдельные правила нового Регламенты оказались совершенно новыми, другие же были дополнены и уточнены по сравнению с существовавшей до этого Директивой о защите данных от 1995 года. Ниже представлены основные положения, которые могут оказаться неожиданными для российских организаций.

  • Назначение представителя в ЕС. По общему правилу, когда организация не находится на территории ЕС, но подпадает под действие Регламента, такая организация должна назначить своего представителя на территории ЕС. Такой представитель должен иметь прямой мандат действовать от имени организации и представлять ее интересы во взаимодействии с местными регуляторами.
  • Согласие на обработку ПД. Изменились условия получения согласия на обработку ПД. Во-первых, субъекты ПД отныне всегда должны иметь возможность отозвать свое согласие. Во-вторых, отдельное согласие должно быть дано в отношении каждой отдельной цели обработки таких ПД. Общие (‘omnibus) согласия презюмируются недействительными.
  • Согласие детей. Регламент содержит особые правила для получения согласия детей на обработку их ПД. Согласие детей до 16 лет должно быть сопровождено согласием их родителей. Государства-члены ЕС могут снизить этот потолок до 13 лет.
  • Уведомление о взломе / компрометации ПД. Отныне организации обязаны раскрывать информацию об имевших место случаях взлома или компрометации ПД. Организации, контролирующие ПД, должны уведомлять регулятора о таких случаях, а также самих субъектов ПД при определенных условиях. Такое уведомление должно быть сделано без промедлений, но в любом случае не позднее 72 часов с того момента, когда стало известно о взломе.
  • Обязательства по управлению ПД. Регламент предусматривает целый ряд обязательств организационного характера в отношении управления ПД. Так, в зависимости от конкретных обстоятельств, организации должны осуществлять оценку воздействия на личность высокорискованных методик по обработке ПД (Privacy Impact Assessments), назначать ответственное лицо (Data Protection Officer), проявлять бдительность при выборе субподрядчиков, участвующих в обработке ПД, и вести учет всех действий по обработке ПД.
  • Расширенные права субъектов ПД. Регламент уточняет и расширяет права граждан-субъектов ПД. Так, субъекты ПД вправе: (а) получать подтверждение факта обработки ПД; (б) требовать предоставления копии таких ПД; (в) требовать предоставления дополнительной информации (о целях обработки, категориях ПД, получателях, сроках и т.д.); (г) выражать протест против обработки ПД для конкретных целей; (д) требовать полного удаления ПД или временного ограничения использования таких ПД.

Штрафы

Регламент предусматривает максимальные размеры штрафов, в то время как полномочия по определению конкретных сумм штрафов предоставлены национальным органам власти государств-членов ЕС.

Предусматривается две категории штрафов в зависимости от состава нарушения:

  • 20 млн. евро или 4% от глобального оборота (большее из указанного) за нарушение: основных принципов, прав субъектов ПД, положений о международной передаче ПД, приказов национальных регуляторов и некоторых обязательств по национальному законодательству.
  • 10 млн. евро или 2% от глобального оборота (большее из указанного) за нарушения следующих обязательств: получение согласия на обработку ПД детей, принятие технических и организационных мер для защиты ПД, назначение представителя в ЕС – в отношении организаций, находящихся вне территории ЕС, уведомление о взломах/компрометации ПД и целый ряд других обязательств.

В комментариях к Регламенту пояснено, однако, что вместо штрафа может быть сделан выговор (reprimand) в случаях, когда совершенное правонарушение является незначительным, или наложенный штраф будет чрезмерен (несопоставим с нарушением).

Регламент применяется на территории всех государств-членов ЕС

Принятый документ в области защиты персональных данных имеет статус регламента (regulation), в отличие от существовавшей до этого директивы (directive). Принципиальная особенность заключается в том, что регламенты ЕС становятся непосредственно действующими на всей территории государств-членов ЕС с момента их утверждения, в то время как директивы вводятся через национальное законодательство каждого европейского государства. На практике это означает, что одна и та же директива ЕС может быть по-разному введена в государствах-членах ЕС, что создавало дополнительную нагрузку на бизнес. Поэтому принятие новых правил в форме регламента должно способствовать развитию единообразной практики на всей территории ЕС.

Рекомендации

  1. Российским организациям стоит оценить возможность применения положений Регламента к их деятельности. При этом стоит обратить внимание на наличие среди своих клиентов европейских граждан. Также стоит быть внимательным тем организациям, которые осуществляют мониторинг поведения европейских граждан.
  2. Если Регламент применяется, российская организация должна позаботиться либо об ограничении своей деятельности на территории ЕС во избежание применения Регламента, либо о принятии соответствующих мер по соблюдению его требований.
  3. У организаций, решивших принять меры по соблюдению положений Регламента, есть 2 года (до 25 мая 2018 года), когда положения Регламента о санкциях станут исполнимыми принудительно.

контакное лицо