Расширенный поиск

Правила о защите персональных данных граждан с каждым годом приобретают все более крупный масштаб. Мировое сообщество уже осознало необходимость защиты персональной информации, недопущения ее бесконтрольного использования и необходимость принятия достаточных мер для обеспечения охраны информации о частной жизни каждого. Особое значение приобрели вопросы о трансграничной передаче персональных данных, и можно отчетливо проследить тенденцию внедрения норм о защите персональных данных экстерриториального характера.

Россия также не осталась в стороне от общемировых тенденций. Так, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) предусматривает особые правила о трансграничной передаче персональных данных. В частности, статьей 12 закона предусмотрено, что трансграничная передача персональных данных по общему правилу допускается только в те государства, которые являются участниками Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных[1], или в государства, не являющиеся ее участниками, но обеспечивающими адекватную защиту при обработке персональных данных граждан при условии их соответствия положениям Конвенции[2]. Такое специальное регулирование трансграничной передачи персональных данных связано с необходимостью ограничения возможности для лиц, обрабатывающих персональные данные, обходить закон и выводить процесс обработки в страны с менее благоприятным регулированием защиты персональных данных и, соответственно, упрощенным режимом соблюдения необходимых требований для операторов.

Особого внимания заслуживают и нормы, имеющие особый экстерриториальный характер, то есть, распространяющиеся на операторов в любых странах, которые обрабатывают персональные данные российских граждан. Самый наглядный и вызвавший в свое время много обсуждений пример – правило о локализации персональных данных, закрепленное в пункте 5 статьи 18 Закона о персональных данных. Это правило заключается в необходимости операторам, осуществляющим обработку персональных данных граждан Российской Федерации, обеспечить хранение таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации. Действие этого правила распространяется на деятельность иностранных операторов, если они ведут свою деятельность через Интернет в отсутствие физического присутствия на территории России, если их деятельность направлена на территорию Российской Федерации[3]. Нормы о локализации персональных данных предполагают, что сбор персональных данных о российских гражданах и их хранение в первую очередь должно быть именно с использованием российских баз данных, далее допускается их передача и копирование в иностранные базы данных, однако наоборот, когда данные сначала собираются в иностранных базах данных, а затем копируются на российские – недопустимо[4].

В связи с появлением правила о локализации персональных данных иностранные операторы, осуществляющие направленную деятельность на территорию Российской Федерации через Интернет, обязаны соблюдать такое требование и в случае его несоблюдения несут ответственность. Закон предусматривает в качестве механизма привлечения к ответственности операторов за несоблюдение требования о локализации блокирование доступа к информации, обрабатываемой с нарушением законодательства о персональных данных в соответствии со статьей 15.5. Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Самым громким и, возможно, единственным громким делом, когда был заблокирован Интернет-ресурс вследствие несоблюдения требования о локализации персональных данных – дело о блокировке LinkedIn, рассмотренное Таганским районным судом г. Москвы и поддержанное апелляционной инстанцией в ноябре 2016 года[5].  В целом, однако, Роскомнадзор указывает на позитивную тенденцию общего соблюдения операторами персональных данных требования о локализации: так, в период с 2015 по 2017 год Роскомнадзором было выявлено только 56 нарушений требований о локализации, что составляет 1 % от общего числа нарушений в сфере защиты персональных данных.[6] При этом выявляемые нарушения операторами персональных данных чаще всего устраняются еще до момента постановки вопроса о блокировке ресурса: например, в начале марта 2016 года Роскомнадзор выявил нарушение требования о локализации персональных данных в деятельности «Майкрософт Рус», однако выявленное нарушение вовремя было устранено[7].

Вопрос об экстерриториальном действии норм о защите персональных данных приобретает особый интерес и актуальность в связи с вступлением в силу 25 мая 2018 года нового европейского регламента в сфере защиты обработки персональных данных – Общий регламент по защите данных (Регламент (ЕС) 2016 / 679) (далее – Регламент), который будет непосредственно применяться во всех странах-участницах Европейского Союза (далее – ЕС) без необходимости его имплементации в национальное законодательство государств[8].

