С 25 мая 2018 года все компании, осуществляющие деятельность, связанную с обработкой персональных данных физических лиц, находящихся на территории ЕС, обязаны соблюдать требования General Data Protection Regulation (далее GDPR).

GDPR ввел новые правила игры обработки персональных данных, ориентированные не только на граждан ЕС, но и на любые организации, осуществляющие сбор и обработку персональных данных независимо от их фактического местонахождения. Это объясняется тем, что в отличие от предшествующих документов, направленных на защиту персональных данных физических лиц, GDPR имеет экстерриториальное действие.

GDPR обладает рядом особенностей, несвойственных иным документам, действующим в сфере защиты персональных данных. Во первых, GDPR обязывает компании уведомлять о факте утечки персональных данных в течение 72 часов после фактического обнаружения. Во вторых, GDPR относит к персональным данным довольно обширный перечень информации о физическом лице, а также файлы «cookie», IP-адреса и др. онлайн-идентификаторы. В третьих, GDPR обязывает компании, обрабатывающие персональные данные не через постоянно действующие структуры в ЕС, назначать представителя на территории ЕС.



Если же сравнивать GDPR и российское законодательство о защите персональных данных, то можно сделать следующий вывод: оба документа имеют самостоятельную территориальную и юрисдикционную сферы применения. Следовательно, на практике их действие на российского предпринимателя, осуществляющего деятельность в области персональных данных граждан ЕС выражается в двойном обременении.

Таким образом, все российские компании, ориентированные в своей деятельности на потребителей товаров/ услуг в ЕС, должны соблюдать положения GDPR. В противном случае, за несоблюдение требований GDPR, предусмотрены санкции, являющиеся вполне весомыми для компаний: штраф в размере до 20 млн евро или до 4 % от годового оборота.

Резюмируя все вышеизложенное, представляется возможным выделить две основные категории российских компании, попадающих под действие GDPR.

Во первых, это компании, осуществляющие реальную деятельность в ЕС. Например, обработка данных в связи с деятельностью филиала в ЕС; обработка данных дочерней компании в ЕС; компания имеет агента в ЕС (судебное представительство); совместный контролер.

Во вторых, компании, деятельность которых направлена на ЕС. Например, предложение товаров / услуг в ЕС (язык сайта на одном из языков стран ЕС при заказе, валюта платежей, таргетирование и указание потребителей в ЕС); мониторинг поведения (отслеживание в интернете, создание профиля по активности пользователя, постоянные cookie — файлы).

Автор:

Никита Тепикин

партнер практики IT-право

Читайте также: GDPR Как Угроза Бизнесу

Политика конфиденциальности