25 мая 2018 года вступил в силу Общий регламент по защите данных (General Data Protection Regulation) (далее "Регламент GDPR"), введённый Регламентом ЕС 2016/679 от 27 апреля 2016 года. GDPR имеет прямое действие и автоматически вводится через национальное законодательство во всех странах - членах Европейского союза. Регламент GDPR затрагивает не только компании, находящиеся на территории ЕС, но и все остальные, которые собирают и обрабатывают данные резидентов и граждан ЕС.
Одной из ключевых особенностей Регламента GDPR, отличающей его от Директивы о защите персональных данных 95/46/ЕС, отменённой 25 мая 2018 года, в день вступления в силу Регламента GDPR, является значительное увеличение размера ответственности за нарушение правил обработки персональных данных.
В Регламенте GDPR установлена двухуровневая система штрафов: за нарушение обязанностей, предусмотренных статьёй 83(4) Регламента GDPR, в том числе за небезопасную обработку персональных данных, предусмотрен штраф размером до 10.000.000 евро или 2% от годового оборота компании, а за нарушение обязанностей, предусмотренных статьёй 83(5) Регламента GDPR предусмотрен штраф размером до 20.000.000 евро или 4% от годового оборота компании. В последнем случае потенциально крупный размер штрафа обусловливается нарушением базовых принципов обработки персональных данных, к коим, inter alia, относится законность обработки персональных данных (статья 5 GDPR), соблюдение условий для согласия на обработку персональных данных (статья 7 GDPR), обеспечение безопасности обработки (статья 32 Регламента GDPR) и др.
По состоянию на июнь 2020 года надзорными органами по защите персональных данных на нарушителей Регламента GDPR было наложено 305 штрафов общей суммой более 450.000.000 евро. Стоит отметить, что столь крупной эту сумму делают два наиболее крупных штрафа: штраф в размере 204.600.000 евро, наложенный на компанию British Airways за перенаправление пользователей сайта British Airways на сайты, через которые мошенники получали доступ к персональным данным клиентов British Airways (надзорный орган Великобритании по защите персональных данных (Information Commissioner's Office) отмечал, что таким образом мошенники получили доступ к персональным данным более 500.000 человек), а также штраф в размере 110.390.200 евро, наложенный на компанию Marriott International Inc. за раскрытие персональных данных 339.000.000 гостей отелей сети Marriott International Inc.
Важно понимать, что Регламент GDPR применяется не только к коммерческим юридическим лицам, которые в силу специфики своего бизнеса вынуждены обрабатывать огромные массивы персональных данных. С момента вступления в силу Регламента GDPR по настоящий момент надзорными органами по защите персональных данных в некоторых странах Европейского союза были оштрафованы, например, публично-правовые образования, политические партии, иные некоммерческие организации, а также индивидуальные предприниматели.
Так, например, в марте 2020 года за нарушение Регламента GDPR был оштрафован муниципалитет Хёрсхольм (Королевство Дания): компьютер сотрудника муниципалитета, содержащий конфиденциальные данные более полутора тысяч сотрудников городского правительства, был украден, вследствие чего была нарушена обязанность оператора персональных данных обеспечить безопасную обработку персональных данных. Схожий случай произошёл в марте 2020 года в муниципалитете Гладсаксе (Королевство Дания) – надзорным органом по защите персональных данных был наложен штраф за кражу у сотрудника городского правительства компьютера с персональными данными более чем 20.000 жителей муниципалитета. Также, за последнее время несколько штрафов было наложено на образовательные учреждения. Например, в Исландии, в марте 2020 года школа была оштрафована на 9.000 евро за то, что учитель данной школы разослал своим ученикам и их родителям электронное письмо, в котором содержались данные об успеваемости и социальных условиях остальных учеников.
Важно выделить общую тенденцию на увеличение, касающуюся как суммы штрафов с мая 2018 года, так и их количества в месяц. Так, на диаграмме слева заметно, что количество штрафов за нарушение Регламента GDPR в месяц заметно увеличивается. Если в первый месяц после вступления в силу GDPR не была оштрафована ни одна компания, то спустя практически два года действия компании были оштрафованы за нарушение Регламента GDPR 27 раз. Схожая тенденция наблюдается и на диаграмме справа заметно увеличение общей суммы штрафов, если в июне 2018 года такая сумма составляла 0 евро, то по состоянию на март 2020 года общая сумма штрафов за нарушение Регламента GDPR превышает 465.000.000 евро.
Очевидно, что лишь малая часть из вышеуказанных сумм на данный момент выплачена фактически в связи с подачей большинством компаний, оштрафованных за нарушение GDPR, апелляционных жалоб на решения надзорных органов по защите персональных данных.
