25 мая отметили два годика GDPR (General Data Protection Regulation) – Европейским правилам защиты персональных данных. Ребеночек рождался с муками несколько десятилетий. Но Европейский бизнес все равно оказался не готов к такой радости. С момента принятия до вступления в силу определили коридор времени менее месяца. Я думаю многие помнят, как два года назад приложения начали суматошно высылать обновленные политики обработки персданных и файлов куки.
GDPR стал дубинкой, которой так не хватало национальным регуляторам по защите персданных. И они с радостью стали лупить ей направо и налево.
Одним из первых попался Google. Да, тот самый. Нет, они не выкрутились.
Национальная комиссия по информации и свободе Франции оштрафовала Google LLC на 50 000 000 евро за «нарушение установленных в GDPR правил прозрачности и за отсутствие действующей правовой основы для обработки персональных данных в рекламных целях». По мнению французского регулятора, пользователи Google не получили достаточной информации об использовании их данных. А согласие, получаемое компанией Google на тот момент, сочли «неконкретным» и «неоднозначным».
Максимальный порог штрафа за нарушение GDPR составляет 4% годового оборота фирмы, а это очень-очень много.
И, казалось бы, ну и ладно, пусть в Европе они сами себя штрафуют, но нет. GDPR обладает принципом экстерриториальности, что означает возможность его применения к нерезидентам ЕС.
Бизнес, который работает с Европой, услышав это сильно напрягся и стал требовать уточнения. После долгого молчания Европейский совет все-таки высказался. Он рекомендовал в каждом конкретном случае анализировать процессы, при исполнении которых собираются персональные данные, и оценивать, насколько их содержание соответствует хотя бы одному из критериев экстерриториальности. Согласно статье 3 регламента GDPR таких критериев три:
1. Компания из страны, не входящей в ЕС, ведет деятельность через постоянную структуру в Евросоюзе.
GDPR применим к неевропейской компании, если она фактически действует в ЕС через филиал, компанию-партнера или же привлеченного агента – резидента ЕС и благодаря его деятельности получает и обрабатывает данные. Например, если нерезидент привлекает в ЕС агента для рекламы и технической поддержки потребителей. Вместе с тем простая передача европейской компании какой-либо функции на аутсорсинг или использование дата-центра в ЕС сами по себе не влекут применимость GDPR к компании-нерезиденту.
2. Неевропейская компания предлагает в Европе товары.
Возможность доступа к сайту, мобильному приложению или услуге с территории ЕС не означает обязательности GDPR, если только этот сайт, приложение или услуга не ориентированы на европейских пользователей изначально. Для анализа этого критерия регулятор оценивает наличие языка общения одной из европейских стран, указание евро как валюты платежа, доставку в страны ЕС и еще целый ряд косвенных критериев;
3. Компания ведет мониторинг клиентов в ЕС.
Это самый неоднозначный критерий, и он так и не был разъяснен внятно. Из общих разъяснений можно сделать вывод, что сбор персональной информации в ЕС, в том числе периодический, сам по себе не является мониторингом с точки зрения GDPR. Такой сбор считается мониторингом, если компания намерена впоследствии использовать эти данные, зная, что они относятся к лицам в ЕС.
Создатели GDPR внедрили еще один хитрый принцип – принцип диспозитивности, согласно которому оператор обработки персональных данных сам выбирает каким образом ему защищать персданные. Ход довольно хитрый, так как в случае нарушения – «это не регламент дырявый, а оператор неправильно определил какие механизмы надо использовать».
Итак, с праздничком! А к отдельным аспектам применения GDPR мы еще вернемся, так как регламент довольно быстро обрастает рекомендациями, мнениями и т.д. различных европейских структур, и в этом правовом хаосе наверняка будут еще забавные казусы.
Напоминаю: Если у вас есть конкретные вопросы в сфере IT-права - пишите в ЛС в тг-канале t.me/it_law_is_simple. По мере возможности буду на них отвечать.