GDPR и российский бизнес: как соблюдать европейские требования к данным

Общий регламент по защите данных (GDPR) вступил в силу 25 мая 2018 года и действует на территории всех стран Европейского Союза. Однако важной особенностью GDPR является его экстерриториальный характер, распространяющий требования регламента на компании за пределами ЕС, в том числе на российский бизнес.

GDPR применяется к российским компаниям в следующих случаях:

1. Наличие присутствия в ЕС. Согласно ст. 3(1) GDPR, регламент применяется к обработке персональных данных в связи с деятельностью присутствия (establishment) оператора или обработчика в ЕС, вне зависимости от того, происходит ли обработка на территории ЕС или нет. Если у российской компании есть филиал, представительство или дочерняя компания на территории ЕС, то на эту структуру распространяются требования GDPR.
2. Направленность на субъектов данных в ЕС. Согласно ст. 3(2) GDPR, регламент применяется также к обработке персональных данных граждан, которые находятся на территории ЕС, даже если оператор или обработчик не имеет присутствия в ЕС, при условии, что обработка относится к предложению товаров или услуг гражданам, находящимся в ЕС, или мониторингу их поведения на территории ЕС.
3. Обработка данных по поручению европейской компании. Если российская компания выступает в качестве обработчика персональных данных (процессора) по поручению европейской компании (контролера), она также должна соблюдать требования GDPR.

О направленности бизнеса на европейский рынок могут свидетельствовать следующие факторы:

• Сайт компании доступен на языках стран ЕС
• Возможность оплаты в евро или других европейских валютах
• Размещение сайта на доменах стран ЕС (.de, .fr, .it и т.д.)
• Возможность доставки товаров или оказания услуг на территории ЕС
• Таргетированная реклама, направленная на пользователей из ЕС

На вопрос, действует ли GDPR в России, ответить односложно нельзя. Действует, но только если юридическое лицо имеет доступ к персональным данным лиц, которые являются гражданами стран ЕС, или сама компания осуществляет свою деятельность на территории такого государства.

Основные требования GDPR для российских компаний

Согласно регламенту GDPR требования по работе с персональными данными включают в себя:

• Обработка должна быть легальной, справедливой и прозрачной
• Собранные данные должны быть ограничены конкретными и законными целями
• Собранные данные должны быть точными, актуальными и своевременными
• Время хранения данных должно быть ограничено
• Данные могут быть переданы только в страны, где гарантируется их безопасность и конфиденциальность

Для законной обработки персональных данных необходимо наличие одного из следующих правовых оснований:

1. Согласие субъекта данных
2. Необходимость для исполнения договора
3. Выполнение юридических обязательств
4. Защита жизненно важных интересов субъекта данных
5. Выполнение задачи в общественных интересах
6. Законные интересы оператора или третьей стороны

При этом для каждой цели обработки данных должно быть определено конкретное правовое основание.

GDPR существенно расширяет права субъектов персональных данных. Российские компании, подпадающие под действие регламента, должны обеспечить следующие права:

• Право на информацию о том, как обрабатываются данные
• Право на доступ к своим данным
• Право на исправление неточных данных
• Право на удаление данных ("право на забвение")
• Право на ограничение обработки
• Право на переносимость данных
• Право на возражение против обработки
• Право на отзыв согласия

Компании-обработчики обязаны обеспечить право на забвение. Обработчик обязан удалить персональные данные пользователя по запросу, если это требование не идет вразрез с интересами сообщества или другими правами жителей ЕС.

Практические шаги по соблюдению GDPR для российского бизнеса

Аудит и документирование обработки данных

Первым шагом к соблюдению GDPR является проведение аудита всех процессов обработки персональных данных в компании:

1. Выявление контекста организации, определение потребностей в защите персональных данных, привлекаемых и заинтересованных лиц, охват работ.
2. Выделение, структурирование и документирование всех целей обработок персональных данных. Необходимо сформулировать цели не юридическим, а "человеческим" языком, причем настолько конкретно и ясно, чтобы можно было выделить различные обработки, подобрать одно-единственное правовое основание под каждую обработку, и чтобы типичный представитель целевой аудитории мог понять, что будет происходить с его персональными данными.
3. Разработка и ведение Реестра операций обработки персональных данных по ст.30 GDPR (RoPA). Он представляет собой каталог целей обработки данных, а также содержит сведения о собираемых данных, процессорах, сроках удаления и т.п.

