В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Для начала напомню, что у GDPR расширена территориальная сфера применения (ст. 3):
То есть интернет-магазин с доставкой товаров в ЕС и гостиница, которая в соцсетях показывает таргетированную рекламу для европейцев, подпадают под область действия GDPR. Это частные случаи. На самом деле не каждая организация, обрабатывающая персональные данные европейцев (субъектов персональных данных, находящихся в ЕС), должна выполнять GDPR…
EDPB (European Data Protection Board) выпустила уже вторую редакцию разъяснений по этому вопросу (Guidelines 3/2018 on the Territorial Scope of the GDPR). Документ крайне интересен своими комментариями и примерами. Так, в новой его версии появились дополнительные кейсы про иностранные компании. В частности, пример № 8 говорит про то, что если услуга оказывается только гражданам не из ЕС и она продолжает оказываться им при нахождении в ЕС (например, когда они в качестве туриста в ЕС могут получить доступ к услуге), то эта деятельность не подпадает под GDPR. EDPB также подчеркивает, что единичные случаи нахождения заказчиков-субъектов в ЕС еще не говорят о том, что компания подпадает под GDPR по признаку оказания услуг на территории ЕС. Еще из важных комментариев стоит отметить, что если услуга оказывается не на территории ЕС, а европейцы могут ей воспользоваться, но основные потребители не они, то такая деятельность тоже не подпадает под GDPR (это, к примеру, относится к большинству локальных банков, гостиниц и медицинских центров).
К сожалению, универсальный ответ на вопрос "Подпадает ли российская компания под GDPR?" дать не получится, надо рассматривать каждый случай отдельно. Но я рекомендую ориентироваться вот на эти вопросы:
И если хоть на один из них вы ответили да, то, скорее всего, вы подпадаете под действие GDPR.
Консультанты очень любят пугать огромными административными штрафами за нарушение требований GDPR ("до 20 млн или применительно к хозяйствующему субъекту в размере до 4% от "общестранового" годового оборота за весь предыдущий финансовый год"), но почему-то не упоминают, что для взымания таких штрафов у компании должно быть юридическое лицо в ЕС, иначе обязать выплатить их довольно сложно.
В помощь приведу несколько полезных ссылок:
На самом деле бизнесу, не представленному в ЕС, стоить опасаться скорее репутационных рисков и отказа иностранных компаний с ними работать (вплоть до формального запрета надзорного органа). Я также не исключаю возможность блокировки Web-сайта на территории ЕС, если на нем производится обработка персональных данных европейцев с нарушением GDPR, хотя на практике я еще не встречал таких примеров.
Положения 152-ФЗ и GDPR во многом схожи, и если российский оператор персональных данных добросовестно выполнил требования первого, то и со вторым особых проблем не будет. Но вот что еще надо сделать:
Замечу, что некоторые организации разрабатывают отдельные комплекты документов для 152-ФЗ и для GDPR. Такое возможно, но говорит скорее о том, что в компании не внедрены принципы и процессы защиты персональных данных, а руководство хочет "прикрыться бумажками".
Вместо заключения отмечу, что тема соответствия GDPR непростая. Чтобы разобраться в ней, необходимо изучить очень много дополнительного материала, в т.ч. официальных разъяснений (например, от EDPB и Article 29 Working Party).
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019