С момента вступления в силу Европейского регламента защиты персональных данных (GDPR) в мае 2018 г. Европейский Совет по защите данных принял ряд разъяснений (далее – “Guidelines”) и рекомендаций по отдельным вопросам применения GDPR.

Разъяснения и рекомендации адресованы компаниям, обрабатывающим персональные данные (controllers и processors), а также контролирующим органам в странах ЕС. Документы касаются, в том числе:

Экстерриториального принципа действия GDPR;

Трансграничной передачи персональных данных из ЕС в другие страны;

Добровольной сертификации системы GDPR-compliance.

GDPR имеет экстерриториальный принцип действия и его требования могут распространяться не только на европейские компании, но и на иностранный бизнес, работающий с покупателями или клиентами из Европы[1]. В ноябре 2018 г. были выпущены Guidelines, подробно разъясняющие случаи, когда компании, зарегистрированные за пределами ЕС, подпадают под действие GDPR.

Для целей определения того, предлагает ли иностранная компания услуги / товары резидентам ЕС (эта деятельность подпадает под действие GDPR), Европейский Совет предложил ориентироваться на следующие критерии:

Наличие версии веб-сайта компании для одной из стран ЕС, либо для Европейского Союза в целом. При этом учитываются: доменное имя (например, “.eu” или национальные домены стран ЕС) и язык сайта, валюта, в которой указаны цены на товары и услуги (Евро и другие официальные валюты стран, входящих в Евросоюз), возможность доставки товаров в одну или несколько стран ЕС, описание того, как добраться из этих стран до места оказания услуг, рекомендации резидентов ЕС о товарах / услугах, размещенные на сайте;

Любые упоминания стран ЕС или потенциальных клиентов / покупателей из ЕС на веб-сайте, в рекламной рассылке и предложениях о продаже товаров / оказании услуг, а также рекламные акции, специальные предложения, ориентированные именно на резидентов ЕС;

Оказание услуг, которые носят “международный характер” (например, услуги туроператоров и турагентств).

Для признания действий компании мониторингом поведения резидентов ЕС, который также служит основанием для применения GDPR в отношении этих компаний, были предложены следующие критерии:

Сбор информации о предпочтениях, интересах, доходах, геолокации и иных характеристиках пользователей веб-сайта компании в онлайн режиме, посредством cookie-файлов (в том числе информации об IP-адресе) для использования этих данных в рекламных и маркетинговых целях;

Наличие персонализированной рекламы для клиентов / покупателей товаров (“behavioural advertisement”), то есть рекламы, адаптированной под предпочтения конкретного лица, его вкусы, доходы и т.д.;

Определение местоположения физических лиц с использованием навигационных систем для маркетинговых целей (геолокализация);

Проведение маркетинговых и иных исследований, основанные на профайлах физических лиц с их личными данными (имя, возраст, контактные данные и т.д.);

Мониторинг состояния здоровья физических лиц;

Онлайн сервисы, предлагающие персонализированную диету и / или аналитические материалы на тему здоровья и здорового образа жизни.

Стоит отметить, что данный перечень не носит исчерпывающий характер и правоприменительная практика может выйти за рамки перечисленных критериев в вопросах определения того, распространяется GDPR на конкретную иностранную компанию или нет.

Одним из важнейших условий обеспечения соответствия деятельности международных компаниях требованиям GDPR является правомерность передачи данных внутри группы компаний и за её пределы. Многие компании сталкиваются с необходимостью передавать данные в другие страны. При этом, законодательство этих стран и сами получатели данных не всегда обеспечивают адекватный уровень защиты передаваемых персональных данных.

В мае 2018 г. одновременно со вступлением в силу GDPR, Европейский Совет принял Guidelines по вопросам трансграничной передачи персональных данных и разъяснил следующее.

Во-первых, в форме согласия на обработку персональных данных необходимо чётко указывать, что данные также могут передаваться в другие юрисдикции, в том числе за пределами ЕС, чтобы субъект персональных данных имел представление о том, на какие действия по обработке данных он даёт согласие. В противном случае, компанию могут обвинить в нарушении обязанности по получению согласия.

Во-вторых, если информация передаётся в другую страну с целью заключения договора с физическим лицом или исполнения договорных обязательств, компания может не использовать дополнительные средства защиты данных (двусторонние соглашения, Binding Corporate Rules (BCR) и т.д.) только в ограниченном количестве случаев. При этом оценивается, насколько необходима такая передача данных именно в эту страну и происходит ли она регулярно.