По состоянию на май 2020 года за нарушение GDPR были оштрафованы лишь компании из стран Евросоюза, а также несколько компаний из США и Великобритании. Однако, за нарушение Регламента GDPR могут штрафовать не только компании, инкорпорированные в странах Евросоюза. Для Регламента GDPR имеет значение местоположение субъекта данных, а не их контролёра – вследствие этого любая компания, которая тем или иным образом обрабатывает персональные данные граждан Евросоюза, подпадает под действие Регламента GDPR, даже в том случае, если вышеуказанная обработка данных не являлась умышленной. В начале статьи уже было указано, что два крупнейших штрафа "принадлежат" компаниям, инкорпорированным в США и Великобритании: это ещё раз подтверждает, что для контролирующих органов стран-членов Евросоюза не имеет значения место регистрации компании.
Означает ли это, что GDPR применяется и к российским компаниям? Да, с учётом экстерриториального принципа функционирования Регламента GDPR можно утверждать, что Регламент GDPR применяется не только к российским компаниям, имеющим присутствие в Евросоюзе, но и к российским компаниям, не присутствующим юридически на территории стран-членов Евросоюза, но обрабатывающим персональные данные резидентов Евросоюза или граждан, временно пребывающих на территории Евросоюза. При этом, отсутствует какой-либо исчерпывающий перечень триггеров применения Регламента GDPR: это может быть как сбор cookie-файлов граждан Евросоюза, так и рекламная активность российской компании в Евросоюзе – ключевое значение имеет объективная направленность компании на обработку персональных данных европейских потребителей.
В целях соответствия Регламента GDPR ключевое внимание российской компании должно быть сконцентрировано на публичных процедурах, к коим в том числе относится разработка уведомления об обработке персональных данных, согласия на такую обработку, политики использования cookie-файлов, ответов на запросы субъектов персональных данных, модели действий на случай инцидентов с персональными данными. Очевидно, что для вышеуказанных целей компания, которая обязана соответствовать GDPR, должна ввести в свой штат специальную должность (если последняя отсутствует) – инспектор по защите персональных данных, чьими обязанностями будет как разработка всей необходимой документации и учёт инцидентов в сфере персональных данных, так и взаимодействие с надзорными органами Евросоюза. Кроме того, российская компания, которой по тем или иным причинам необходимо соответствовать требованиям GDPR, должна будет провести аудит всех своих систем, связанных с персональными данными.
Ещё одной важной обязанностью для компаний из стран, не входящих в Евросоюз, является обязанность назначить представителя в Евросоюзе. Данное правило применяется в том случае, если компания не имеет в Евросоюзе постоянно действующей структуры. Именно наличие европейского представителя у российской компании позволит европейским надзорным органам эффективно взаимодействовать с компанией, в том числе накладывать на неё санкции за нарушение GDPR.
Последнее станет возможным лишь в том случае, если у российской компании не будет активов или дебиторской задолженности в Евросоюзе. Впрочем, штрафы – хоть и чувствительная, но не единственная возможная санкция за нарушение GDPR. Гораздо сильнее по российской компании может ударить запрет европейским компаниям передавать персональные данные российской компании – в таком случае компания может лишиться не только части своих активов, но и вовсе уйти с европейского рынка.
Анализ распределения штрафов за нарушение Регламента GDPR между отраслями продемонстрировал, что наиболее часто соблюдением требований к обработке персональных данных пренебрегают компании-провайдеры услуг сотовой связи. Российские сотовые операторы обязаны обрабатывать персональные данные в соответствии с требованиями Регламента GDPR ввиду того, что предоставляют услуги роуминга на территории Евросоюза.
На втором месте по количеству штрафов за нарушение Регламента GDPR – банковская сфера. Ни один из российских банков на сегодняшний день не был оштрафован за нарушение Регламента GDPR, что явилось следствием того, что многие российские банки внедрили требования Регламента GDPR в свои системы, связанные с персональными данными. Например, крупнейшие российские банки ПАО "Сбербанк" и ПАО "ВТБ", имеющие в Евросоюзе несколько дочерних компаний (Sberbank Europe AG, Sberbank Switzerland AG, VTB Bank Europe SE и др.), обрабатывают персональные данные в соответствии с Регламентом GDPR.
Таким образом, на сегодняшний день заметна явная тенденция на соответствие внутренних документов российских компаний требованиям Регламента GDPR. Тем компаниям, которые на настоящий момент не внедрили требования Регламента GDPR, важно ответственнее подходить к обработке персональных данных и по возможности привести в соответствие Регламенту GDPR все внутренние документы. Это касается лишь российских компаний, тем или иным образом осуществляющим обработку персональных данных граждан Евросоюза.
