General Data Protection Regulation1 является новым Регламентом Европейского союза в области обработки персональных данных, который будет применяться уже совсем скоро, с 25.05.2018 г. На первый взгляд, возникает вопрос каким образом нормативно-правовой акт Европейского сообщества может быть столь интересным для украинских компаний? Однако, несмотря на то, что территориальная сфера действия Регламента GDPR ограничивается пределами стран - участниц Европейского Союза, в определенных случаях действие Регламента GDPR распространяется и на субъектов за пределами Европейского Союза.

В первую очередь, Регламент GDPR коснется украинских компаний, которые имеют постоянное присутствие в ЕС, например, через учрежденные филиалы и представительства. Любая передача персональных данных резидентов ЕС обособленным подразделением в материнскую украинскую компанию и дальнейшая обработка последней полученных персональных данных должна будет осуществляться в порядке, предусмотренном Регламентом GDPR.

Обработка персональных данных физических лиц – резидентов ЕС в ходе исполнения договоров о сотрудничестве, хозяйственных договоров и прочих соглашений, заключенных украинской компанией с контрагентами из ЕС, в большинстве случаях также подпадает под действие Регламента GDPR.

Требования Регламента GDPR распространяются также на украинских субъектов хозяйствования, как на компании, не учреждённые в Евросоюзе, но обрабатывающие персональные данные находящихся в Евросоюзе субъектов данных, если их деятельность по обработке данных связана с предложением товаров и услуг таким субъектам данных в Евросоюзе, вне зависимости от того, требуется ли оплата от субъекта данных, либо связана с мониторингом деятельности субъектов данных постольку, поскольку она осуществляется в Евросоюзе.

При этом Регламент GDPR устанавливает, что признаками, которые с очевидностью свидетельствуют о намерении предлагать товары или услуги субъектам данных в Евросоюзе, являются: использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом языке; упоминание потребителей или пользователей, которые находятся в Евросоюзе.

Под вышеуказанный критерий подпадают украинские компании, которые осуществляют обработку персональных данных граждан ЕС в ходе предложения и/или оказания им услуг (платных или бесплатных), реализации товаров в сети Интернет, в случае если, например, веб-сайт доступен на языке государства-члена ЕС и если предусмотрена возможность оплаты в Евро.

Для того, чтобы определить, подпадает ли деятельность по обработке данных для целей мониторинга действий субъекта данных, устанавливается факт того, осуществляют ли физические лица деятельность в интернете, в том числе потенциальную возможность последовательного использования технологии обработки персональных данных, посредством которых осуществляется составление профиля физического лица, в частности, для принятия решений относительно анализа либо прогнозирования ее/его личных предпочтений, особенностей поведения, а также личностных характеристик.

Таким образом, если ваша компания отслеживает с помощью файлов cookie поведение пользователей – резидентов ЕС на сайтах, для дальнейшей передачи информации рекламным агентствам, аналитическим компаниям, данная деятельность должна осуществляться в соответствии с требованиями Регламента GDPR.

Далее, учитывая, что в Регламенте GDPR используется иная терминология, к которой не привыкли украинские компании, немаловажно разъяснить главные понятия:

Контролер (controller) – это физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных.

Обработчик (processor) – это физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролёра.

Если проводить аналогию с Законом Украины «О защите персональных данных», то контролер является собственником персональных данных, а обработчик – распорядителем персональных данных.

Персональные данные (personal data) – означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу (субъект данных); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн - идентификатор) или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица.

Как мы видим, Регламент GDPR вносит широкое толкование персональных данных, к которым относятся в том числе IP-адрес и идентификаторы устройств. Данные, которые касаются юридических лиц, не относятся к персональным данным, однако, если название компании указывает на имя физического лица, которое идентифицируется, контактный адрес электронной почты содержит название физической лица, то вышеуказанные данные относятся к персональным данным, и подлежат обработке согласно требований Регламента GDPR.

С целью максимальной защиты персональных данных, Регламент GDPR регулирует трансграничную передачу данных за пределы Евросоюза, так как она может подвергнуть повышенному риску способность физических лиц осуществлять права на защиту своих персональных данных. С целью максимальной защиты прав субъектов персональных данных, Регламент GDPR возлагает на контролеров и обработчиков, которые не учреждены в Евросоюзе, определенные дополнительные обязанности.

Рассмотрим некоторые из них, а именно назначение представителя в государстве члене ЕС и назначение инспектора по защите персональных данных.

Представитель (representative) согласно Регламенту GDPR - физическое или юридическое лицо, учрежденное в Союзе, которое в письменной форме назначается контролером или обработчиком и представляет контролера или обработчика.

Представитель должен быть учрежден в одном из государств-членов ЕС, в котором находятся субъекты данных, персональные данные которых обрабатываются в отношении предлагаемых им товаров и услуг или поведенческая активность которых находится под наблюдением.

Представитель может не назначаться, в частности, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработка персональных данных, связана с уголовными приговорами и правонарушениями, или если контролер или обработчик являются органами или учреждениями государственной власти.

