В соответствии с Общим регламентом ЕС о защите данных 2016/679 (GDPR) почти каждая компания, учрежденная за пределами ЕС, но осуществляющая обработку персональных данных жителей ЕС, должна назначить своего уполномоченного представителя в Союзе. Каковы же требования к уполномоченным представителям и какие компании обязаны их назначить? Именно этим непростым вопросам посвящена данная статья.
Что такое GDPR и каков его фокус?
GDPR действует уже более года, с 25 мая 2018 года, и мы уже видели ряд новостей, посвященных огромным штрафам за его несоблюдение, которые в основном накладываются на компании, работающие в секторе финансовых услуг.
Важность соответствия требованиям GDPR
Недавно Ирландская комиссия по защите данных завершила расследование в отношении WhatsApp и Twitter, принадлежащих Facebook, по поводу возможных нарушений законодательства ЕС о защите персональных данных. Штрафы за нарушения GDPR могут достигать 4% от мирового годового дохода. Для Facebook это может означать штраф в размере более 2 миллиардов долларов США. Но даже если ваша компания не является таким технологическим гигантом, как Facebook, штраф все равно может составить до 20 миллионов евро.
Но не только технические гиганты вынуждены сталкиваться с последствиями несоблюдения GDPR: первый штраф по GDPR был наложен на школу в Швеции, которая обрабатывала чувствительные персональные данные своих учеников. Согласно общей статистике власти 11 стран уже назначили штрафы на общую сумму более 55 миллионов евро. Компании, игнорирующее GDPR, также могут попасть под запрет со стороны ЕС и понести репутационные потери в связи с тем, что они будут отнесены к компаниям, не обеспечивающим защиту пользовательских данных.
Предлагаем немного освежить наши знания о целях и требованиях GDPR.
Как GDPR влияет на бизнес
Основная цель GDPR – предоставить субъектам персональных данных понятную информацию о типах собираемых данных, а также о том, как и почему обрабатываются их персональные данные. Для этого GDPR устанавливает требования к согласию на обработку персональных данных и политике конфиденциальности. Кроме того, GDPR предоставляет субъектам персональных данных право на доступ, изменение и даже удаление личных данных, которые хранит контроллер или процессор.
GDPR также регулирует такие вопросы, как хранение данных, обработка специальных категорий персональных данных и процедура реагирования на нарушения.
В данной статье мы хотели бы обратиться к менее обсуждаемому, но, не менее важному положению GDPR, а именно к обязанности контроллеров и процессоров, учрежденных за пределами ЕС, назначить своего представителя в ЕС. Как показал наш недавний опыт работы с международными проектами в области финансовых технологий, это требование GDPR по-прежнему вызывает множество вопросов у бизнеса. В данной статье мы разрешим некоторые из этих вопросов.
Кто может быть представителем по GDPR
Уполномоченный европейский представитель является региональным агентом вашей организации в отношении обработки персональных данных. Необходимо проводить тщательный отбор кандидатов на эту роль, в статье 27 GDPR указаны следующие критерии для кандидатов:
- представитель должен быть письменно уполномочен (на практике, представители назначаются на основании договоров оказания услуг);
- представитель может быть физическим или юридическим лицом;
- представитель должен располагаться в одной из стран ЕС, где находятся субъекты данных. Таким образом, если Ваши клиенты проживают в Бельгии, Германии и Швеции, значит, Ваш представитель может находиться в одном из этих государств, но не во Франции или Испании;
- представитель должен быть указан в политике конфиденциальности как основное контактное лицо для субъектов персональных данных в ЕС и надзорных органов (включая наименование или имя представителя, адрес, а также адрес электронной почты).
В отличие от лица, ответственного за защиту персональных данных (Data Protection Officer), уполномоченный представитель не нуждается в какой-либо специальной юридической подготовке или сертификации в области защиты данных, однако он должен обладать достаточными знаниями в этой области для рассмотрения запросов от субъектов персональных данных и регуляторов.
Основные задачи представителя
При выборе уполномоченного европейского представителя следует учитывать функции, которые уполномоченные представители должны выполнять.
- Коммуникации
Обязанности представителя – действовать от имени контроллера (процессора) в ЕС и эффективно выполнять функции контактного лица. Таким образом, уполномоченные представители не несут ответственности за исполнение обязанностей контроллера (процессора) в рамках GDPR. Что касается запросов субъектов персональных данных (subject access request), представитель не выполняет их, а только направляет их обязанному субъекту.
- Учет
В соответствии с GDPR уполномоченный представитель обязан вести учет операций по обработке персональных данных. Европейский совет по защите данных (European Data Protection Board) считает, что ведение учета является совместной обязанностью, поэтому лицо, назначившее представителя, должно предоставить своему представителю точную и актуальную информацию об обработке персональных данных.
Представитель является лицом Вашего бизнеса в регионе и должен четко отражать ваши идеи, а также вести учет надлежащим образом.
Как несоответствие GDPR влияет на представителей
Согласно статье 27 GDPR назначение представителя контролером или обрабатывающим данные лицом должно действовать без ущерба правовым мерам в отношении самого контролера или лица, обрабатывающего данные.
Европейский совет по защите данных пояснил, что, несмотря на то что к контроллеру или процессору, назначившим представителя, могут быть предъявлены требования за нарушение GDPR, уполномоченный представитель также может быть привлечен к ответственности. Одна из целей статьи 27 GDPR состояла в том, чтобы уполномоченные органы могли обратиться с требованиями не только к контроллеру или процессору, но и к представителю. Следовательно, штрафы и пени могут быть наложены как на представителя, так и на лицо, назначившее его.
