GDPR: Защита персональных данных граждан ЕС в Европе и за её пределами.

25 мая 2018 года вступает в силу Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных — General Data Protection Regulation (GDPR)). что существенно ужесточает требования по работе с персональными данными и делает недостаточным простое следование ФЗ-152,242.

Положения рассматриваемого Регламента носят трансграничный характер — ЕС распространяет его действие на организации, предоставляющие сервис, товары или услуги потребителям Европейского Союза. При этом не важно, где зарегистрирована компания — в ЕС или за его пределами, в том числе и на территории Российской Федерации. Речь идет, в первую очередь, о:

• Гостиницах
• Авиа и др. транспортных компаниях
• Туристических агентствах
• Интернет-магазинах
• Онлай-агрегаторах
• Операторах мобильной связи
• Разработчиках онлайн игр
• Образовательных учреждениях
• И иных сфер бизнеса, оперирующих данными европейских пользователей.

Так как, под Регламент попадают и резиденты ЕС, не имеющие гражданства ЕС, то определить по формальным признакам, персональные данные каких из клиентов требуется защищать, практически невозможно.

В публичном поле в РФ данный Регламент был упомянут в контексте «Закона Яровой». Во избежание двойного толкования, следует отметить, что текст Регламента крайне евроцентричен, и, например, отсылка к правоохранительным органам или законам указывает на правоохранительные органы ЕС и законы ЕС.

Помимо стандартных норм в отношении порядка обработки и хранения персональных данных, особое внимание, как российским, так и компаниям из иных юрисдикций надлежит уделить порядку наложения административных штрафов за невыполнение положений Регламента, максимальным из которых является штраф в размере 20 000 000 евро или 4% от общей годовой выручки компании, в зависимости от того, какая из этих сумм является большей (при этом на обработку данных может быть наложен запрет, что фактическое означает прекращение бизнеса на территории ЕС).

Положения обозначенного Регламента подлежат применению в отношении:

1. Обработки персональных данных (далее — «ПД»), осуществляемой компаниями, зарегистрированными на территории ЕС (вне зависимости от того, обрабатываются ли данные на территории ЕС или нет).
2. Обработки ПД в отношении субъектов ПД, находящихся на территории ЕС, осуществляемой компаниями, зарегистрированными за пределами ЕС, в случае если обработка ПД происходит в связи с:
   • предложением товаров и услуг;
   • мониторингом поведения.

Под персональными данными, по смыслу рассматриваемого Регламента, надлежит понимать любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Из определения следует, что Регламент не охватывает обработку ПД юридического лица (наименование, контактную информацию и т.д.). Кроме того, положения Регламента не распространяются на обработку ПД в ходе осуществления личной или бытовой деятельности, не связанной с коммерческой деятельностью (личная переписка, обмен контактными данными и т.д.), а также не применяются в отношении обработки анонимной информации (в этом случае анонимизация должна быть необратимой), в том числе в статистических или исследовательских целях.

Основными субъектами, на которых распространяется действие Регламента, являются:

• Controller (далее — «Контролер») — физическое или юридическое лицо, орган государственной власти или иной орган, который самостоятельно определяет цели и средства обработки персональных данных.
• Processor (лицо, осуществляющее обработку ПД — далее — «Оператор»¹) — физическое или юридическое лицо, орган государственной власти или иной орган, который непосредственно обрабатывает ПД от имени Контролера.
• Recipient (получатель ПД) — физическое или юридическое лицо, орган государственной власти или иной орган, которому раскрываются ПД.
• Representative (представитель) — физическое или юридическое лицо, назначаемое в случае, если обработка ПД осуществляется компанией, зарегистрированной за пределами ЕС. Представитель является связующим звеном между Контролером/Оператором и конечными пользователями.
• Data subject — физическое лицо, субъект ПД.

В рамках осуществления своей деятельности по сбору, обработке и хранению персональных данных, уполномоченные субъекты должны руководствоваться следующими принципами:

• Законности, беспристрастности и прозрачности по отношению к субъекту ПД.
• Ограничения цели сбора (данные обязаны быть использованы только для четко описанных конкретных целей).
• Минимизации данных (адекватность, данные должны быть релевантны заявленным целям и ограничены тем, что необходимо для заявленных целей обработки ПД).
• Корректности (данные должны быть корректными , все необходимые шаги должны быть предприняты для безотлагательного исправления или удаления некорректных данных).
• Ограничения хранения (хранение в форме, позволяющей идентифицировать субъект ПД не дольше, чем это требуется для заявленных целей обработки ПД).
• Целостности и конфиденциальности (ПД должны обрабатываться способом, который удостоверяет сохранность информации, включая защиту от незаконной или неавторизованной обработки, защиту от случайной утраты данных, уничтожения или повреждения, используя для этого адекватные технические и организационные методы).
• Подотчетности (Контроллер несет ответственность и должен быть способным продемонстрировать соответствие всем вышеперечисленным принципам).