Помимо того, что страны-участницы ЕС в связи с началом применения Общего регламента по защите данных должны будут привести свое национальное законодательство в сфере защиты персональных данных в соответствие с положениями Регламента, согласно пунктам 23-24 Регламента его нормы также затронут и деятельность операторов персональных данных, не являющихся резидентами ЕС, в случае если:

  1. Обработка персональных данных связана с предложением товаров или услуг субъектам персональных данных, находящихся в ЕС вне зависимости от того, связана ли такая обработка с оплатой этих услуг или нет. При этом свидетельствовать о предложении товаров или услуг могут:
  • использование в предложении товара или услуги языка одного или нескольких государств-членов ЕС с возможностью заказывать эти товары или услуги на данном языке;
  • предоставление возможности оплаты валютой, которая используется в одном или нескольких государствах-участниках ЕС;
  • упоминание в предложении товара или услуга потребителей, или пользователей на территории ЕС.
  1. Обработка персональных данных связана с мониторингом действий или поведения субъектов персональных данных в ЕС, если эти действия совершаются на территории ЕС. Свидетельствовать об осуществлении таких действий может факт того, осуществляют ли физические лица деятельность в интернете, в том числе потенциальную возможность последовательного
    использования технологии обработки персональных данных и т. д.

Важным моментом является то, что под действие норм нового Регламента могут попасть и российские операторы обработки персональных данных. К таким операторам могут быть отнесены и российские интернет-сервисы, предлагающие товары и услуги на различных языках и принимающие в качестве оплаты евро или другую валюту, используемую в какой-либо из стран-участниц ЕС, банки, российские телекоммуникационные компании, которые предлагают услуги связи лицам, находящимся на территории ЕС, дата-центры, расположенные на территории России и хранящие персональные данные европейцев, крупные российские компании, имеющие филиалы или представительства в Европе и т. д.

Например, теоретически под действие Регламента может попасть крупная российская авиакомпания, которая имеет свое представительство в Европе, а также предлагает к онлайн-продаже авиабилеты на иностранном языке за возможность приобретения их в евро. В связи с тем, что Регламент распространяется и на мониторинг активности субъектов данных в ЕС, то просто использование на интернет-сайте файлов cookies уже легко подводит российскую интернет-индустрию под его действие.

Необходимо иметь в виду, что действие Регламента будет иметь силу даже в том случае, если российским оператором обрабатываются персональные данные гражданина России, но который находится на территории страны-участницы ЕС и приобретает, например, при помощи Интернет-ресурса товар, предполагающий его оплату в евро[9]. То есть, субъектами персональных данных согласно Регламенту являются не только граждане ЕС, но и все лица, которые находятся на территории ЕС, когда осуществляется обработка их персональных данных.

На что обратить особое внимание российским операторам в свете начала действия Регламента?

  1. Необходимо назначить специальных должностных лиц
  • Представитель в ЕС

Согласно пункту 80 Преамбулы Регламента российские операторы, осуществляющие обработку персональных данных лиц, находящихся в ЕС, будут обязаны назначить представителя в ЕС, под которым согласно статьям 4 и 27 Регламента понимается физическое или юридическое лицо, созданное в ЕС, которое специально уполномочено в письменной форме контролёром или обработчиком[10] и представляет контролёра или обработчика, в отношении их соответствующих обязательств, предусмотренных Регламентом.

Контролер или обработчик персональных данных должен выдать Представителю предписание, согласно которому последний  должен выполнять свои задачи и осуществлять любые
действия в целях обеспечения соблюдения Регламента GDPR[11].

При этом, назначение Представителя не влияет на ответственность обработчика или контролера[12].

Согласно статье 27 Регламента Представитель может не назначаться в двух случаях:

  • Обработка персональных данных субъектов персональных данных, находящихся в ЕС, является случайной, не включающей масштабную обработку специальных категорий персональных данных[13] или не связанной с преступлениями и правонарушениями.
  • Обработчиком или контролером является публичный орган.

