9 сентября Франко-российская торгово-промышленная палата (CCI France Russie) провела практический семинар по практике применения GDPR. Его модератором выступила Юлия Лабутина, заместитель генерального директора, руководитель юридического и комплаенс-отдела Atos.
GDPR (General Data Protection Regulation), общий регламент по защите данных граждан Евросоюза, принятый в 2016 году, применяется с 25 мая 2018. Новый европейский регламент отличается своей строгостью и высокими штрафами.
Многомиллионные штрафы (до 20 млн евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год) объясняются тем, что авторы регламента хотели вынести вопрос о защите персональных данных на уровень акционеров компаний, отметил Константин Бочкарев, советник, глава практики ТМТ CMS, Россия.
В Евросоюзе уже появились первые случае применения штрафных санкций в рамках GDPR, а юристы предсказывают волну массовых исков и увеличение затрат компаний на консультантов по GDPR. Пока австрийский активист Макс Шремс судится с Facebook за нарушение конфиденциальности, компания Яндекс.Такси доказывает на литовском рынке, что не передает персональные данные о своих пользователях за пределы ЕС, т.к. действует через офис компании в Голландии. Компании удалось убедить литовский регулятор в том, что ее деятельность соответствует GDPR и остаться на рынке. Но не все подобные истории заканчиваются благополучно, отметил Александр Масалиов, адвокат литовской CEE Atorneys. Одной из первых компаний, заблокированных после вступления в силу GDPR, стала французская видеоплатформа Dailymotion. Она была оштрафована местным регулятором CNIL на € 50,000 за нарушение требований по охране персональных данных клиентов.
Новая норма вызывает большое количество вопросов у компаний за пределами Евросоюза, в том числе и в России, поскольку ее применение носит экстерриториальный характер. Первый и главный вопрос: может ли компания, работающая в России, попасть под действие GDPR? Да, отвечают эксперты, если она:
— является резидентом ЕС с офисом в России,
— предлагает свои товары или услуги физическим лицам в ЕС,
— осуществляет мониторинг их действий на территории Евросоюза.
В случае, если компания подпадает под данные критерии, она обязана обосновать обработку каждого типа данных, предоставить субъектам данных уведомление об обработке (Privacy Notices), изложенное понятным языком, вести реестр операций по обработке, уведомлять регулирующие органы и субъекты данных об утечках или взломах, назначить Data Protection Officer (это может быть сотрудник на аутсорсе, проживающий в ЕС), принять необходимые политики, регулярно проводить оценки воздействия на персональные данные (Data Protection Impact Assessment).
Одновременно, как заметила Дарья Калиш, главный юрисконсульт Skif Consulting, необходимо учитывать, что биометрические персональные данные являются особым видом данных (sensitive personal data), обработка которых запрещена за исключением определенных GDPR случаев. Главным образом это касается случаев защиты прав и интересов субъекта персональных данных или «особых общественных интересов», как, например, при пересечении государственной границы.
Особой статьей идет трансграничная передача данных в международных компаниях, отметил Станислав Румянцев, старший юрист «Городисский и партнеры», т.к. в этом случае надо учитывать, что ФЗ-152 и GDPR предполагают разные процедуры трансграничной передачи, т.е. каждый раз процедура передачи будет зависеть от направления движения данных – из России в ЕС или наоборот.
Обработка любых персональных данных начинается с обоснования законных интересов (legitimated interests), подчеркнула Александра Введенская, менеджер практики PwC Legal по интеллектуальной собственности, технологиям и защите данных. К подобным интересам относятся, в том числе, предотвращение мошенничества, соблюдение российских требований к налоговому/бухгалтерскому учету, передача данных внутри компаний группы в ЕС для эффективного администрирования бизнес-процессов, обработка данных для направления клиентам рекламы, обеспечение IT-безопасности.
В целом, IT-компании уже имеют решения для бизнеса, который попадает под GDPR. IT-специалисты должны работать в тесном контакте с юристами, чтобы не оказывать избыточных услуг и закрывать только существующие бреши, заключил Юрий Гордеев, компания Atos.
Франко-российская торгово-промышленная палата регулярно проводит практические семинары и деловые завтраки по актуальным тематикам. Данные мероприятия бесплатны для компаний-членов.