25 мая 2018 года в Европейском Союзе вступает в силу Общий регламент по защите данных* (General Data Protection Regulation) (далее – «GDPR» или «Регламент»). Хотя GDPR в основном применяется на территории ЕС и в отношении европейских компаний за пределами ЕС, он также охватывает неевропейских операторов и обработчиков персональных данных, чья деятельность нацелена на европейских граждан. Если российская компания осуществляет такую деятельность, то ей еще до вступления GDPR в силу следует определиться, необходимо ли ей соблюдать положения Регламента.

О чем говорится в GDPR

Согласно GDPR, операторы и обработчики персональных данных, учрежденные за пределами ЕС, обязаны соблюдать Регламент, если они: (i) предлагают товары или услуги физическим лицам в ЕС; или (ii) отслеживают поведение физических лиц в ЕС.

Преамбула GDPR проливает некоторый свет на то, что следует считать “предложением товаров и услуг”. Такая деятельность должна явно касаться лиц, проживающих в ЕС, в частности, при использовании веб-сайтов на языке(-ах), используемом(-ых) в странах ЕС, при обработке платежей в валютах ЕС. При этом само по себе наличие английской версии у веб-сайта не должно рассматриваться в качестве признака ориентированности на ЕС.

Отслеживание поведения означает, что операторы или обработчики данных используют методы, нацеленные на определение профиля физических лиц с точки зрения их “личных предпочтений, моделей поведения и взглядов”. Можно предположить, что использование файлов cookie и отслеживание IP-адресов будет являться одним из оснований для экстерриториального применения GDPR.

В целом, Регламент вводит комплекс обязанностей, подлежащих соблюдению операторами и обработчиками данных, при этом их исполнение может подразумевать применение обширных юридических, организационных и технических мер. Несоблюдение определенных обязанностей, предусмотренных GDPR, может привести к наложению значительных штрафов в размере до 10 млн. евро (или 2% от совокупного мирового годового оборота) или 20 млн. евро (или 4% от совокупного мирового годового оборота) в зависимости от вида нарушения.

При наступлении любого из вышеуказанных случаев, оператор или обработчик данных должен назначить представителя в ЕС, за исключением следующих случаев: (i) обработка носит нерегулярный характер; (ii) обработка не включает в себя значительные объемы специальных категорий данных или данных о судимостях и преступлениях; или  (iii) обработка, скорее всего, не подвергнет риску права и свободы физических лиц, учитывая характер, контекст, объем и цели такой обработки.

Правоприменение

В случае применения GDPR к неевропейскому оператору, возникает вопрос о возможности и эффективности принудительного исполнения. Регламент наделяет органы надзора ЕС достаточно широкими полномочиями, начиная с вынесения предупреждений и уведомление о нарушении и заканчивая распоряжениями о приостановлении передачи данных третьим лицам и запретами на обработку. Однако неясно, каким образом европейские органы власти по защите данных будут приводить положения GDPR в исполнение на территории других государств, в том числе России, учитывая, что признание в России распоряжений и/или решений органов власти ЕС весьма маловероятно.

В случае назначения представителя, GDPR прямо разрешает принятие мер в отношении такого представителя за нарушения, допущенные оператором или обработчиком данных. Нельзя исключать, что надзорные органы ЕС будут считать европейские или иные зарубежные дочерние компании российских компаний их представителями на территории ЕС, даже если они не наделены полномочиями выступать в этом качестве.

Теоретически, надзорные органы ЕС могут блокировать веб-сайты, через которые операторы или обработчики осуществляют обработку данных с нарушением европейского законодательства.

Что дальше?

Очевидно, что остаются вопросы правомерности применения GDPR к российским операторам и возможности принудительного исполнения в отношении последних. При этом российским компаниям, осуществляющим обработку данных в отношении европейских граждан в большом масштабе, в особенности, имеющим свои дочерние компании в ЕС, следует рассмотреть вступающие в силу требования GDPR и принять решение о том, необходимо ли соблюдение Регламента с юридической, коммерческой и репутационной точек зрения.

Новое регулирование может стать серьезной проблемой, в частности, для ИТ-компаний, поставщиков ПО и иных компаний, предлагающих товары и услуги на территории всего мира. Аналогичным образом, маркетинговые агентства, а также операторы платформ электронной торговли, отслеживающие поведение пользователей, могут также быть затронуты новым Регламентом.

* На английском языке