 

  • Инспектор по защите персональных данных

Согласно статьям 37-39 Регламента обработчик или контролер персональных данных должен назначить инспектора по защите персональных данных (сотрудника штата или независимого консультанта), на которого должны быть возложены функции по информированию оператора относительно обязанностей, предусмотренных Регламентом, контролю за соблюдением оператором Регламента, контролю методов обработки персональных данных оператором, консультированию оператора относительно оценки воздействия на защиту персональных данных, взаимодействию с надзорными органами ЕС.

Особых требований как к Представителю в ЕС находиться физически на территории одного из государств-членов ЕС в отношении Инспектора по защите данных не предусмотрено. Предполагается, что не запрещено совмещать полномочия Представителя и Инспектора по защите данных в одном лице.

  1. Необходимо обеспечить механизм получения согласия субъектов персональных данных, находящихся в ЕС, на обработку персональных данных согласно Регламенту

Согласно пункту 32 Преамбулы Регламента контролер или обработчик персональных данных лиц, находящихся в ЕС, обязан получить согласие на обработку персональных данных, которое должно быть свободно выраженным, конкретным, информативным и недвусмысленным и дано для каждой из целей и способов обработки персональных данных. Операторы персональных данных будут обязаны четко указывать все цели применения данных, а также раскрывать информацию о третьих лицах, которым данные будут передаваться.

Не считается согласием на обработку персональных данных молчание, бездействие или заранее проставленная в указанном поле галочка-согласие на общую обработку персональных данных.

Регламент предусматривает, что всем субъектам персональных данных должна быть обеспечена техническая возможность в любое время отозвать согласие на обработку персональных данных без ущерба для себя, в отсутствие такой возможности согласие на обработку не считается добровольным.

Особые правила в статье 8 Регламента установлены и для получения согласия на обработку персональных данных ребенка: допускается получение согласия только от лица, достигшего 16-летнего возраста (при этом, страны-участницы могут на законодательном уровне этот возраст скорректировать и установить его самостоятельно, но не ниже 13 лет), для детей, не достигших такого возраста, согласие на обработку их данных должно быть получено от лица, обладающего родительской ответственностью в отношении ребенка.

  1. Необходимо обеспечить наличие внутренних документов в организации
  •  Письменный реестр действий по обработке персональных данных

Согласно статье 30 Регламента обработчик и контролер персональных данных, а также их представители обязаны вести письменный учет всех совершаемых действий по обработке персональных данных субъектов, находящихся в ЕС. Наличие такого реестра не является обязательным, если численность сотрудников компании-обработчика или контролера – менее 250 человек.

  • Учет инцидентов в сфере защиты персональных данных

Согласно пункту 5 статьи 33 Регламента контролер персональных данных обязан документально фиксировать любое нарушение в сфере защиты персональных данных, факты, связанные с таким нарушением, их последствия и принятые меры по их устранению.

  • Письменная оценка потенциальных рисков при обработке ПД

Статья 35 Регламента закрепляет обязанность контролера персональных данных по проведению оценки воздействия процесса обработки персональных данных на уровень их защиты и по фиксации этого в письменной форме. Оценка рисков должна включать систематическое описание процессов обработки персональных данных и целей обработки, оценку необходимости и пропорциональности обработки персональных данных относительно целей, оценку рисков для прав и свобод субъектов данных, меры, предусмотренные для устранения рисков.

  1. Необходимо обеспечить своевременное взаимодействие с надзорным органом[14] в сфере защиты персональных данных
  •  На предварительном этапе

Согласно статье 36 Регламента контролер персональных данных должен перед началом обработки персональных данных проконсультироваться с надзорным органом, если проведенная оценка воздействия процесса обработки персональных данных на защиту данных свидетельствует, что такая обработка может привести к возникновению высокой степени риска нарушения прав субъектов персональных данных при непринятии мер для снижения данного риска. Регламент предлагает для целей такого взаимодействия предусмотреть в организации Положение о взаимодействии с надзорным органом ЕС, в котором будет закреплен формат такого взаимодействия и перечень случаев, когда компания прибегает подобным консультациям.

  • При наличии нарушения

Согласно статье 33 Регламента в случае утечки персональных данных контролер незамедлительно и при наличии соответствующей возможности в течение 72 часов после того, как ему стало известно об утечке, должен уведомить об этом надзорный орган. Исключение – когда такая утечка не приведет к риску для прав и свобод субъектов персональных данных.  В Положении о взаимодействии с надзорным органом ЕС также рекомендуется предусмотреть порядок направления данных уведомлений.