Так, в Guidelines приводится следующий пример. Если HR-отдел или финансовый департамент международной компании базируются в странах за пределами ЕС, не предоставляющих адекватного уровня защиты данных[2], то это не освобождает компанию от обязанности принять BCR или использовать другие средства договорной защиты информации о своих работниках, передаваемой этим отделам, несмотря на то, что информация собирается компанией в рамках трудовых отношений с работником.

То же самое касается проведения процедур KYC в отношении клиентов / покупателей в других странах, с которыми договорные отношения и фактическое исполнение договора никак не связаны.

Пример:

В случае передачи персональных данных клиентов в страну за пределами ЕС, не предоставляющую адекватный уровень защиты данных, для проведения процедуры KYC, компании, оказывающей такие услуги, данные могут быть защищены заключением двустороннего соглашения о передаче данных с этой компанией.

Компании, передающие данные в другие страны не регулярно, а эпизодически, освобождаются от обязанности применять договорные средства защиты этих данных. Однако доказать, что передача данных происходит эпизодически не так просто. В связи с этим в Gudilenes приводятся конкретные примеры, когда передача данных не считается регулярной.

Примеры:

·     Банк разово провёл платёж в другую страну по поручению клиента.

·     Информация о работнике компании передаётся в другую страну с целью планирования командировки и назначения встреч, регистрации на конференции и т.д.

Также, GDPR оставляет возможность для компаний осуществлять передачу данных без согласия заинтересованных граждан и соглашений о трансграничной передаче, однако, в этом случае необходимо доказать, что компания по объективным причинам не может выполнить этих требований.

Примеры:

·     Получатель данных в другой стране отказался заключать двустороннее соглашение о передаче данных, и у компании есть подтверждение этого.

·     Компания является субъектом малого или среднего бизнеса и средства защиты данных, передаваемых в другую страну, необходимые в соответствии с GDPR, сложно применимы на практике и затратны для компании.

Согласно Guidelines, принятым в январе 2019 г., компании на добровольной основе могут проходить сертификацию внутренней системы GDPR-compliance – комплекса организационных и технических мер обеспечения соблюдения требований GDPR, либо отдельных продуктов и сервисов, предлагаемых компанией, в рамках которых собираются персональные данные.

Сертификация позволит компаниям снизить риски привлечения к ответственности за нарушение GDPR, вероятность внеплановых проверок контролирующих органов. Также, в отношении компании, прошедшей процедуру сертификации, допускается передача персональных данных с соблюдением минимальных требований по защите этих данных.

В Guidelines устанавливаются следующие общие критерии оценки системы GDPR-compliance:

Наличие у компании легитимных оснований обработки данных (согласие субъекта персональных данных, наличие договорных отношений в рамках которых передаются данные и т.д.);

Соблюдение принципов обработки данных (обычно они декларируются компанией в Privacy Policy);

Соблюдение прав субъектов персональных данных;

Наличие мер по обеспечению соблюдения процедуры уведомления контролирующего органа и граждан в случае утечки персональных данных;

Проведение компанией предварительной оценки рисков (“data protection impact assessment”), в тех случаях, когда это требуется в соответствии с GDPR;

Наличие других организационных и технических мер, эффективность их применения на практике.

Более подробные критерии, а также порядок и условия прохождения процедуры сертификации, на данный момент разрабатываются и будут утверждены контролирующими органами в разных странах ЕС.

Также напомним, что аналогичные Guidelines и рекомендации по наиболее важным аспектам применения GDPR, Европейский Совет начал разрабатывать ещё до вступления Регламента в силу. В связи с этим на данный момент также существуют подробные разъяснения по следующим вопросам:

Назначение штрафов за нарушение GDPR;

Отдельные права граждан в отношении их персональных данных;

Требования к согласию на обработку персональных данных;

Порядок уведомления контролирующих органов об утечках информации и другие.

Эти документы призваны помочь компаниям в определении того, подпадают они под действие GDPR или нет, и, если необходимо, внедрить соответствующую compliance-систему. Разъяснения Европейского Совета рекомендуется активно использовать для проведения внутреннего аудита по GDPR или внедрения новых организационных и технических мер защиты персональных данных.

 

[1] Подробнее мы писали об этом здесь – https://www.integrites.com/publications/legal-alert-gdpr/

[2] Перечень стран, предоставляющих адекватный уровень защиты персональных данных, устанавливается Еврокомиссией.