Представитель должен действовать от имени контролера или обработчика и являться для любого надзорного органа и субъекта данных контактным центром на территории Европейского Союза.

Если основная деятельность компании заключается в обработке персональных данных, которая требует масштабного, регулярного и систематического мониторинга субъектов данных, Регламент GDPR требует назначение инспектора по защите персональных данных. Он может являться сотрудником компании или может работать на базе договора об оказании услуг. Инспектор должен принимать участие как в решении компанией всех вопросов, связанных с защитой персональных данных, так и может консультировать субъектов персональных данных по вопросам осуществления их прав согласно Регламенту GDPR. Высокие знания законодательства и практики в области защиты персональных данных являются основными требованиями к претенденту на данную позицию.

Регламент GDPR четко регламентирует вопрос передачи персональных данных за пределы ЕС, то есть в третью страну. Есть несколько вариантов для законной передачи персональных данных, предположим в Украину.

Вариант 1: Действующее решение Европейской комиссии о том, что третья страна обеспечивает должный уровень защиты персональных данных.

Вариант 2: Получатель персональных данных может подтвердить существование определенных гарантий защиты персональных данных, а именно: документ между органами государственной власти или правительственными учреждениями; обязательные корпоративные правила, утвержденные компетентным надзорным органом; стандартные условия о защите данных, принятые Европейской Комиссией; стандартные условия о защите данных, принятые надзорным органом и одобренные Европейской комиссией; утвержденный кодекс поведения вместе с обязательными и подлежащими исполнению обязательствами контролера или обработчика в третьей стране применять соответствующие гарантии, в том числе в отношении прав субъектов данных; утвержденный механизм сертификации вместе с обязательными и подлежащими исполнению обязательствами контролера или обработчика в третьей стране применять соответствующие гарантии, в том числе в отношении прав субъектов данных.

Вариант 3: Если отсутствует указанное в варианте 1 и 2, передача должна осуществлять только при соблюдении одного из следующих условий:

  1. субъект данных прямо согласился с предлагаемой передачей после того, как был проинформирован о возможных рисках таких передач для субъекта данных из-за отсутствия решения о достаточности и соответствующих гарантий;

  2. передача необходима для выполнения договора между субъектом данных и контролером или осуществления преддоговорных мер, принятых по запросу субъекта данных;

  3. передача необходима для заключения или для исполнения договора, заключенного в интересах субъекта данных между контролером и другим физическим или юридическим лицом;

  4. передача необходима по важным причинам в общественных интересах;

  5. передача необходима для установления, осуществления или защиты исковых требований;

  6. передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически неспособен дать согласие.

И напоследок, мы не пропустим самое важное - ответственность за несоблюдение положений Регламента GDPR.

Например, нарушение обязанности контролеров и обработчиков, не учрежденных в ЕС, по назначению представителя в Евросоюзе, а также обязанности контролеров и обработчиков, а также их представителей, сотрудничать с надзорными органами может иметь последствие в наложении административного штрафа в размере до 10 000 000 Евро или не более 2% от общего годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма больше.

За нарушение основополагающих принципов обработки персональных данных, порядка передачи персональных данных в третью страну – штраф в размере до 20 000 000 Евро или не более 4% от общего годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма больше.

Принятие вышеуказанных мер юридического характера возложено на компетентные надзорные органы Евросоюза и государств-членов. Каждое государство-член ЕС обязано назначить один или несколько независимых государственных органов ответственным(и) за контроль за соблюдением Регламента GDPR в целях защиты основных прав и свобод физических лиц в отношении обработки и облегчения свободного обращения персональных данных в рамках ЕС («надзорный орган») и уведомить об этом Комиссию до 25 мая 2018 г.

Надзорный орган осуществляет полномочия на территории его собственного государства-члена, но в случае с трансграничной передачей ПД, могут между собой очень тесно сотрудничать, в т.ч. и передавать рассмотрение дел.

На данном этапе можно предположить, что именно представитель, назначенный контролером или обработчиком, в соответствующем государстве- члене Евросоюза, обязан будет взаимодействовать с национальными надзорными органами, в том числе, и по вопросам рассмотрения жалобы субъекта ПД. За уклонение от взаимодействия, Регламентом предусмотрена ответственность. При этом, если компетентный орган государства-члена ЕС вынесет решение по результату рассмотрения жалобы субъекта персональных данных, вопрос его исполнения на территории Украины будет зависеть от ряда правовых механизмов.

Если ваша компания работает на европейском рынке или обрабатывает персональные данные граждан ЕС, наша компания поможет Вам привести обработку персональных данных в соответствие с требованиями Регламента GDPR.

 

Галина Дмитриченко-Кулеба,

Старший юрист, к.ю.н.

 

1 Регламент №2016/679 Европейского парламента и Совета ЕС «О защите физических лиц при обработке персональных данных и о свободном движении таких данных, а также об отмене Директивы 95/46/ЕС»


Актуальные заметки:
Поделитесь этой заметкой в социальных медиа: