Экстерриториальное действие регламента gdpr

С внедрением Общего регламента Европейского союза по защите персональных данных (General Data Protection Regulation) в 2018 году белорусский бизнес столкнулся с новыми требованиями, которые оказали значительное влияние на работу с персональными данными в трансграничных сделках с резидентами ЕС.

Несмотря на то, что GDPR принят в странах ЕС, он стал мировым стандартом в области защиты данных как внутри ЕС, так и за его пределами. В первую очередь это связано с экстерриториальной юрисдикцией GDPR.

Положения регламента распространяются на организации, созданные за пределами ЕС, независимо от их места нахождения, если они выступают в качестве контролера или процессора (аналоги оператора и уполномоченного лица в белорусском законодательстве) персональных данных субъектов – резидентов и граждан ЕС (ст.1 - 3 GDPR).

Анализ положений регламента и правоприменительной практики позволяет сделать вывод о том, что белорусская компания обязана соблюдать правила GDPR о порядке сбора, хранения и обработки персональных данных, если она взаимодействует с резидентами ЕС, в том числе:

• предлагает, рекламирует товары, работы и услуги, в том числе через интернет, гражданам ЕС (экспорт), сотрудничает с европейскими поставщиками (импорт), ведет дела с партнерами из ЕС (корпоративные отношения);
• наблюдает за поведением субъектов персональных данных на территории ЕС, отслеживает их поведение в сети Интернет (например, собирает и обрабатывает данные в маркетинговых целях);
• независимо от того, где находится сервер или сам процесс обработки данных.

Даже если белорусская компания не имеет физических представительств в Европе, но взаимодействует с персональными данными европейских граждан (через веб-сайты или онлайн-сервисы, включая техническую поддержку), она обязана соблюдать GDPR. К примеру, если компания продает товары или оказывает услуги клиентам в ЕС через интернет-платформы, она автоматически попадает под юрисдикцию GDPR.

Более того, если компания не знает гражданство лиц, которым она предлагает свои товары или услуги, предполагается, что среди них есть граждане ЕС, если компания одновременно:

• использует государственный язык или валюту, распространенную в одном или нескольких государствах ЕС;
• предоставляет возможность заказать товар (услугу) на данном языке либо упоминает покупателей (пользователей), находящихся в Евросоюзе (например, на сайте компании указано, что товары (услуги) предлагаются гражданам ЕС).

GDPR налагает обязательства по защите данных на каждом этапе их обработки – от сбора до удаления персональных данных.

Таким образом, регламент по защите персональных данных субъектов ЕС накладывает серьезные обязательства на белорусские компании, которые представлены на европейском рынке. В частности, такие компании должны быть готовы предоставить информацию о том, какие данные они собирают, как и с какой целью они их используют, а также гарантировать их безопасность. Требование может включать обязательства по обеспечению доступа к данным, а также возможность субъектов (граждан) ЕС требовать удаления этих данных.

Кто контролирует соблюдение GDPR?

Нарушения GDPR рассматриваются различными органами, в зависимости от обстоятельств:

1. DPA. Контроль за соблюдением GDPR осуществляют национальные органы по защите данных (Data Protection Authorities) (DPA). Национальные регуляторы уполномочены проводить аудиты, расследовать нарушения, выдавать рекомендации и предписания по исправлению нарушений, запрету обработки данных, рассматривать споры, а также накладывать штрафы на компании, нарушающие правила.

DPA существуютвкаждойстранеЕС, например, воФранции– этоCNIL (Commission nationale de l'informatique et des libertés), вГермании– BfDI (Federal Commissioner for Data Protection and Freedom of Information), вНидерландах– Autoriteit Persoonsgegevens (AP),вВеликобритании— ICO (Information Commissioner's Office).

Эти органы являются первой инстанцией для рассмотрения жалоб и проведения расследований, связанных с нарушением GDPR в странах ЕС, где произошло нарушение или базируется субъект персональных данных.

1. EDPB. В случае, когда в спор вовлечены несколько стран ЕС, координацию действий национальных органов осуществляет Европейский комитет по защите данных (EDPB).
2. Суды ЕС. Компании могут оспаривать решения национальных органов в национальных судах или в судебной системе ЕС. Если спор касается серьезных нарушений или требует юридической интерпретации, его может рассматривать Суд Европейского Союза (CJEU).

Таким образом, в случае нарушения регламента белорусской компанией дело может рассматриваться органом по защите данных той страны ЕС, в чьей юрисдикции произошло нарушение. Спор также может быть перенесен в судебные инстанции ЕС.

Каковы риски несоблюдения GDPR?

Несоблюдение требований GDPR может привести к значительным финансовым штрафам и дорогостоящим судебным разбирательствам.

1. Юридические споры и финансовые штрафы. Актуальная международная судебная практика подтверждает возможность наложения штрафов на иностранные компании за действия, совершенные за пределами ЕС, но затрагивающие данные граждан Евросоюза. Подобные дела создают прецеденты, которые могут быть использованы и в трансграничных спорах с белорусскими компаниями.

Основной риск для белорусских компаний заключается в величине штрафов за несоблюдение GDPR. По регламенту штрафы за его нарушение могут достигать 4% от годового оборота компании за предыдущий финансовый год или 20 миллионов евро, в зависимости от того, какая сумма больше.

Даже если белорусская компания считает, что не подпадает под юрисдикцию ЕС, регуляторы стран-участниц ЕС могут наложить санкции за нарушение прав их граждан. Недавний пример с американской компанией Clearview AI демонстрирует, что попытки уклониться от юрисдикции ЕС не оправдывают компании, и европейские регуляторы занимают жесткую позицию в вопросах защиты персональных данных.

