есть ли у компании филиалы или представительства на территории Европейского Союза;
25 октября в уютном офисе компании Rambler&Co прошло замечательное мероприятие о практике применения европейского регламента GDPR (General Data Protection Regulation) и Федерального закона «О персональных данных».
GDPR в Европе — это очень серьёзно. После вступления в силу данного документа инвестиции в европейские стартапы уменьшились вдвое. Инвесторы опасаются проблем, связанных со штрафными санкциями за нарушение правил обработки персональных данных.
Если, например, американская компания приобретает компанию в Европе, due diligence перед сделкой должен быть очень тщательным. В противном случае можно приобрести большую проблему, а не актив.
Чтобы понять, распространяются ли GDPR на ту или иную компанию, нужно для себя ответить на следующие вопросы:
есть ли у компании филиалы или представительства на территории Европейского Союза;
обрабатывает ли компания персональные данные граждан-участниц ЕС по поручению европейского оператора;
руководствуется ли компания при осуществлении деятельности законодательством ЕС или стран-участниц ЕС;
осуществляет ли компания отдельные виды обработки персональных данных граждан ЕС, в частности хранение и накопление с использованием технических мощностей, находящихся на территории ЕС.
Если получился хотя бы один положительный ответ, скорее всего компания должна руководствоваться GDPR.
Примечательно, что российское законодательство о персональных данных имеет тенденцию к сближению с европейскими правилами GDPR.
Само по себе принятие Федерального закона «О персональных данных» было связано с ратификацией Россией Конвенции о защите частных лиц при автоматической обработке персональных данных №108.
10 октября 2019г. постоянный представитель России при Совете Европы подписал Протокол СДСЕ №223 о внесении изменений в данную Конвенцию. В ближайшее время в российское законодательство будут внесены новые нормы, которые сильно изменят действующие правила.
Говоря о проверках Роскомнадзора, которые он достаточно активно проводит , нужно обратить внимание в первую очередь на то, что именно проверяется:
сама деятельность оператора по обработке персональных данных (включая меры, принимаемые оператором во исполнение требований);
документы и локальные акты оператора, принятые оператором меры;
информационные системы с персональными данными.
Наиболее типичные нарушения, которые выявляются Роскомнадзором:
избыточность запрашиваемых и обрабатываемых персональных данных применительно к целям обработки;
отсутствие в договорах с организациями существенных условий обеспечения конфиденциальности безопасности персональных данных при их обработке;
отсутствие согласий субъектов на передачу их персональных данных для обработки;
продвижение товаров и услуг лицам, с которыми нет договорных отношений и которые не давали на это согласия;
неисполнение оператором требований по прекращению и уничтожению персональных данных в случае отзыва субъектом согласия на обработку своих персональных данных.
В заключение прозвучал очень интересных доклад представителя Сбербанка о том, как формулировать условия об обработке персональных данных на сайте и в локальных документах. Всё должно быть просто и понятно. В противном случае есть вероятность применения штрафных санкций от регулятора. В ЕС это уже распространённая практика, а штрафы за отсутствие ясности и прозрачности измеряются в десятках миллионов долларов.
Огромное спасибо сообществу Legal Crew за организацию мероприятия. Так держать, ребята!