  • После указания надзорного органа

Согласно статье 58 Регламента надзорный орган в ЕС обладает полномочиями следственного, корректирующего, разрешительного и консультативного характера, контролер обязан выполнять указания надзорного органа, данные в рамках его полномочий.

Что будет, если положения Регламента не соблюдаются?

Регламент предусматривает систему высоких штрафов за нарушения его положений. К операторам персональных данных, не учрежденных в ЕС, такие штрафы, по-видимому, также будут применяться, к ответственности будут привлекаться представители в ЕС, которые должны быть учреждены в соответствии со статьей 27 Регламента, так как согласно пункту 4 данной статьи представитель обладает полномочиями, предоставленными ему контролером или обработчиком, и рассматривается наряду или вместо них надзорными органами и субъектами данных по всем вопросам, связанным с обработкой данных.

Размер штрафов, предусмотренных Регламентом поражает своим объемом: за нарушение отдельных положений Регламента можно получить штраф в размере 10 миллионов евро или в размере 2 % от мирового годового оборота хозяйствующего субъекта за последний финансовый год, а за ряд нарушений и в размере 20 миллионов евро или в размере 4 % от мирового годового оборота хозяйствующего субъекта за последний финансовый год (при этом выбор между фиксированным размером штрафа или процентным соотношением с размером выручки будет осуществляться в зависимости от того, где сумма штрафа выйдет больше). За неназначение, например, Представителя в ЕС можно получить штраф в размере 10 миллионов рублей. А к наиболее серьезным нарушениям Регламент относит такие, как несоблюдение основных принципов обработки персональных данных, прав субъектов персональных данных, положений о международной передаче персональных данных и приказов национальных регуляторов и некоторых обязательств по национальному законодательству[15].

Однако может возникнуть весьма резонный вопрос: а что будет, если российский оператор не назначит представителя в ЕС? По идее, за это должна быть ответственность в виде штрафа в размере 10 миллионов евро или в размере 2 % от мирового годового оборота хозяйствующего субъекта. Но если российский оператор физически не присутствует в ЕС, не назначил там своего представителя, то фактически отсутствует возможность его привлечения к ответственности в виде выплаты штрафа. По-видимому, этот вопрос не урегулирован Регламентом на данный момент, и его разрешение – вопрос времени.

С другой стороны, возникает вопрос и о том, будет ли доступно государству-члену ЕС возможность, аналогичная той, что предусмотрена в нашем законодательстве, блокировать Интернет-ресурс в случае, если там размещается информация в нарушение норм Регламента? В статье 58 Регламента упоминается о полномочии надзорного органа предписывать приостановку перемещения потока данных получателю в третьей стране или международной организации. На наш взгляд, есть риск того, что под приостановкой перемещения потока данных будут понимать и блокировку Интернет-ресурса. Соответственно, надзорный орган ЕС может выдать предписание Интернет-провайдеру о необходимости приостановления доступа к Интернет-ресурсу, при помощи которого осуществляется обработка персональных данных в нарушение норм Регламента. В случае если такой провайдер не выполнит предписание, в отношении него уже может быть применена ответственность в виде уплаты штрафа в соответствии с подпунктом «е» пункта 5 статьи 83 Регламента.

Что нужно предпринять российским операторам, подпадающим под действие Регламента?

В связи с началом действия Регламента рекомендуется всем российским операторам персональных данных принять ряд мер, способствующих устранению возможных нарушений.

Для начала необходимо определиться, подпадает ли российский оператор персональных данных под действие Регламента с учетом положений пунктов 23-24 Преамбулы Регламента. Если есть риск того, что деятельность российского оператора будет регулироваться положениями Регламента, российскому оператору можно попробовать исключить осуществление видов деятельности, направленных на потребителей, находящихся в ЕС и исключить мониторинг активности пользователей ЕС на интернет-сайте. В случае, если это является невозможным, каждому российскому оператору первостепенно необходимо:

  1. Провести подробный аудит процессов и способов обработки персональных данных, существующих на данный момент в организации для цели выявления потенциальных рисков в сфере действия Регламента.
  2. Назначить необходимых в соответствии с Регламентом должностных лиц – особое внимание уделить назначению Представителя в ЕС.
  3. Внести коррективы в локальные акты организации, касающиеся вопросов обработки персональных данных с учетом положений Регламента.
  4. Обеспечить возможность взаимодействия Представителя в ЕС с надзорным органом ЕС в сфере обработки персональных данных.

