Трансграничная передача персональных данных по GDPR

Компании, в особенности розничные операторы, осуществляющие направление E-commerce и ведущие обработку персональных данных европейских граждан, с мая 2018 года находятся под регулированием Регламента Европейского Союза по защите персональных данных (GDPR – General Data Protection Regulation).

Любая компания, например, зарегистрированная в Московской области и продающая товары и/или услуги европейцам через интернет, входит в зону регулирования Регламента. Положение распространяется на те юридические лица, которые оперируют персональными данными граждан ЕС и принимают от них оплату, оказывают в их пользу услуги или работы. Проследить, заказал ли букет цветов для отправки в Москву гражданин ЕС – практически очень сложно, так как отвлечет большие ресурсы предпринимателя.

Руководство многих компаний, осуществляющих интернет-торговлю или оказывающих услуги, вынуждены строго придерживаться норм GDPR. Причина – высокие штрафы. За несоблюдение правил, нарушения условий хранения или обработки персональных данных предусмотрен штраф в размере до 20 млн евро или в пределах 4% от валовой годовой выручки компании. Кроме того, регулятор может запретить пользоваться услугами российской компании, покупать товары или услуги на ее сайте или платформе. Учитывая огромную степень интегрированности веб-приложений, это высокий риск для бизнеса.

Вопрос безопасной трансграничной передачи данных имеет почти глобальное действие и распространение, касается почти каждого юридического лица, независимо от места инкорпорации или операционной деятельности.

Кроме того, передача персональных данных работников из РФ и других лиц будет применима в том случае, если:

  • Компания является аффилированной с лицом, имеющим статус резидента ЕС.
  • Транзакции оплачиваются в валюте любой страны ЕС (в данном случае – евро).
  • Услуги предоставляются в зоне действия домена верхнего уровня стран ЕС.
  • Юридическое лицо выполняет переводы через банк-корреспондент, расположенный на территории ЕС.

Что входит в персональные данные по GDPR?

Персональные данные – это любая информация, по которой можно идентифицировать пользователя. Необязательно иметь точные данные о рождении, имени и фамилии, месте проживания. Такие сведения может включать любая собранная или предоставленная пользователем информация:

  • Идентифицирующие признаки – фамилия и имя (отчество не используется в документах, удостоверяющих личность гражданина ЕС).
  • Фактическое местоположение – IP-адрес. Абсолютно все провайдеры определяют местонахождение пользователя по этому идентифицирующему признаку.
  • Конфиденциальная информация, учитывающая предпочтения человека – расовая или политическая принадлежность, членство в различных организациях, данные о состоянии здоровья, генетическая предрасположенность, сведения о личной жизни (сексуальные интересы, предпочтения и т. д.).

Вывод: передача из РФ персональных данных работников или других лиц, связанных с компанией, должна выполняться в соответствии с правилами Регламента. Это вовсе не означает возможного преследования регулятора, однако может сильно сузить возможности компании в плане международного бизнеса и коммуникаций.

Проверка соответствия корпоративного сайта и бизнес-процессов организации требованиям GDPR, консультация со специалистами, имеющими компетенцию в данной сфере – это первое, что должна сделать компания, попадающая в зону действия нового европейского закона.