Организационные и технические меры

Для соблюдения GDPR необходимо внедрить комплекс организационных и технических мер:

1. Получение и документирование согласий. Согласие должно быть конкретным, информированным и однозначным. Компании должны быть способны продемонстрировать получение согласия и обеспечить возможность его отзыва.
2. Обеспечение безопасности данных. Компания-обработчик обязана защитить персональные данные от кражи, повреждения или подмены. Поэтому сведения должны шифроваться, а их распространение – контролироваться.
3. Назначение ответственных лиц. В некоторых случаях необходимо назначить сотрудника по защите данных (Data Protection Officer, DPO), который будет управлять бизнес-процессами, касающимися работы с персональными данными, и следить за соблюдением требований GDPR.
4. Уведомление об утечках данных. Компании обязаны уведомлять представителей регулятора об утечках данных в течение 72 часов с момента обнаружения нарушения.

Трансграничная передача данных из ЕС в Россию

Особое внимание следует уделить вопросам трансграничной передачи данных из ЕС в Россию, поскольку Россия не входит в список стран, обеспечивающих адекватный уровень защиты персональных данных согласно решению Европейской комиссии.

Для законной передачи персональных данных из ЕС в Россию могут использоваться следующие механизмы:

1. Стандартные договорные положения (Standard Contractual Clauses, SCC) – специальные контрактные условия, одобренные Европейской комиссией.
2. Обязательные корпоративные правила (Binding Corporate Rules) – принятые многонациональными группами компаний и одобренные органами GDPR для передачи персональных данных внутри группы.
3. Исключения для особых случаев, таких как:
   Явное согласие субъекта данных
   Необходимость для исполнения договора
   Важные причины общественного интереса
   Защита жизненно важных интересов субъекта данных

Европейский совет по защите данных (EDPB) рекомендует проводить оценку воздействия на передачу данных (DTIA) для определения, гарантирует ли конкретная схема передачи данных достаточную защиту персональных данных, передаваемых в такие третьи страны, как Россия.

При оценке рисков особое внимание уделяется законам и практикам, действующим в России, особенно в отношении доступа к персональным данным российскими государственными органами в целях правоохранительной деятельности и национальной безопасности.

Сравнение GDPR и ФЗ-152

Российские компании, работающие с европейскими клиентами, должны соблюдать как российский ФЗ-152 "О персональных данных", так и европейский GDPR. Между этими нормативными актами есть как сходства, так и существенные различия.

Основные отличия GDPR от ФЗ-152:

1. Экстерриториальное действие – GDPR распространяется на компании за пределами ЕС, в отличие от ФЗ-152.
2. Право на перенос данных – GDPR определяет право на передачу персональных данных между компаниями по запросу пользователя.
3. Уведомление об утечках – GDPR требует уведомлять регулирующие органы об утечках в течение 72 часов после обнаружения с отчетом о рисках для физических лиц и списком предпринятых мер по их снижению.
4. Размер штрафов – За нарушения требований GDPR предусмотрены штрафы до 20 миллионов евро или 4% годового оборота организации.

Ответственность за нарушение GDPR

Нарушения требований директивы GDPR караются крупными штрафами, которые могут достигать 20 миллионов евро или 4% годового оборота организации. Эти штрафы могут быть применены к российским компаниям, имеющим представительство в ЕС или активно работающим с европейскими клиентами.

Помимо финансовых санкций, компания может столкнуться с репутационными рисками и потерей доверия клиентов. Кроме того, несоблюдение GDPR может ограничить возможности сотрудничества с европейскими партнерами.

Для эффективного соблюдения требований GDPR российским компаниям рекомендуется:

1. Определить применимость GDPR к деятельности компании. Проанализировать, подпадает ли бизнес под критерии, описанные в статье 3 GDPR.
2. Провести аудит данных – выявить, какие персональные данные европейских граждан обрабатываются, для каких целей и на каких правовых основаниях.
3. Разработать необходимую документацию – политику конфиденциальности, формы согласия, соглашения об обработке данных с подрядчиками.
4. Внедрить технические и организационные меры для обеспечения безопасности данных и реализации прав субъектов данных.
5. При необходимости назначить представителя в ЕС – для компаний без физического присутствия в ЕС, но подпадающих под действие GDPR.
6. Заключить необходимые соглашения для трансграничной передачи данных, если компания передает данные между ЕС и Россией.
7. Обучить персонал принципам и требованиям GDPR.

Соблюдение требований GDPR становится неотъемлемой частью ведения международного бизнеса для российских компаний, работающих с европейскими клиентами и партнерами. Несмотря на сложность и комплексность регламента, правильный подход к организации процессов обработки персональных данных позволит не только избежать штрафов, но и повысить доверие клиентов.

Российским компаниям следует рассматривать соблюдение GDPR не как бремя, а как конкурентное преимущество, демонстрирующее ответственный подход к защите персональных данных. Инвестиции в соответствие европейским стандартам защиты данных в долгосрочной перспективе окупаются за счет расширения возможностей для международного сотрудничества и укрепления репутации компании.