Карточки
10 мая 2018, 17:31

Кого коснется европейский закон о персональных данных?

С 25 мая в силу вступают новые правила General Data Protection Regulation (GDPR) в Евросоюзе. Крупнейшие корпорации (Facebook, Twitter и другие) уже обновили пользовательские соглашения. Однако эксперты отмечают: закон коснется и российского бизнеса. Эксперты рассказывают о потенциальных санкциях и рисках.
1
Что такое GDPR?

Регламент был принят в 2016 году вместо устаревшего  Data Protection Directive от 1995 года. Документ унифицирует защиту персональных данных в Евросоюзе, то есть он имеет прямое действие в 28 странах. 

Регламент требует от организаций хранения персональных данных в обезличенном и зашифрованном виде. При этом должна обеспечиваться защита таких данных, а передача информации третьим лицам запрещена. О любых утечках операторы обязаны уведомлять регулирующие органы в течение 72 часов. Само уведомление о правилах обработки такой информации должно передаваться пользователям "в понятном и доступном виде". Обработка персональных данных разрешена только после четкого утвердительного акта в письменной или устной форме.

2
Что изменится с 25 мая?
С весны 2018 года вместо документа 1995 года, который имел рамочный характер, начнет действовать GDPR. 
Основное обновление – экстерриториальность регламента, то есть его действие распространяется на все компании, работающие с персональными данными граждан ЕС, вне зависимости от местонахождения компании. Требования особенно подчеркивают права субъектов персональных данных – условия пользовательских соглашений должны быть максимально понятными, а сами граждане ЕС имеют право требовать прекращения использования своих данных. При этом, если у пользователя не было альтернативы на несогласие на обработку информации, то соглашение считается недействительным. Прописано также согласие для детей: в возрасте до 13 или 16 лет (устанавливается странами ЕС) подобную авторизацию должны пройти родители или опекуны. В уже существующей директиве, как и в российском законодательстве, существует право на забвение, оно сохранится и с майскими изменениями.
При этом операторы наделяются новыми обязанностями и ответственностью, а санкции за нарушения значительно ужесточаются.

Например, регламент будет распространяться на российские компании, осуществляющие пассажирские перевозки, если к их услугам прибегнут граждане Евросоюза. Компании обязаны будут составить соответствующую пользовательскую форму и получить соглашение гражданина. Не менее важно, что организация должна обеспечить сохранность таких данных и удалить их в случае запроса субъекта.
3
Кому необходимо выполнять регламент?

Как отмечает Дмитрий Зыков, руководитель группы правовой защиты информации "Пепеляев Групп", ситуация с распространением регламента на российские компании остается неоднозначной. "Уже сейчас мы сталкиваемся с ситуациями, когда иностранные компании, присутствующие в России, начинают требовать соблюдения Регламента от российских партнеров не потому, что это прямо предусмотрено законодательством, а потому – что им так комфортнее", – комментирует он. Зыков подчеркивает, что новые требования коснутся деятельности филиалов и представительств российских компаний, расположенных в странах Евросоюза. Компании, которым интересна реализация их товаров и услуг напрямую частным лицам на территории Евросоюза, но которые не имеют там физического присутствия, также должны считаться с документом. 

"Независимо от индустрии, в случае какой-либо связи с европейскими юрисдикциями желательно своевременно выявить триггеры потенциального применения GDPR и оценить соответствующие риски. Получение и обработка персональных данных граждан ЕС сами по себе не влекут применения GDPR к российской компании. Поэтому возможно избежать выполнения GDPR, частично изменив бизнес-процессы, или же просто ограничить применимость GDPR отдельными процессами компании", – подчеркивает Артем Дмитриев, старший юрист практики по оказанию услуг в области интеллектуальной собственности и информационных технологий PwC Legal.

4
Как будут наказывать нарушителей?

Предельные размеры штрафа впечатляют, констатирует Зыков: санкции могут достигать €20 млн или до 4% годового оборота, в зависимости от того, какая сумма больше. "Наравне с такими средствами воздействия на операторов и обработчиков, как ограничение либо запрет обработки персональных данных, надзорные органы вправе налагать штрафы, размер которых должен определяться с учетом эффективности, пропорциональности, сдерживающего эффекта", – подчеркивает Зыков.

Дмитриев также добавляет, что ограничения по передаче данных третьим лицам европейским регулятором могут привести к существенному ограничению взаимодействия с партнерами из Евросоюза для российских компаний.

5
Подводные камни

Как отмечает Дмитриев, "нерешённым остаётся и вопрос о соотношении требований GDPR и норм российского законодательства о хранении и предоставлении информации, введённых "законом Яровой". "Формальным поводом для применения GDPR к российским компаниям может стать даже использование ими общегрупповой электронной системы или приложения, в котором хранятся персональные данные лиц, находящихся в ЕС", – отмечает Дмитриев. 

Первые отчеты по работе нового регламента запланированы на 25 мая 2020 года, в частности, в нем будет оценена передача персональных данных жителей Евросоюза другим странам. Тогда же закон может быть пересмотрен, "с учетом развития информационных технологий и с учетом состояния прогресса в области информации".

Полный текст General Data Protection Regulation (GDPR) доступен по ссылке.