Пример:

Компания Clearview AI, базирующаяся в США и занимающаяся технологией распознавания лиц, была оштрафована на 30,5 миллионов евро нидерландским органом по защите данных – Autoriteit Persoonsgegevens (AP) за нарушение GDPR.

Штраф за незаконный сбор и обработку персональных данных резидентов ЕС был наложен после того, как подтвердилось, что база данных компании содержит изображения граждан Нидерландов, собранные без их согласия.

AP также предупредил, что в отношении компании могут последовать дополнительные штрафы до 5,1 миллиона евро, если она продолжит нарушать европейское законодательство о защите персональных данных.

Данное решение является наглядным примером экстерриториального действия GDPR, который применяется к персональным данным резидентов ЕС, независимо от того, где происходит их обработка.

Важно учитывать, что белорусская компания может попасть под юрисдикцию сразу нескольких DPAв зависимости от того, в каких странах проживают ее клиенты или пользователи. Компания может столкнуться с трансграничными спорами, где будут задействованы несколько регуляторов, что усложняет правовую защиту и увеличивает риски.

1. Репутационные потери. Негативные последствия от несоблюдения GDPR могут выйти за пределы финансовых санкций, нанося урон деловой репутации. Современный потребитель требует прозрачности в вопросах защиты данных, и компании, не соответствующие этим ожиданиям, могут потерять доверие партнеров и клиентов.

Пример:

Известная социальная платформа X (ранее Twitter) с мая по август 2024 года начала использовать посты и другие данные своей аудитории для обучения нейросети Grok. Разрешение на использование было включено в настройках аккаунта по умолчанию, отключить его можно в веб-версии соцсети.

После распространения информации о том, что все пользователи платформы были автоматически зарегистрированы для участия в процессе обучения чат-бота, данное обновление привлекло внимание Ирландской комиссии по защите данных (DPC), которая усмотрела в действиях компании нарушение GDPR.

Разбирательство было прекращено на основании соглашения, которое достигли X и DPC. После переговоров с компанией, последняя согласилась приостановить использования персональных данных в целях обучения AI.

Вместе с тем, DPC подала жалобы в национальные регулирующие органы Австрии, Бельгии, Франции, Италии, Испании и др. стран ЕС с просьбой провести «экстренную процедуру».

Какие рекомендации можно дать белорусским компаниям-участникам рынка ЕС?

Чтобы избежать вышеуказанных рисков, белорусские компании должны учитывать ряд ключевых аспектов, чтобы соответствовать требованиям GDPR. Вот основные из них:

1. Согласие на обработку данных. GDPR требует получения явного согласия на сбор и обработку персональных данных. Компании должны предоставлять понятную и исчерпывающую информацию о том, как будут использоваться данные граждан ЕС, и получить их согласие, которое является правовым основанием для обработки данных.
2. Назначение DPO. Если компания систематически обрабатывает данные граждан ЕС, она должна назначить Data Protection Officer (DPO) – сотрудника, ответственного за контроль за выполнением требований GDPR. Требования о назначении и задачах DPO содержатся в ст.37-39 GDPR.

Логичным решением будет возложение данных обязанностей на лицо, назначенное ответственным за работу с персональными данными в соответствии с Законом «О защите персональных данных».

1. Безопасность и защита данных. Одним из основных требований GDPR является защита данных от несанкционированного доступа, утечек и хакерских атак. Важно внедрить надежные механизмы защиты данных (шифрование, анонимизация, многофакторная аутентификация и т.п.) и регулярно обновлять системы безопасности.

Для обеспечения защиты данных и соответствия GDPR компании могут опираться на международные стандарты, такие как ISO 27001.

Если компания передает данные резидентов ЕС другим организациям, включая хостинговые сервисы или партнеров, необходимо убедиться, что они также соответствуют требованиям GDPR. Это можно сделать с помощью договоров о защите данных (Data Processing Agreements).

Также при заключении сделки с резидентом ЕС положения о защите персональных данных могут быть включены в контракт, чтобы обязательства по обработке и защите данных соблюдались обеими сторонами.

1. Прозрачность и законность обработки данных. Компании обязаны информировать клиентов о том, какие данные собираются, с какой целью и на каких основаниях, как данные будут использоваться.

GDPR гарантирует гражданам ЕС право на доступ к их данным, право требовать удаления данных, корректировки, ограничения обработки, а также переноса данных к другому оператору. Белорусские компании обязаны обеспечить механизмы для реализации этих прав, если обрабатывают данные резидентов ЕС.

Клиенты должны быть проинформированы о любых изменениях в политике конфиденциальностии обработке их данных.

1. Минимизация данных. Принцип минимизации обязывает компании собирать и хранить только необходимый минимум информации, которая действительно необходима для выполнения конкретных целей. Избыточная обработка данных может привести к нарушениям и штрафам.
2. Аудит процессов обработки данных. Регулярные внутренние аудиты текущих практик по обработке данных и сопоставление их с требованиями GDPR помогут выявить возможные нарушения и принять меры для их устранения.

Соблюдение данных принципов в работе с субъектами персональных данных поможет компании не только снизить нежелательные риски, но и в целом успешно развиваться на европейском, внутреннем, и международном потребительском рынке.

Белявский С.Ч.

директор юридической компании «Экономические споры», медиатор, председатель Третейского суда «Экономические споры», рекомендованный арбитр МКАС, более 10 лет стажа работы судьей экономического суда

Ярошик А.А.

Юрист юридической компании «Экономические споры»