Юрист компании

В ЕС ввели новый регламент защиты персональных данных, GDPR. Что учесть российским компаниям

  • 6 июня 2018
  • 646

По новому регламенту защиты персональных данных (GDPR), который начал действовать в странах ЕС, компания обязана уничтожить или «забыть» данные по первому требованию их субъекта. Как эти нормы сочетаются с «законом Яровой» и что делать российским компаниям, которые работают с данными иностранцев.

Россия не входит в Европейский союз. Но компаниям, которые имеют дело с клиентами или контрагентами из стран-участниц, приходится учитывать правовое регулирование, которое там применяют. В частности, обратите внимание на GDPR – новый регламент, который с 25 мая 2018 года действует в отношении защиты персональных данных во всех странах ЕС. Аббревиатура расшифровывается как General Data Protection Regulation. Нарушение некоторых положений регламента грозит крупным штрафом, и это риск для организаций, у которых есть филиалы на территории стран союза.

Полную инструкцию читайте в статье «Новые правила защиты персональных данных. Как применять европейский регламент в России»

Что такое GDPR и как это нововведение касается российских предпринимателей

Новый регламент по своему содержанию во многом похож на закон о персональных данных, который действует в России. С англоязычной версией документа можно ознакомиться на специальном сайте (также в сети встречаются различные переводы GDPR на русский). Основные важные моменты:

  1. К персональным данным отнесли не только ФИО субъекта, дату его рождения и адрес проживания. Также в эту категорию включили почтовый электронный адрес, номер ID-карты, IP и файлы cookies, сведения о нахождении субъекта (например, GPS-координаты). Действие регламента распространяется и на зашифрованные и обезличенные данные субъектов.
  2. Компания обязана получить согласие на обработку, но субъект должен дать его добровольно. Например, при заполнении формы заказа на сайте он должен сам поставить галочку в чек-боксе «Я согласен на обработку». Ему необходимо предоставить выбор отказаться, иначе такое согласие добровольным не считают и признают это нарушением регламента. Кроме того, согласие должно указывать на все цели обработки.
  3. Недопустимо использовать данные в целях, отличных от целей обработки (ст. 6 регламента GDPR). Например, после получения заказа из интернет-магазина покупателю начинают приходить рекламные сообщения от третьих лиц. Если он не давал согласия на передачу данных для таких целей, это нарушение.
  4. Об утечке данных оператор обязан сообщить в течение 72 часов регулятору (ст. 33 регламента).
  5. Компании, которые обрабатывают данные, обязаны принять меры по соответствию обработки требованиям регламента. Что это за меры и как выполнять такие требования, сказано в GDPR (ст. 35). В частности, если компания работает с большим объемом таких данных, ей необходимо назначить инспектора по их защите (ст. 37, ст. 39). Инспектор может быть из числа сотрудников компании или работать по гражданско-правовому договору.
  6. Субъект вправе потребовать информацию об обработке своих данных или целях этого, а также о сроках хранения, мерах защиты и т. п. Кроме того, по требованию субъекта оператор обязан изменять, удалять или «забывать» данные (ст. 15 – 22 регламента).

Если компанию поймают на нарушениях, штраф за них может достичь суммы в 2 млн евро. Или по GDPR взыщут 4% годовой прибыли (ст. 83 регламента).

Требования GDPR актуальны для российских компаний, которые торгуют за рубежом

У документа экстерриториальный принцип применения. В преамбулах № 23 и № 80 к регламенту указали критерии, по которым определяют, должна ли компания его соблюдать. Это необходимо, если компания:

  • из страны, которая не входит в ЕС;
  • распространяет товары, предлагает работы или услуги на территории ЕС;
  • в процессе своей деятельности работает с персональными данными европейцев.

Помимо этого:

  • у компании есть обособленные подразделения на территории стран ЕС;
  • расчеты ведут в евро, обязательства исполняют в ЕС, или есть иные европейские элементы в соглашении;
  • в договоре указали, что его регулирует право ЕС;
  • среди работников компании есть экспаты из стран Европейского союза;
  • у компании присутствует необходимость оформлять доверенности на граждан ЕС.

Для российских компаний, которые работают в данных условиях, требования GDPR имеют силу.

Полезные статьи в журнале «Корпоративный юрист»

Как регламент GDPR соотносится с нормами российского права  

С 1 июля 2018 года вступают в силу поправки, вошедшие в ФЗ-374 и ФЗ-375 (так называемый «закон Яровой»). Ряд новых требований может вступить в противоречие с требованиями регламента GDPR. Например,  с 1 июля операторы мобильной связи обязаны:

  • хранить сведения о пользователях и их сообщения в течение полугода,
  • предоставлять эту информацию по запросу госорганов независимо от согласия пользователя.

Эти требования распространяются на данные обо всех пользователях мобильной связи, включая граждан ЕС, если они являются клиентами российских операторов. Также требования касаются всех операторов связи на территории РФ, даже если это подразделение европейской компании.

Согласно новому регламенту GDPR оператор связи, который работает с данными граждан ЕС, обязан заботиться о защите персональных данных, в том числе уничтожать их по запросу владельца. Одновременно он обязан сохранить такие данные в течение 6 месяцев и передать властям, не спрашивая разрешения у владельца, если те направят запрос. Для операторов данных это создает сложную ситуацию. Разъяснений от разработчиков регламента или от Роскомнадзора пока нет. В настоящий момент можно дать только общие рекомендации для компаний в России, как снизить риски в связи с выполнением GDPR и требований законодательства РФ:

  1. Проверьте внутренние документы о работе с персональными данными на соответствие регламенту. Разработайте четкие инструкции на случай утечки данных, которые принадлежат европейцам. Издайте документы о таких данных на русском и, как минимум, английском, чтобы клиенты из ЕС могли с ними ознакомиться.
  2. В документе о согласии на обработку пропишите цели, а также укажите, что согласие является конкретным, добровольным и информированным. Документ о согласии также должен быть на двух языках минимум. Проверьте, что документ оформили в отношении всех клиентов и иных субъектов.
  3. Проверьте, как хранятся данные. Проанализируйте порядок на соответствие регламенту, введите учет операций по обработке. Продумайте, как открыть представительство в ЕС и назначить инспектора. Согласно GDPR компания должна доказать в случае спора, что она не нарушала регламент. Подготовьтесь к тому, что от субъектов будут поступать запросы и претензии, разработайте схемы действий на такие случаи.
  4. Определите по договорам с европейскими элементами, какой статус у компании в отношении обработки данных. Если она оператор или контролер, то нелишне:
  • включить в текст соглашения заверения, у компании есть все необходимые согласия на обработку данных сообразно требованиям российского и международного законодательства;
  • внести запрет на использование данных граждан ЕС в рекламных целях;
  • если в соглашении использовали скриншоты, проверить, что на них нет данных об IP или иных данных о пользователях.

Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Рекомендации по теме

Cтать постоян­ным читателем журнала!

Cтать постоян­ным читателем журнала

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Мы в соцсетях
А еще:
Простите, что прерываем ваше чтение

Это профессиональный сайт для юристов-практиков. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Вы продолжите читать статью через 1 минуту
Зарегистрироваться
×
Пожалуйста, зарегистрируйтесь на сайте и скачайте файл!

Вы сможете скачать любые документы и получите бесплатный доступ ко всем материалам на сайте.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
и скачать файл
Зарегистрироваться
×
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.