Однако существующие разъяснения все же не в полной мере проливают свет на данный вопрос, поскольку нет уверенности в том, что представитель может быть наказан за неправомерное поведение назначившего его лица. Многие эксперты считают, что представитель может быть привлечен к ответственности только за неисполнение собственных обязанностей, но не обязанностей контроллера или процессора. В связи с этим остаётся только ждать случаев применения этих норм на практике.
Кому нужен представитель в ЕС
В отличие от предыдущей Директивы ЕС о защите данных 1995 года, GDPR применяется не только к организациям, зарегистрированным и фактически находящимся в Европейском Союзе. Напротив, GDPR может применяться к любой организации или физическому лицу во всем мире. Любая компания, которая не имеет «постоянного учреждения» в ЕС и вовлечена в описанные далее виды деятельности, также подпадает под действие статьи 27 GDPR.
«Постоянное учреждение» подразумевает эффективную, реальную и стабильную деятельность. Юридическая форма такой деятельности, однако, не является определяющим фактором – будь то филиал или дочерняя компания, являющаяся юридическим лицом (например, в некоторых случаях это могут быть работники, находящиеся в ЕС).
Статья 27 GDPR устанавливает требование для контроллеров персональных данных (лиц, которые определяют средства и цели обработки персональных данных) и процессоров (лиц, которые фактически обрабатывают данные) за пределами ЕС. В соответствии с данной статьей компании, созданные за пределами ЕС, должны назначить представителя ЕС, если их деятельность по обработке персональных данных включает:
- предложение товаров или услуг субъектам персональных данных в ЕС (независимо от того, требуется ли оплата за такие товары и услуги);
По сути, это означает, что, если Ваши услуги и товары предлагаются или явно предназначены для людей в ЕС (не только граждан ЕС, но и тех, кто просто физически находится в ЕС), Вам необходимо назначить представителя. Примером может служить интернет-магазин, осуществляющий доставку в страны ЕС, веб-сайт или мобильное приложение, доступное на европейских языках или указывающее цены в валютах ЕС (евро, фунты стерлингов и т. д.). Таким образом, данный критерий не всегда предполагает наличие рекламы или предложение товаров и услуг ЕС, направленных непосредственно на жителей ЕС.
- мониторинг поведения субъектов персональных данных на территории ЕС.
Примером такого мониторинга может служить обработка видеозаписей с камер видеонаблюдения в торговых центрах с помощью технологии искусственного интеллекта (AI) для получения информации о поведении покупателей или сбор информации о пользовательском поведении субъектов персональных данных из ЕС на веб-сайте.
Стоит отметить, что уполномоченный представитель в ЕС не рассматривается как «постоянное учреждение» компании, как и назначение лица, ответственного за защиту персональных данных.
Когда представитель в ЕС не нужен
Статья 27 GDPR предусматривает исключение для этого требования. Контроллер (процессор) не обязан назначать представителя в ЕС, когда:
- обработка носит случайный характер и не включает масштабную обработку специальных категорий данных или персональных данных, касающихся судимостей и уголовных преступлений; а также если вероятность того, что обработка повлечет риск для прав и свобод физических лиц, мала;
- контроллер (процессор) является государственным органом или правительственным учреждением.
Хотя второе исключение является крайне прямолинейным, первое исключение может нуждаться в более подробном рассмотрении. В конечном счете в отношении первого исключения установлены три требования:
- обработка должна носить случайный характер. GDPR не содержит определения «случайного характера», однако уполномоченные органы определили, что значит «регулярный» (что по своему значению противоположно случайному). Из этого можно сделать вывод, что, например, обработка данных работников для целей расчета заработной платы является регулярной, а, следовательно, не носит случайный характер, как и обработка данных пользователя для онлайн-регистрации.
- не осуществляется масштабная обработка специальных категорий персональных данных (таких как раса, политические взгляды, сексуальная ориентация и т. д.) и данных, связанных с осуждением за совершение преступлений. Масштабность обработки может относиться к числу соответствующих субъектов персональных данных, объему обрабатываемых персональных данных, продолжительности или долгосрочности обработки персональных данных, географическому охвату обработки.
- вероятность того, что обработка повлечет риск для прав и свобод физических лиц, мала.
Если какое-либо из указанных требований не выполнено, Вы не можете быть освобождены от обязанности назначить представителя в ЕС.
Подводя итоги
Таким образом, если Ваша компания расположена за пределами ЕС, чтобы соответствовать статье 27 GDPR, Вам необходимо:
- определить, обрабатываете ли вы какие-либо персональные данные жителей ЕС;
- подтвердить намерение работать с лицом из ЕС или компанией, расположенной в стране, где Вы ведете деятельность, путем заключения договора оказания услуг;
- включить контактные данные представителя в Вашу политику конфиденциальности;
- регулярно предоставлять Вашему представителю всю необходимую для учета информацию об обработке персональных данных;
- вместе с представителем отвечать на запросы органов власти и субъектов персональных данных.
Соблюдение статьи 27 GDPR может показаться не таким сложным, как обеспечение прав субъектов данных, тем не менее, при назначении представителя в ЕС в соответствии с GDPR рекомендуем обращать особое внимание на экспертизу кандидата в сфере защиты персональных данных и способность эффективно общаться с клиентами, пользователями и местными органами власти.
В настоящее время на рынке существует большое количество предложений представительских услуг, которые чаще всего представляют собой пакеты, сочетающие в себе юридические услуги и услуги технических специалистов, что делает их чрезвычайно дорогими. Тем не менее, мы ожидаем, что рынок в обозримом будущем рынок будет сбалансирован более доступными предложениями услуг представителей. Когда это произойдет, компании должны будут еще более тщательно подходить к выбору представителей.