Обработка ПД признается законной в случае, если выполнению подлежит одно из следующих условий:

• Субъект ПД дал согласие на обработку своих ПД для выполнения конкретной цели обработки.
• Обработка ПД осуществляется в связи с выполнением условий договора, стороной которого является субъект ПД.
• Обработка осуществляется в целях соблюдения обязательств, возложенных на Контролера.
• Обработка осуществляется в целях защиты жизненных интересов субъекта ПД или иного физического лица.
• Обработка необходима в связи с выполнением задач, осуществляемых в интересах государства, или в случае осуществления Контролером функций государственной власти (важно отметить, что текст GDPR исключительно евроцентричен и в данном случае это государственные власти ЕС).
• Обработка необходима для законных интересов контроллера или третьей стороны, исключая случаи, которые противоречат интересам, фундаментальным правам и свободам субъекта ПД, в частности, когда таковым субъектом является ребенок (данный пункт неприменим при обработке ПД правоохранительными органами, но текст Регламента однозначно трактует это как правоохранительными органами ЕС).

Отдельно хотим остановиться на надлежащем получении согласия субъекта ПД на соответствую обработку его данных. Согласие должно быть дано в результате осуществления четкого утвердительного действия, с помощью которого субъект ПД демонстрирует свое добровольное и однозначное согласие на обработку ПД — например, посредством письменного (в том числе, поданного в электронной форме) или устного заявления. Согласие может быть дано посредством проставления галочки/крестика, а также заявления, выраженного в иной форме, которое четко указывает на то, что субъект ПД согласен на обработку своих ПД именно в условиях существующего контекста, для определенных и обозначенных целей.

В то же время, Регламент устанавливает особые критерии для осуществления обработки ПД в отношении детей. Обработка ПД в отношении детей, не достигших 16-ти летнего возраста, признается законной только в случае получения согласия на обработку ПД от родителей обозначенных детей. Между тем, страны-участницы ЕС вправе устанавливать меньший возраст для указанных целей, но не менее 13 лет.

Кроме того, Регламент вводит особые условия обработки в отношении отдельных категорий данных. В соответствии с положениями рассматриваемого Регламента, по общему правилу, запрещается обработка данных, раскрывающих расовое или этническое происхождение, политические и религиозные взгляды, членство в профессиональном союзе, а также обработка генетических и биометрических данных для однозначной идентификации физического лица, данных в отношении здоровья, половой жизни, а также сексуальной ориентации физического лица. Обработка указанной категории данных может быть осуществлена только при наличии обозначенных в Регламенте оснований (в частности, получения согласия от субъекта ПД, защиты жизненных интересов физического лица и т.д.).

Основные обязанности уполномоченных субъектов складываются, исходя из основополагающих прав субъектов ПД, и состоят в обеспечении следующих категорий прав:

• Право на получение информации — обозначенное право складывается посредством надлежащего уведомления субъекта ПД о необходимости предоставления релевантной, адекватной, правдивой информации.
• Право на доступ — данное право представляет собой, в первую очередь, право на получение субъектом ПД подтверждения об обработке его персональных данных, получения доступа к данным, а также к информации в отношении целей обработки, категории обрабатываемых данных, получателей ПД, предусмотренного срока хранения ПД и т.д.
• Право на внесение изменений (исправление ошибок) — посредством данной категории, субъект вправе требовать от Контролера внесения изменений и устранение неточностей в отношении его ПД.
• Право на удаление ПД (право на забвение)² — в соответствии с указанной категорией, субъект вправе требовать от Контролера незамедлительного удаления относящихся к нему ПД при наличии особых оснований (ПД больше не требуются для целей, для которых они были получены; субъект данных отозвал свое согласие; персональные данные обрабатывались незаконно и т.д.). Однако, при получении запроса на удаление данных, Контролер должен принимать во внимание общественный интерес указанных данных, основополагающее право на свободу выражения мнения и распространение информации и иные условия, обозначенные в Регламенте. В некоторых случаях, при невозможности удаления ПД, может быть применено ограничение обработки (ПД не должны обрабатываться в будущем).
• Право на ограничение обработки ПД — в соответствии с данной категорией, субъект ПД вправе потребовать от Контролера ограничить обработку ПД при наличии особых условий (данные являются неточными; обработка осуществляется незаконно, однако субъект возражает против удаления данных и т.д.).
• Право на переносимость ПД — согласно данной категории, субъект ПД вправе получить относящиеся к нему ПД, предоставленные Контролеру, в структурированном и машиночитаемом формате, а также передать обозначенные данные иному Контролеру, в случае осуществления обработки при помощи автоматизированных средств.
• Право на возражение — в соответствии с данной категорией, субъект ПД вправе возражать против обработки относящихся к нему ПД (например, для целей прямого маркетинга).
• Права, возникающие в связи с автоматизированным принятием решений и профилированием — в соответствии с данной категорией прав, субъект ПД должен иметь право не подпадать под действие решения, основанного на автоматической обработке данных, которое порождает юридические последствия в отношении него.

