С 25 мая 2018 г. В ЕС вступили в силу General Data Protection Regulation – общие правила о защите персональных данных (далее — GDPR, Регламент).

Европейские компании, которые обрабатывают персональные данные физических лиц – резидентов Евросоюза обязаны соблюдать требования этого документа.



В ряде случае GDPR применяется экстерриториально и может быть применим к компаниям и предпринимателям в России.

  1. В первую очередь, под регулирование GDPR подпадают любые иностранные компании, которые обрабатывают данные «в контексте деятельности постоянной структуры в ЕС». Имеется в виду любое постоянное присутствие компании в ЕС (филиал или представительство, аффилированная компания, агент и иной подрядчик). Иными словами, это те случаи, когда российская компания действует «под маской» европейской компании и благодаря этому получает доступ к европейским персональным данным.
  2. Второе исключение — это когда российская компания не имеет присутствия в ЕС, но деятельность ее направлена на граждан и резидентов ЕС: предложение товаров, работ, услуг, отслеживание данных, таргетирование рекламы, и т.п. В эту категорию попадает широкий круг компаний: онлайн-магазины, кинотеатры и игры, социальные сети, операторы связи, страховые компании, турфирмы, отели, сервисы по бронированию. Признаками принадлежности к данной категории может служить сбор cookie-файлов, IP-адресов, предложение продуктов для европейских потребителей, продвижение сайта в ЕС и иная рекламная активность в ЕС, предоставление доступа к сервису в онлайн-кабинете или внедрение систем безопасности, рассчитанных на ЕС. Для вывода о применимости GDPR, скорее всего, будет недостаточно наличия только одного триггера (например, сайта на английском языке), необходима очевидная направленность, поэтому оцениваться будет совокупность признаков.
  3. Третье исключение. – это то, что GDPR называет совместное определение целей и способов обработки данных «с совместным контроллером контроллером» (с компанией-резидентом ЕС – прим. автора). К примеру, GDPR будет применим, если российский и европейский университеты занимаются совместным научно-исследовательским проектом и в связи с этим обмениваются кадрами, собирая данные участвующих в проекте ученых и студентов в единой системе, либо если российская и европейская компании реализуют совместно услуги (например, особенно актуально для финансового и страхового сектора), либо просто ведут общую CRM-систему. Критерии экстерриториального применения во многом являются оценочными, поэтому остается множество открытых вопросов о применимости GDPR в конкретных случаях за пределами ЕС. Для компаний, к которым потенциально может быть применим GDPR, важно пристально следить за развитием практики, поскольку возможны ситуации, когда российская компания не подпадает под перечисленные случаи, но GDPR все равно к ней будет применяться. Это случаи, когда российская компания получает доступ к ПД в результате взаимодействия с европейской компанией, являющейся контроллером или процессором (в терминологии GDPR ). Иногда возникает ситуация, когда обязательность применения норм GDPR является дискуссионным вопросом. Например, это вопрос о применимости GDPR к обработке российским банком данных об оплате картой покупок на территории ЕС. Владелец карты в момент оплаты находится на территории ЕС, и формально сбор данных в этом случае отвечает признакам мониторинга активности. А это означает необходимость соблюдения GDPR. Можно предположить, что банк использует эти данные исключительно для своей текущей банковской деятельности, и продолжения эта история не получает. А вот различные сервисы и интернет-магазины, имеющие европейский трафик обязаны соблюдать GDPR? Невзирая на то, что тексты на этих ресурсах только на русском языке, а цены в рублях. Кроме того, использование cookie-файлов формально представляет собой мониторинг активности – что является дополнительным основанием соблюдения GDPR .

Автор:

Никита Тепикин

партнер практики IT-право

Политика конфиденциальности