General Data Protection Regulation (GDPR) – Общий регламент защиты персональных данных, краткое название акта права ЕС, принятого в 2016 г. и вступившего в силу 25 мая 2018 г. Он пришел на замену Директиве 95/46/ЕС Европейского парламента и Совета от 24 октября 1995 г. по защите физических лиц в части обработки персональных данных и свободному движению таких данных.
По существу, GDPR установил для всего Европейского Союза единый стандарт по защите персональных данных предоставив при этом минимальные возможности для отступления от него. При этом GDPR является одним из тех актов права ЕС, которые заложили камень в основание единого цифрового рынка ЕС, так как он упрощает частному сектору взаимодействие с надзорными органами, закрепив принцип «одного окна» – отчитываться достаточно перед надзорным органом того государства, где шире всего представлена компания.
По сравнению с предыдущим регулированием – Директивой 95/46 также имевшей экстерриториальное применение, в GDPR последнее приобрело более широкий характер.
Согласно ст. 3 Регламента, он применяется: (1) в отношении операторов персональных данных (далее — ПД) в контексте их деятельности на территории ЕС, независимо от того проходит ли сама обработка ПД на территории Союза; (2) в отношении операторов вне Европейского Союза, если обработка ПД сопряжена с предложением товаров и услуг субъектам ПД, находящимся на территории ЕС, до тех пор пока оно происходит в пределах Союза.
Отметим, что в отличие от ФЗ-152 «О защите персональных данных», GDPR оперирует не одним термином «оператор ПД», а сразу двумя: «контроллер ПД» и «обработчик ПД». Первый определяет цели и средства обработки ПД, а второй ведет обработку ПД по поручению первого. Здесь, для краткости, оператор будет означать сразу как контроллера, так и обработчика ПД.
Таким образом, присутствие или ведение деятельности на территории государств Европейского Союза, даже если ПД собираются через Интернет и обрабатываются на территории не входящего в ЕС государства, не освобождает компаниюот обязанности соблюдать требования GDPR. В случае нахождения в юрисдикции ЕЭЗ, в том числе через представительство, филиал, etc., обязанность соблюдать положения GDPR самоочевидна и чаще всего касается относительно крупных компаний.
Стоит отметить, что определяющим критерием является не наличие физического представительства на территории одного из государств ЕС, а постоянство и действительный характер деятельности, поэтому в некоторых случаях наличие даже одного агента или работника может быть достаточным для того, чтобы подпадать под требования GDPR. Если контроллер и/или обработчик находятся за пределами Европейского Союза, а представительство на территории одного из государств ЕС никак не участвует в обработке, то при наличии неразрывной связи между такой обработкой ПД и деятельностью представительства, обязанность соблюдать GDPR все равно сохраняется.
По этой причине любая реальная, фактическая деятельность российского бизнеса на территории ЕС, которая может быть сочтена достаточно постоянной, подпадает под регулирование GDPR. Кроме того, из-за юридического разделения контроллера и обработчика ПД, даже если российская компания будет выступать в качестве обработчика ПД и территориально находиться при этом в России, то она также будет обязана выполнять требования общеевропейского Регламента. Причина этого заключается в том, что европейский контроллер ПД, обяжет (вероятнее всего, с помощью частно-правового договора) компанию соответствовать требованиям по обработке GDPR и предоставить соответствующие гарантии, в частности наличия средств правовой защиты субъекта ПД. При этом ограничения GDPR будут распространяться на всю цепочку обработчиков ПД, если они получены из ЕС.
На действии в пространстве по критерию продажи товаров или отслеживания поведения стоит остановиться подробнее, так как именно этот критерий направлен на операторов ПД расположенных за пределами Европейского Союза и не имеющих представительства на его территории. В этом случае, ответ на вопрос о том, применяется ли GDPR, зависит от того, кому адресована тот или иной товар или услуга и от того, есть ли намерение у оператора предлагать свои товары и услуги лицам в ЕС. Таким образом, в случае предложения товаров и услугу недоступных для приобретения на рынках Евросоюза не подпадает под регулирование GDPR.
Напротив, о намерении оператора предлагать свои товары и услуги может свидетельствовать: использование языка любого из государств Европейского Союза вплоть до возможности заказать товар или услугу на этом языке, оплата валютой государств ЕС, упоминание клиентов или пользователей из Союза, использование национальных доменов верхнего уровня государств Европейского Союза или домена ЕС, указание контактных данных для обращения пользователей из Евросоюза, оплата услуг по продвижению в выдаче поисковых сервисов или запуск маркетинговых или рекламных компаний нацеленных на аудиторию государств-членов, доставка товаров в ЕС и т. п.
Что касается случаев направленных на отслеживание поведения субъектов ПД на территории ЕС, то это может быть поведенческая реклама или исследования основанные на досье (профайлинг), маркетинговые исследования, сбор геоданных в маркетинговых целях, отслеживание действий пользователя в сети через cookie-файлы или дактилоскопию, персонализированные сервисы по анализу состояния здоровья, системы видеонаблюдения и т. п.
Кратко подытожим в каких случаях бизнесменам из России стоит учитывать GDPR:
1.Вы ведете свою постоянную деятельность на территории государств Европейского Союза и в связи с ней ведете обработку персональных данных (ПД) кого бы то ни было;
2.Вы обработчик ПД по поручению контроллера (другого оператора) ПД из ЕС, и находитесь при этом на территории РФ;
3.Вы IT-компания предлагающая товары и услуги через Интернет (в частности, с помощью форм на сайте, приложений, cookie-файлов) и/или собираете ПД лиц, находящихся на территории Европейского Союза в коммерческих или иных целях.