Автор: Дмитриева Евгения, старший юрист компании "Бейкер Тилли Россия"

GDPR – новый регламент ЕС об обработке персональных данных (ПД), требования которого вступили в силу 25 мая 2018 года.

В данном обзоре мы бы хотели объяснить вам ключевые аспекты GDPR и помочь понять, касается ли GDPR вашей компании.

Понимание базовых принципов GDPR позволит вам увидеть те риски, которые не всегда очевидны, но с которыми ваша компания может столкнуться.

Информация, которой мы делимся, поможет выявить риски и указать на решения, которые следует принять, чтобы избежать негативных последствий.

Регламент затрагивает не только юридические лица, находящиеся и зарегистрированные на территории ЕС, но в определенных случаях и компании, учрежденные и осуществляющие свою деятельность вне территории ЕС, в том числе в России.

GDPR с точки зрения законодательства РФ

Формально требования ЕС, включая GDPR, напрямую не распространяются на РФ, поскольку наша страна не включена в состав ЕС, и нет международного договора, на основании которого РФ дала бы согласие на применение GDPR.

На российские компании Регламент оказывает опосредованное влияние.

Согласно Регламенту, передавая персональные данные обработчику (например, на аутсорсинг), компания, подпадающая под действие Регламента, остается ответственной за соблюдение требований GDPR при обработке персональных данных своими контрагентами, включая тех, кто формально не обязан соблюдать Регламент.

Компании-партнеры, расположенные в ЕС и передающие данные лиц, находящихся в ЕС, будут оценивать риски сотрудничества с организациями, расположенными за пределами Евросоюза, с учетом возможного наложения штрафов в случае нарушений правил Регламента.

При этом имплементация требований GDPR возможна только при условии полного соблюдения требований Российского законодательства в той части, в которой нормы Регламента ему не противоречат. В приоритете – полное соблюдение требований законодательства РФ в сфере ПД (с учетом закона Яровой).

Ваша компания попадает в зону действия GDPR, если:

  • Учреждена в ЕС;

  • Имеет филиал/представительство в ЕС;

  • Ориентирована на рынок ЕС, то есть предлагает товары/услуги лицам, находящимся в ЕС;

  • Отслеживает действия на территории ЕС (или поручает такое отслеживание обработчику ПД) субъектов ПД, находящихся на территории ЕС;

  • Внутри группы компаний действуют правила обработки ПД, составленные с учетом GDPR;

  • Материнской компанией приняты правила обработки ПД, составленные с учетом GDPR;

  • Клиент, соблюдающий GDPR, передает ПД вашей компании и требует, чтобы обработка данных осуществлялась в соответствии с GDPR;

  • У компании есть дочерние организации или филиалы на территории ЕС;

  • Компания поручила обработку данных дочерней компании в ЕС;

  • Компания определяет цели/способы обработки ПД совместно с компанией из ЕС;

  • Компания имеет агента в ЕС (например, агент осуществляет судебное представительство).

Последствия несоблюдения требований GDPR

Ухудшение репутации компании на международном рынке в части защиты данных. Отказ клиентов работать с компанией. Потеря потенциальных клиентов.

Нарушение коммерческих и некоммерческих отношений с компаниями, расположенными в ЕС (к примеру, закрытие корреспондентских счетов банковской организации или добавление организации в «черный список», расторжение отношений с контрагентами).

Крупные штрафные санкции (к примеру, по результатам проверки организаций, расположенных в ЕС, при этом источником информации могут быть обращения от субъектов ПД к регулятору).

Нарушение доступности веб-ресурсов для субъектов ПД в ЕС, задействованных в сборе ПД

Для соответствия GDPR требуется:

  • пересмотреть процессы обработки ПД;

  • привести эти процессы в соответствие с требованиями GDPR;

  • доработать локальные акты, регулирующие обработку ПД;

  • провести обучение (тренинги) по GDPR.