[1] «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» (заключена в г. Страсбурге 28.01.1981).

[2] Такие государства включаются в специальный перечень государств, составляемый Роскомнадзором.

[3] Разъяснения Минкомсвязи России по вопросам применения требований по локализации обработки персональных данных. П. 1.

[4] Разъяснения Минкомсвязи России по вопросам применения требований по локализации обработки персональных данных. Пп. 4-5.

[5] Решение Таганского районного суда г. Москвы от 04.08.2016 г. по делу № №2-3491/2016; Апелляционное определение Московского городского суда от 10.11.2016 г. по делу № 33-38783/16.

[6] Итоги реализации федерального закона о локализации баз персональных данных российских граждан на территории России // https://rkn.gov.ru/news/rsoc/news49466.htm.

[7] Роскомнадзор снял претензии к Microsoft // https://www.vedomosti.ru/technology/articles/2016/11/15/664987-roskomnadzora.

[8] Пп. 9-10 Преамбулы Регламента ЕС 2016 / 676 от 27.04.2016 г. «О защите физических лиц относительно обработки персональных данных и о свободе перемещения таких данных, а также об отмене Директивы 95 / 46 / ЕС» (Общий регламент по защите персональных данных).

[9] П. 14 Преамбулы Регламента ЕС 2016 / 676 от 27.04.2016 г. «О защите физических лиц относительно обработки персональных данных и о свободе перемещения таких данных, а также об отмене Директивы 95 / 46 / ЕС» (Общий регламент по защите персональных данных).

[10] Согласно п. 7 ст. 4 Регламента под контролером понимается физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; согласно п. 8 ст. 4 Регламента под обработчиком понимается физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональный данные от имени и по поручению контролера.

[11] П.1 ст. 27 Регламента ЕС 2016 / 676 от 27.04.2016 г. «О защите физических лиц относительно обработки персональных данных и о свободе перемещения таких данных, а также об отмене Директивы 95 / 46 / ЕС» (Общий регламент по защите персональных данных).

[12] П. 5 ст. 27 Регламента ЕС 2016 / 676 от 27.04.2016 г. «О защите физических лиц относительно обработки персональных данных и о свободе перемещения таких данных, а также об отмене Директивы 95 / 46 / ЕС» (Общий регламент по защите персональных данных).

[13] Согласно п. 1 ст. 9 Регламента к ним относятся: персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения, либо членство в профсоюзе, а также обработка генетических данных, биометрических данных для однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

[14] Согласно п. 1 ст. 51 Регламента каждое государство-член ЕС должно предусмотреть существование одного или нескольких самостоятельных полномочных государственных органов, являющихся ответственными за мониторинг применения настоящего Регламента, для того, чтобы обеспечить защиту основных прав и свобод физических лиц в отношении обработки, а также свободного движения персональных данных на территории Евросоюза.

[15] Ст. 83 Регламента ЕС 2016 / 676 от 27.04.2016 г. «О защите физических лиц относительно обработки персональных данных и о свободе перемещения таких данных, а также об отмене Директивы 95 / 46 / ЕС» (Общий регламент по защите персональных данных).

 

Екатерина Смирнова,
руководитель практики
по интеллектуальной собственности /
информационным технологиям
«Качкин и Партнеры»

Антонина Шишанова,
помощник юриста практики
по интеллектуальной собственности /
информационным технологиям
«Качкин и Партнеры»

Об авторе

Екатерина Смирнова

Руководитель практики по интеллектуальной собственности/информационным технологиям «Качкин и Партнеры». Автор ряда статей по интеллектуальной собственности в профессиональных юридических изданиях.

Написать ответ

Send this to a friend

Перейти к верхней панели