By Уже этим летом украинские компании, продающие что-либо гражданам ЕС, могут нарваться на многомиллионные штрафы
Украинскому бизнесу, работающему с европейцами, придется соблюдать новые правила обработки данных. Даже тем, кто им просто что-то продает, например, нашему интернет-магазину — если продаст товар гражданину ЕС и получит его личную информацию.
С 25 мая 2018 года в Европе вступают в силу обновленные правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Он предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными.
За несоблюдение новых требований в области защиты персональных данных грозит штраф до 20 млн евро или 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, какая цифра окажется больше.
Что контролируется
Как пояснил юрист Международной компании ICF Legal Service Роман Федоришин, для GDPR применяется экстерриториальный режим действия. Это означает, что данная регуляция применяется ко всем лицам, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от места инкорпорации/резидентства/управления такой компании.
«Таким образом, если украинский бизнес собирает и обрабатывает персональные данные пользователей из ЕС, он обязан соблюдать требования, установленные регламентом по отношению к этим данным», — заметил Федоришин.
В понимании этого документа персональные данные — любые данные, которые относятся к лицу и позволяют прямо или косвенно его идентифицировать. От имени, адреса, номера телефона, места работы до любой другой информации — справка от врача, квитанция о крупной покупке, данные шагомера, анкета с данными о родственниках, копия наследства и пр.
«Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными», — сказал управляющий партнер Crowe LF Ukraine Дмитрий Михайленко.
Кого проконтролируют
Новации коснутся трех типов компаний: дочерних предприятий украинских холдингов и компаний, имеющие свои офисы за границей, а также компаний, продающих товары и услуги в ЕС физическим лицам.
Украинская компания может не иметь заграничного офиса, не производить никаких операций или субподрядчиков непосредственно на европейской территории, а лишь продавать онлайн товары и услуги пользователям, в том числе из Старого Света.
«В комментариях к Регламенту разъяснено, что пассивный доступ к сайту или контактным данным организации недостаточен. Такая компания должна будет соблюдать GDPR только при определенных условиях, когда прямо «предусмотрена» возможность реализации товаров или услуг европейским гражданам», — объяснил Михайленко.
Например, путем использования языка соответствующей страны ЕС, в том числе при оформлении заказа, прямого упоминания европейских граждан на сайте или путем принятия платежей в соответствующей валюте.
Под контроль попадают также иные организации, осуществляющие мониторинг поведения европейских граждан. Под мониторингом понимается отслеживание поведения субъектов персональных данных в интернете, включая последующую их обработку для составления профилей, особенно для целей принятия решений в отношении таких субъектов или анализа и предсказывания их поведения, предпочтений.
Это могут быть компании, специализирующиеся на интернет-рекламе, покупатели/продавцы маркетинговых баз данных.
Что надо выполнять
GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Политика конфиденциальности должна быть простой и понятной. Пользователю нужно объяснить, зачем компании его данные, как они будут использоваться и храниться.
Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Достаточно поставить соответствующую галочку на сайте.
«Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя», — говорит Дмитрий Михайленко.
Информацию о человеке можно использовать ровно для тех целей, на которые он позволил. Если он согласился, например, на рекламную рассылку информации о новых гаджетах, нельзя ему отправлять предложения местных служб такси.
Кроме того, компания обязана:
- обеспечить целостность и безопасное хранение данных;
- отвечать на запросы собственников данных;
- по их требованию удалять данные.
В случае утечки (например, хакерской атаки) компания обязана уведомить регулятора и пользователей в течение трех суток. В некоторых случаях необходимо назначать ответственного за обработку персональных данных и уведомлять регулятора о таком лице.
Как пояснил Роман Федоришин, регулятор — это специально уполномоченный орган той страны ЕС, где собираются персональные сведения или «Article 29 Working Party» — рабочая группа Еврокомиссии, созданная согласно ст. 29 Директивы о защите данных (95/46/EC).
Однако после вступления GDPR в силу, эту Рабочую группу заменит новый орган —Европейский совет по защите данных (European Data Protection Board — EDPB).
Как будут наказывать
За нарушение требований Регуляции, нарушитель может быть привлечен к ответственности, которая включает в себя:
- Компенсацию любых убытков пострадавшей стороне.
- Огромные штрафы по ст. 83 Регуляции, а если действие не подпадает под эту статью — по национальным законам государств-членов.
Существует две категории штрафов с учетом глубины и масштаба нарушения:
- 20 млн. евро или 4% от годового дохода за нарушение: ключевых положений Регламента, прав субъектов ПД, нормативов передачи личных данных и др.
- 10 млн евро или 2% от годового дохода за нарушения процедуры получения согласия на хранение и обработку ПД несовершеннолетних, за несоблюдение технических норм работы с ПД, за отсутствие представителя в ЕС и др.
Смягчающим моментом является тот факт, что в отдельных случаях вместо штрафа дело может ограничиться выговором. Например, когда регулятор признает правонарушение незначительным.
«Однако механизм обеспечения и взыскания штрафов в отношении компаний, расположенных за пределами ЕС пока не проработан», — говорит Дмитрий Михайленко.
Источник: UBR.UA