Важно также отметить, что в случае утечки ПД, Контролер обязан в течение 72 часов уведомить об этом соответствующий компетентный орган (за исключением случаев, когда утечка не приведет к риску для прав и свобод физических лиц). В случае, если утечка данных может привести к высокой степени риска для прав и свобод физических лиц, Контролер обязан незамедлительно уведомить о соответствующей утечке субъектов данных.

Контролер при проведении подготовки к обработке, а также осуществлении обработки ПД, обязан применять все соответствующие технические и организационные меры для реализации защиты ПД, в частности, псевдонимизации³ и криптографической защиты ПД. Между тем, Регламент прямо предусматривает, что защита должна иметь технически нейтральный характер, не зависеть от используемых технических средств. Она должна применяться по отношению к обработке ПД автоматическими средствами, а также к ручной обработке в случае хранения обозначенных ПД в файловой системе.

Так, например, во время предстоящего Чемпионата мира по футболу все сайты гостиниц России, при наличии формы бронирования или заказа (где пользователь должен указать свои ПД), обязаны при работе с гражданами ЕС соблюдать нормы европейского Регламента. А именно: не только запрашивать разрешение на обработку персональных данных в виде чекбокса (галочки), но и передавать их в защищенном виде по цепочке «браузер пользователя» — «сервер сайта» — «CRM». И да, от хранения базы клиентов в старом добром «экселе» на рабочем столе придется отказаться.

Контролер и Оператор также обязуются использовать правила внутреннего распорядка, методы защиты ПД, а также сертификации, предусмотренные Регламентом (в том числе, относящиеся к методам обработки ПД, порядку хранения и учету данных, своевременному предоставлению отчетов о своей деятельности контролирующим органам Союза и т.д.).

Положения рассматриваемого Регламента затрагивают и правовые средства защиты нарушенных прав. Так, в соответствии с Регламентом, каждый субъект ПД праве подать жалобу в надзорный орган⁴ по месту своего проживания, месту работу или месту предполагаемого нарушения в случае, если он сочтет, что обработка его данных нарушает положения Регламента. Надзорный орган обязан своевременно уведомить субъекта ПД о ходе и результатах рассмотрения жалобы, в том числе о возможности судебной защиты нарушенного права. При неполучении ответа на жалобу в течение 3 месяцев, субъект ПД вправе подать в суд на надзорный орган по месту учреждения рассматриваемого органа. Кроме того, любое физическое или юридическое лицо вправе подать в суд на надзорный орган в отношении принятого им решения.

Регламент также предусматривает право субъекта обратиться в суд в случае нарушения его прав посредством обработки его ПД с нарушением положений Регламента. Субъект вправе обратиться в суд по месту учреждения Контролера или Оператора, а также по месту своего проживания (за исключением случаев обработки ПД, в рамках которой Контролером или Оператором выступают органы государственной власти).

Кроме того, любое лицо, которое понесло материальный или нематериальный ущерб в результате нарушения положений Регламента, вправе обратиться за компенсацией понесенного ущерба, понесенного в результате действий Контролера или Оператора.

Важным в этом случае является положение, согласно которому субъект ПД вправе передавать свое право на подачу жалобы, на обращение в суд, а также на получение компенсации, некоммерческому органу, организации или ассоциации, учрежденному в соответствии с законодательством страны-участницы ЕС в целях защиты прав и свобод граждан. Страна-участница ЕС, в рамках своего внутреннего законодательства, может предоставить соответствующей некоммерческой организации право самостоятельно подавать жалобу в надзорный орган (вне зависимости от волеизъявления субъектов ПД), а также обращаться в суд, если такая организация придет к выводу, что права субъектов ПД, предоставляемые рассматриваемым Регламентом, были нарушены.

При нарушении положений рассматриваемого Регламента, максимальным наказанием является наложение штрафа на компанию в размере 20 000 000 евро или 4% от общей годовой выручки компании, в зависимости от того, какая из этих сумм является большей.
Также, надзорный орган ЕС имеет право приостановить или запретить обработку данных на территории ЕС, как один из способов воздействия на контроллера или процессора персональных данных.

При вынесении соответствующего наказания, каждый надзорный орган ЕС должен гарантировать, что оно является эффективным, пропорциональным, оказывает сдерживающее воздействие. Кроме того, необходимо учитывать:

• Характер, тяжесть и продолжительность нарушения
• Наличие умысла при нарушении положений Регламента
• Меры, принятые Контролером или Оператором для смягчения ущерба от нарушения положений Регламента
• Степень ответственности Контролера или Оператора, принимая во внимание технические или организационные меры, принятые обозначенными субъектами
• Степень сотрудничества Контролера или Оператора с надзорным органом для устранения нарушений
• Категории ПД, затронутые нарушением, и иные условия.

