Журнал "Information Security/ Информационная безопасность" #6, 2019

Для начала напомню, что у GDPR рас- ширена территориальная сфера приме- нения (ст. 3): 1. GDPR применяется к обработке персональных данных в контексте дея- тельности по учреждению контроллера или обработчика в ЕС, независимо от того, осуществляется ли обработка в ЕС или нет. 2. GDPR применяется к обработке персональных данных субъектов персо- нальных данных, находящихся в ЕС, обработанных контроллером или обра- ботчиком, которые не учреждены в Евро- союзе, когда деятельность по обработке связана с: (а) предложением товаров или услуг, вне зависимости от того, требуется ли оплата от этого субъекта данных в ЕС; или (b) мониторингом их действий, поскольку их действия совершаются на территории ЕС. То есть интернет-магазин с доставкой товаров в ЕС и гостиница, которая в соцсетях показывает таргетированную рекламу для европейцев, подпадают под область действия GDPR. Это частные случаи. На самом деле не каждая орга- низация, обрабатывающая персональ- ные данные европейцев (субъектов пер- сональных данных, находящихся в ЕС), должна выполнять GDPR… Подпадаем ли мы под GDPR? EDPB (European Data Protection Board) выпустила уже вторую редакцию разъ- яснений по этому вопросу (Guidelines 3/2018 on the Territorial Scope of the GDPR). Документ крайне интересен своими комментариями и примерами. Так, в новой его версии появились дополнительные кейсы про иностранные компании. В частности, пример № 8 говорит про то, что если услуга оказы- вается только гражданам не из ЕС и она продолжает оказываться им при нахождении в ЕС (например, когда они в качестве туриста в ЕС могут получить доступ к услуге), то эта деятельность не подпадает под GDPR. EDPB также подчеркивает, что единичные случаи нахождения заказчиков-субъектов в ЕС еще не говорят о том, что компания подпадает под GDPR по признаку ока- зания услуг на территории ЕС. Еще из важных комментариев стоит отметить, что если услуга оказывается не на тер- ритории ЕС, а европейцы могут ей вос- пользоваться, но основные потребители не они, то такая деятельность тоже не подпадает под GDPR (это, к примеру, относится к большинству локальных банков, гостиниц и медицинских цент- ров). К сожалению, универсальный ответ на вопрос "Подпадает ли российская компа- ния под GDPR?" дать не получится, надо рассматривать каждый случай отдельно. Но я рекомендую ориентироваться вот на эти вопросы: 1. Производится ли обработка персо- нальных данных на территории ЕС (например, в европейских ЦОД)? 2. Есть ли у компании офисы и пред- ставительства в ЕС? Представлены ли их европейские контакты (адреса и теле- фоны) на сайте компании или в реклам- ных материалах и брошюрах? 3. Представлены ли Web-сайт компа- нии, рекламные материалы и брошюры на одном из европейских языков, помимо английского? Предлагаете ли вы кон- сультации и техническую поддержку на одном из европейских языков, помимо английского? 4. Расположен ли адрес Web-сайта на европейском домене (например, .eu, .de)? 5. Оказываете ли вы на постоянной основе услуги для европейцев, например для туристов? 6. Представлены ли цены на услуги и продукты вашей компании в европей- ской валюте (например, EUR, SEK, CZK, HUF, NOK, GBP)? 7. Организуете ли вы доставку товаров в ЕС и об этом явно сказано в вашем предложении? 8. Используете ли вы таргетированную рекламу и другие маркетинговые актив- ности, направленные на европейцев? 9. Мониторите ли вы поведение субъ- ектов персональных данных, находя- щихся в ЕС, составляете ли вы профили пользователей (например, получаете информацию о геолокации, используете cookies)? И если хоть на один из них вы ответили да, то, скорее всего, вы подпадаете под действие GDPR. Какие есть риски? Консультанты очень любят пугать огромными административными штра- фами за нарушение требований GDPR ("до 20 млн или применительно к хозяй- ствующему субъекту в размере до 4% 18 • ПРАВО И НОРМАТИВЫ Особенности применения GDPR для российских операторов персональных данных аждый российский оператор персональных данных, спрашивая про Общий регламент по защите данных (General Data Protection Regulation, GDPR), на самом деле хочет знать ответы на три вопроса: 1. Попадает ли он под действие GDPR? 2. Какие есть риски? 3. Что еще нужно сделать для соответствия требованиям? (При условии, что все требования 152-ФЗ уже выполнены.) В этой статье попробуем кратко ответить на них. К Андрей Прозоров, менеджер по методологии ИБ, CISM, автор блога “Жизнь 80 на 20” ( www.80na20.blogspot.com)