Как повлияет новый европейский регламент по защите данных на российские компании
25 мая 2016 года вступил в силу новый Общий регламент по защите данных (General Data Protection Regulation), принятый Европейским парламентом по итогам почти трехлетних дискуссий. Применение этого документа не ограничивается территорией Европейского союза, а его положения будут иметь последствия в том числе и для российских организаций. Роман Бузько, партнер адвокатского бюро «Бузько и партнеры», рассказал vc.ru об основных положениях нового регламента.
Новый регламент распространяется в том числе на российские организации, которые работают на европейском рынке. Он содержит серьезные новые и дополнительные требования - за их несоблюдение предусмотрены большие штрафы.
Российским организациям стоит выяснить, подпадают ли они под регулирование, и принять соответствующие меры: отказать от европейского рынка либо соблюдать требования. Время есть - положения о штрафах вступают в силу в 2018 году.
На кого распространяется регламент
Регламент распространяется на три категории субъектов:
- Организации, учрежденные в Европейском союзе и осуществляющим «обработку» персональных данных или контролирующим такую обработку.
- Иные организации, осуществляющие мониторинг поведения европейских граждан. Под таким мониторингом предлагается понимать «отслеживание» поведения субъектов персональных данных в сети интернете - включая последующую их обработку для составления «профилей» пользователей.
Как видно, регламент применяется не только к организациям, которые учреждены на территории ЕС, но и к другим организациям, которые непосредственно работают на европейском рынке. К наиболее вероятным «жертвам» среди российских организаций можно отнести интернет-сервисы, предлагающие услуги на различных языках и принимающие в качестве оплаты евро, и дата-центры, расположенные на территории России и хранящие персональные данные европейцев.
Отдельные правила регламента
Ниже представлены основные положения, которые могут оказаться неожиданными для российских организаций.
- Назначение представителя в ЕС. По общему правилу, когда организация не находится на территории ЕС, но подпадает под действие регламента, такая организация должна назначить своего представителя на территории ЕС.
- Изменились условия получения согласия на обработку персональных данных. Во-первых, субъекты персональных данных отныне всегда должны иметь техническую возможность отозвать свое согласие. Во-вторых, отдельное согласие должно быть дано в отношении каждой отдельной цели обработки такой информации. Общие ('omnibus') согласия презюмируются недействительными.
- Согласие детей. Регламент содержит совершенно новые правила для получения согласия детей на обработку их персональных данных. Согласие детей до 16 лет должно быть сопровождено согласием их родителей.
- Уведомление о взломе или компрометации персональных данных. Еще одно новое требование. Отныне организации обязаны уведомлять регулятора, а в отдельных случаях - самих пользователей, об имевших место случаях взлома или компрометации персональных данных. Такое уведомление должно быть сделано без промедлений, но в любом случае не позднее 72 часов с того момента, как организации стало известно о взломе.
- Обязательства по управлению персональных данных. Регламент предусматривает целый ряд обязательств организационного характера в отношении управления личной информацией: оценка воздействия на личность высокорискованных методик по обработке персональных данных (Privacy Impact Assessments), назначение ответственного лица (Data Protection Officer), бдительность при выборе субподрядчиков, участвующих в обработке, и учет всех действий по обработке персональных данных.
Этим новшества не исчерпываются, но это, пожалуй, самые важные изменения.
Штрафы
Предусматривается две категории штрафов в зависимости от состава нарушения:
- 20 млн евро или 4% от глобального оборота (большее из указанного) за нарушение основных принципов, прав субъектов персональных данных, положений об их международной передаче и некоторые другие нарушения.
- 10 млн евро или 2% от глобального оборота (большее из указанного) за нарушения следующих обязательств: получение согласия на обработку персональных данных детей, принятие технических и организационных мер для их защиты, назначение представителя в ЕС, уведомление о взломах или компрометации и целый ряд других обязательств.
Рекомендации
Российским организациям стоит оценить возможность применения положений регламента к их деятельности. При этом стоит обратить внимание на наличие среди своих клиентов европейских граждан. Также стоит быть внимательным тем организациям, которые осуществляют мониторинг поведения европейских граждан.
Если регламент применяется, российская организация должна позаботиться либо об ограничении своей деятельности на территории ЕС во избежание применения закона, либо о принятии соответствующих мер по соблюдению его требований.
У организаций, решивших принять меры по соблюдению положений регламента, есть два года (до 25 мая 2018 года), когда положения о санкциях вступят в силу.