Подводя итоги, можно говорить о том, что рассматриваемый Регламент оказывает воздействие на общемировой порядок обработки персональных данных и меняет общую политику в этой области. Европейский Союз, основывая свое решение на существовании трансграничного потока персональных данных своих граждан, по факту, распространил действие Регламента на все компании, зарегистрированные за пределами ЕС, в случае обработки данных в отношении европейских пользователей. Таким образом, в том числе и российские компании, так или иначе обрабатывающие данные европейских пользователей, обязаны подстраиваться под данный Регламент, встраивать спецификации и методы защиты, обозначенные в нем, в свою деятельность, и быть готовыми доказывать, при необходимости, свою добросовестность при осуществлении обработки персональных данных европейских пользователей.

Мария Мищенко
Ведущий юрист по международному праву

Информация по теме:

• Первые штрафы по GDPR: в Германии наказали социальную сеть за утечку персональных данных
• Услуга по внедрению системы обработки персональных данных в соответствии требованиями Регламента (ЕС) N 2016/679 (GDPR)
• Статья о защите персональных данных в РФ с 1 июля 2017 года.
• Услуга по подготовки документов под требования закона по защите персональных данных (ФЗ 152)

¹ Между тем, хотим отметить, что «Оператор», деятельность которого регулируется настоящим Регламентом, не тождественен «Оператору обработки персональных данных» в соответствии с Федеральным Законом от 27.07.2006 N 152-ФЗ «О персональных данных».

² В настоящий момент данное право раскрывается в положениях Директивы 95/46/ЕС Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных от 24 октября 1995 года (Директива, отменяемая вступлением в силу рассматриваемым Регламентом), Хартии Европейского Союза об основных правах, а также Решении Суда Европейского союза C-131/12 от 13 мая 2014 — в 2014 году Суд Европейского Союза вынес решение по резонансному делу, ставшим фундаментальным прецедентом в этой области.

Суть рассматриваемого Судом дела сводится к следующему: гражданин Испании (Марио Костеха Гонсалес) обнаружил, что при введении в поиск его имени, Google выдает ссылку на статью испанской газеты 1998 года, содержащей сведения о продаже его имущества с аукциона (в связи с неоплатой долгов). Все долги были уже уплачены, все требования кредиторов выполнены, но поисковик все равно находил эту статью. Суд Европейского Союза счел, что указанная информация уже перестала быть актуальной.

В соответствии с данным Решением, поисковые системы обязаны по требованию европейских пользователей удалять результаты поиска, содержащие сведения в отношении них, являющиеся некорректными, неактуальными, устаревшими или неправомочными. Хоть данное дело и является прецедентным, оно не предоставляет пользователям безусловное право на удаление информации о себе. Суд в своем Решении подчеркнул, что поисковик должен найти четкую грань между правом пользователя на забвение и фундаментальным правом на свободу распространения информации.

Сам Google, ссылаясь на Решение, указывает, что, получив такой запрос, они сопоставят право пользователя на неприкосновенность частной жизни с правами других лиц на распространение и получение информации. При рассмотрении данного запроса они будут учитывать актуальность сведений и наличие общественного интереса к ним. Например, они могут отклонить запрос на удаление информации о финансовых аферах, незаконных профессиональных действиях, уголовных судимостях или общественном поведении представителей органов власти.

По нашей практике, данный сервис актуален для российских граждан, имеющих разрешение на временное/постоянное проживание на территории ЕС, при открытии счетов в европейских Банках. В рамках проведения процедуры compliance Банки внимательно анализируют информацию в отношении бенефициаров, в том числе и посредством поиска соответствующей информации о нем в поисковых системах. В случае нахождения Банками информации, которую они относят к негативной, оптимальным будет являться подать соответствующее заявление к поисковой системе, тем самым обозначив свою позицию несогласия с представленной в сети «Интернет» информацией.

³ Под псевдонимизацией, по смыслу рассматриваемого Регламента, надлежит понимать деидентификацию данных посредством удаления связи субъекта ПД с обрабатываемыми данными, с последующим присвоением идентифицирующих признаков при условии, что информация в отношении них хранится отдельно от самих данных.

⁴ Независимый орган государственной власти, ответственный за мониторинг применения положений рассматриваемого Регламента. Главы надзорных органов входят в учреждаемый Регламентом Европейский совет по защите данных, основной обязанностью которого является консультирование Европейской Комиссии по вопросам защиты персональных данных, а также издание соответствующих указаний и разъяснений.