Lex Elementum
Lex Elementum
Lex Elementum
Lex Elementum

GDPR

Генеральный регламент о защите персональных данных (GDPR) был разработан и принят Европейским парламентом и Советом ЕС в апреле 2016 года. Регламент вступает в силу 25 мая 2018 года после двухлетнего переходного периода. Документ дает право и инструменты гражданам 28 стран ЕС для полного контроля над своими персональными данными. Казалось бы, при чем здесь Россия, которая не только не входит в ЕС, но и имеет со многими странами Европы напряженные отношения? Действуют санкции и контрсанкции, поэтому соответствие GDPR, по идее, должно волновать мало компаний. Но это только в теории. Оказывается, общий регламент по защите данных GDPR затрагивает многие российские организации, а также граждан.

Регламент о защите персональных данных граждан ЕС похож на российский Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных». Оба документа предусматривают:

  • Прозрачность сбора персональных данных: организации и граждане-операторы обязаны собирать данные на законных основаниях, с согласия их владельцев и объяснять, как планируют их использовать.
  • Ограничение цели сбора данных: персональные данные граждан можно собирать и хранить только в строго установленных и озвученных владельцу целях.
  • Ограничение объема персональных данных заявленными целями.
  • Управление данными и возможность их отзыва владельцем. Гражданин имеет право запрашивать у оператора, какими сведениями о нем он располагает, а также потребовать удалить всю эту информацию.
  • Безопасность использования и хранения: собранную о гражданах информацию нельзя передавать третьим лицам. Оператор обязан обеспечить защищенность хранения, без возможности утечки. Раскрывать данные без согласия их владельцев запрещено.
  • Ограничение сроков хранения и обработки заявленными целями.

Но в ЕС пошли немного дальше РФ: в GDPR персональные данные являются объектом контроля со стороны уполномоченных органов. По регламенту для каждого обработчика может быть назначен отдельный контролер, который взаимодействует с оператором-обработчиком. Именно эти два субъекта должны обеспечить необходимые средства для обеспечения постоянной конфиденциальности и своевременного восстановления доступа к персональным данным в случае природного или технического инцидента. Кроме того, в их обязанности входит уведомлять надзорные органы об утечке персональных данных в течение 3 суток с момента выявления такой утечки, а также информировать об этом субъект данных. В российском законе такой обязанности у операторов нет, они просто обязаны самостоятельно и быстро устранить утечку. Кроме того, в ЕС обработчики данных должны отчитываться об их хранении и использовании.

При этом раньше в ЕС действовала директива №95/46/ЕС «О защите физических лиц при обработке персональных данных и о их свободном обращении», на смену которой и пришел GDPR. Его главное отличие от упраздненной директивы состоит в экстерриториальности и наднациональности, то есть если раньше все ограничивалось границами ЕС, то теперь требования должны фактически соблюдаться по всему миру, в том числе и в России.

Действовать в РФ, как и по всему миру, GDPR начнет 25 мая 2018 года. Именно с этой даты все российские организации, индивидуальные предприниматели и просто граждане, имеющие дело с персональными данными лиц, проживающих на территории Европейского Союза, обязаны следовать нормам этого регламента, чтобы избежать ответственности. К таким операторам персональных данных граждан ЕС, в частности, можно отнести:

  • компании и ИП, которые имеют дочерние предприятия или филиалы на территории ЕС;
  • организации и ИП, которые оказывают различные услуги в интернете (реализуют путевки, предоставляют услуги по бронированию номеров в отелях, содержат онлайн-кинотеатры, продают программное обеспечение и т. д.);
  • оказывают услуги мобильной связи в европейском роуминге;
  • собирают персональные данные пользователей в мессенджерах, социальных сетях и других подобных сервисах.

Таким образом, соблюдать регламент будут обязаны не только организации, ведущие внешнеэкономическую деятельность, но и многие, даже небольшие компании, фактически работающие только в РФ, но ведущие бизнес в интернете. Поэтому всем им необходимо проверить свои базы данных с персональными данными пользователей и выяснить, есть ли среди них граждане Евросоюза. Если такие обнаружатся, то регламент нужно соблюдать. Правда, назначать представителя на территории ЕС для отчетности и взаимодействия с контролером нужно не всем обработчикам. Такая обязанность возникает только у тех из них, которые ведут бизнес непосредственно на территории ЕС, например имеют там магазин или офис для оказания услуг.

Надо отметить, что поскольку требования GDPR, что делать оператору и контролеру, являются более жесткими, чем российские, не исключено, что регулятор персональных данных в РФ (Роскомнадзор) захочет привести отечественные нормы в соответствие с европейскими. Это добавит хлопот российским операторам, но упростит соблюдение требований регламента, которые перестанут отличаться.

Если компания или предприниматель проигнорирует требования регламента, то ей придется заплатить штраф, размер которого составляет до 4% от годового мирового оборота за предыдущий финансовый год или до €20 млн — в зависимости от того, что окажется больше. Конечно, взаимодействие у РФ с ЕС по привлечению организаций к ответственности минимальное, скорее всего, решение о взыскании штрафа с российской организации в пользу Евросоюза не будет исполнено на территории России. Однако в ЕС такая организация-нарушитель получит статус нон грата, то есть не сможет работать, пока не исполнит наложенное взыскание. Поэтому, если компания намерена вести бизнес в Европе, требования GDPR придется соблюдать.

Кстати, несоблюдение российского Федерального закона №152-ФЗ также грозит операторам немалым штрафом. Его размер по статье 13.11 КоАП РФ составляет до 75 000 рублей, что конечно, намного меньше, чем €20 млн, но все равно бьет по карману.

Вернуться к списку новостей