GDPR новый регламент защиты персональных данных, разработанный в ЕС, оказывает влияние также и на некоторые российские компании. Общий (генеральный) регламент о защите персональных данных начал действовать с 25 мая 2024 года, целью его внедрения было усиление и унификация защиты ПД всех лиц в Европейском Союзе. Предполагалось, что путем унификации регулирования в рамках Евросоюза будет упрощена нормативная база для международных экономических отношений. Целью данной статьи является выяснение, каких предприяти коснется GDPR — это важно, поскольку регламент затрагивает не только организации, прошедшие регистрацию на территории Евросоюза, но и фирмы, чья деятельность ведется вне ЕС, в том числе и в РФ.
Gdpr новый регламент защиты персональных данных — основные понятия
Прежде чем разбираться, чем грозит игнорирование нового Регламента ЕС российскими компаниями, следует обозначить некоторые понятия:
Субъект данных — физическое лицо, чьи персональные данные подлежат обработке.
Обработчик данных — организация, совершающая обработку данных от имени контролера данных.
Контролер данных — организация, которая собирает данные от резидентов Евросоюза.
Gdpr новый регламент защиты персональных данных с точки зрения российского законодательства
Разумеется, требования Евросоюза, в том числе и новый регламент защиты персональных данных, формально не распространяется на предприятия, зарегистрированные и осуществляющие деятельность на территории России. Причин тому две:
- Россия не является страной-участницей Европейского Союза.
- Не существует ни одного международного соглашения, которое предполагало бы согласие России на применение порядков GDPR.
Но тему внедрения в ЕС нового регламента следует обсудить, поскольку GDPR уже сегодня оказывает опосредованное влияние на бизнес в нашей стране. Одно из положений GDPR говорит о том, что организация, подпадающая под действие нового регламента и передавшая персональные данные обработчику, продолжает нести ответственность за соблюдение положений регламента при осуществлении обработки ПР своими контрагентами, в том числе теми, которые не несут обязательств по соблюдению требований GDPR.
Из этого следует, что организации-партнеры, находящиеся в Евросоюзе и передающие на обработку данные лиц, пребывающих в ЕС, будут проводить тщательную оценку рисков, связанных с сотрудничеством с компаниями за пределами Европейского Союза. Ведь, если требования нового регламента, вступившего в силу, будут нарушены, на организации в ЕС будет наложен штраф.
Проблема российских компаний, сотрудничающих с европейскими организациями, заключается в том, что имплементация требований нового регламента возможна для них исключительно при условии полного соблюдения норм действующего законодательства РФ в той части, в которой положения GDPR не противоречат нашим законам. В идеале, необходимо следить за полным соблюдением российского законодательства в сфере персональных данных с принятием во внимание недавно вступившего в силу закона Яровой.
Когда российская компания попадает в зону действия GDPR
Gdpr новый регламент защиты персональных данных будет оказывать влияние на компанию в следующих случаях:
- Организация учреждена на территории ЕС.
- У компании имеется представительство или филиал на территории Евросоюза.
- Деятельность предприятия ориентирована на рынок Евросоюза (предлагает услуги или товары лицам, пребывающим в Евросоюзе).
- У организации в ЕС имеется агент (к примеру, агент может на территории ЕС осуществлять судебное представительство).
- Организация определяет способы обработки персональных данных или цели их обработки совместно с юридическим лицом из ЕС.
- Фирма передала дочерней компании в Евросоюзе данные на обработку.
- У организации имеются дочерние компании или филиалы в одной из страны ЕС.
- Компания, передавшая организации персональные данные на обработку, соблюдает регламент и требует соблюдения его положений.
- Материнской организацией были приняты правила обработки персональных данных, сформированные с принятием во внимание положений нового регламента ЕС.
- Внутри группы компаний действуют правила обработки персональных данных, составленные с принятием во внимание GDPR.
- Организация отслеживает действия на территории стран Евросоюза субъектов персональных данных, находящихся в ЕС (или поручает подобное отслеживание обработчику персональных данных).
Какие могут быть последствия, если не соблюдать Gdpr новый регламент защиты персональных данных
Для начала выясним, что потребуется сделать российским компаниям, попадающим под влияние нового регламента защиты персональных данных, чтобы соответствовать GDPR:
- осуществить пересмотр процессов проведения обработки персональных данных с точки зрения соблюдения норм GDPR;
- процессы, не отвечающие требованиям Регламента, привести в соответствие с его требованиями;
- отправить на доработку внутренние акты компании, касающиеся обработки персональных данных;
- провести внутри компании тренинги по GDPR.
Теперь можно озвучить те последствия, к которым приведет несоблюдение требований нового Регламента ЕС компаниями, чья деятельность так или иначе зависит от ЕС:
- Ухудшение репутации организации в части защиты персональных данных на международном рынке. Как следствие — отказ предприятий сотрудничать и потеря потенциальных клиентов.
- Нарушение доступности интернет-ресурсов для субъектов персональных данных в Евросоюзе, задействованных в сборе данных.
- Нарушение не- и коммерческих отношений с организациями на территории Евросоюза (прекращение отношений с контрагентами, добавление компании в «черный список», закрытие корр. счетов банка).
- Наложение штрафов (по итогам проверки компаниями, находящимися в Евросоюзе).
- Жалобы со стороны субъектов персональных данных к регулятору.
Читайте также статью ⇒ «Персональные данные с 1 июля 2017 года: ужесточение ответственности + штрафы«.
Законодательные акты по теме
Постановление (Европейский союз) 2016/679 | Постановление ЕС, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в ЕС |
Типичные ошибки
Ошибка: Российская компания, сотрудничающая с организацией в ЕС, узнала о нарушении требований GDPR и умолчала об этом.
Комментарий: Компании обязаны уведомлять регулирующие органы о случаях нарушений, связанных с ПД европейцев, в течение 72 часов после обнаружения нарушений.
Ошибка: Российская компания обрабатывает персональные данные европейских пользователей без получения на то их согласия.
Комментарий: Согласие субъекта на обработку его ПД должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Если у пользователя не было выбора, или он не мог отозвать свое согласие без ущерба для себя, согласие на обработку ПД будет признано недействительным.
Ответы на распространенные вопросы про Gdpr новый регламент защиты персональных данных в ЕС
Вопрос №1: Должна ли компания, которая вынуждена обрабатывать данные резидентов ЕС, отвечать требованиям GDPR, если она находится в России?
Ответ: Да. Новый регламент имеет экстерриториальное действия и применяется ко всем организациям (вне зависимости от места их нахождения), обрабатывающим в ходе своей деятельности персональные данные резидентов/граждан стран ЕС.
Вопрос №2: Должна ли компания, обрабатывающая персональные данные жителей Европы при реализации онлайн-продаж, соответствовать требованиям GDPR?
Ответ: Да. Компании, реализующие онлайн-продажи европейцам, обязаны обрабатывать их персональные данные с учетом новых требований Регламента.