Экстерриториальное действие GDPR
Ст. 3 говорит о двух основных критериях применения GDPR: если компания имеет присутствие (критерий «присутствия») в ЕС или если присутствия нет, но есть направленность на территорию ЕС (критерий «направленности»):- Cт. 3(1) говорит о том, что GDPR применяется к обработке персональных данных в связи с деятельностью присутствия (establishment) оператора или обработчика в ЕС (вне зависимости от того, происходит ли обработка на территории ЕС или нет). Иными словами, если у вас есть компания на территории ЕС, то на нее распространяются требования GDPR.
Необходимо отметить, что само понятие «присутствие» (establishment) толкуется европейскими правоприменителями широко. Сам GDPR говорит о том, что под присутствием (establishment) стоит понимать, прежде всего, реальную осуществляемую экономическую деятельность.
Причем формальное юридическое присутствие (филиал, дочерняя компания) не является определяющим фактором. Например, наличие представителя или банковского счета в определенной стране может в некоторых обстоятельствах квалифицироваться как такое присутствиеCJEU Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság [2015] Case
- Ст. 3(2) говорит о том, что GDPR применяется также к обработке персональных данных граждан, которые находятся на территории ЕС, даже если оператор или обработчик не имеет присутствия в ЕС, при условии, что обработка относится к (i) предложению товаров или услуг гражданам, находящимся в ЕС, или (ii) мониторингу их поведения, когда такое поведение происходит на территории ЕС.
GRPR исходит из того, что предложение товаров или услуг должно иметь направленность именно на субъектов, находящихся в ЕС. Практика также подтверждает этот тезис, указывая, что, например, просто перевода сайта на один из языков стран ЕС еще не образует направленности на субъектов в ЕС. Необходимо анализировать всю совокупность факторов, таких как наличие сайта в доменной зоне одной из стран ЕС, наличие телефона и представителя в ЕС, возможность доставки товаров в ЕС, оплата услуг операторов поисковых систем для продвижения в ЕС и т.д. Причем наличие оплаты за услуги или товары не имеет значения для определения применимости GDPR.
Хотя сам по себе сбор персональных данных с помощью сети «Интернет» или анализ такой информации автоматически не образует «мониторинг» для целей применения GDPR, мы рекомендуем аккуратно относиться к случаям, когда осуществляется какой-либо сбор персональных данных онлайн. В этой связи, когда имеет место маркетинговое исследование, профилирование субъектов персональных данных, исследование поведенческих паттернов пользователей, сбор информации посредством cookie-файлов, таргетирование рекламы на субъектов, находящихся в ЕС, и т.д., необходимо провести анализ применения GDPR к такой деятельности.
Практические примеры
Разберем некоторые практические примеры применения GDPR:- Дочерняя компания в Казахстане, входящая в российскую группу компаний, рассматривает выход на рынок ЕС и для этого осуществляет маркетинговые исследования предпочтений пользователей в ЕС, а также запускает рекламную кампанию с помощью таргетированной рекламы. В данном случае GDPR будет применяться, так как компания в Казахстане собирает данные европейских пользователей и ее деятельность направлена пользователей в ЕС;
- Российская компания приобрела компанию в Дубае, которая исторически осуществляла поставки товаров пользователям в ЕС. В данном случае GDPR будет применяться к дубайской компании, так как она осуществляла поставки товаров пользователям в ЕС, такие поставки носили систематический характер и деятельность компании предполагает направленность на лиц на территории ЕС. Кроме того, если впоследствии данные планируется передавать в Россию или предоставлять доступ к ним из России, то необходимо обеспечить соблюдение GDPR при такой передаче или предоставлении доступа со стороны российских компаний;
- Компания, занимающаяся разработкой мобильных игр, распространяет свои игры в том числе в странах ЕС. Игры компании доступны в магазинах мобильных приложений в соответствующих странах. В данном случае GDPR будет, скорее всего, применим к деятельности компании, так как в данном случае будет выполняться критерий направленности. Кроме того, мобильные игры обычно предполагают совершение внутриигровых платежей, а также сбор обширной аналитики об использовании приложения;
- Компания в России обрабатывает персональные данные граждан ЕС в связи с оказанием им оффлайн услуг, когда они находятся в России. По общему правилу GDPR не распространяется на деятельность такой компании, так как не выполняются критерии «направленности» и «присутствия», а также обрабатываются персональные данные тех граждан ЕС, которые не находятся на территории ЕС.
Последствия распространения GDPR
Применение GDPR влечет ряд последствий:- обязанность по соблюдению норм GDPR, что предполагает, в том числе, назначение представителя в ЕС (в ряде случаев), выстраивание бизнес-процессов, применение соответствующих мер защиты, обучение сотрудников и т.д.;
- нарушение требований GDPR может повлечь наложение оборотных штрафов в размере до 10 млн евро или 2% от годовой выручки за предшествующий год (в зависимости от того, что больше), а за серьезные нарушения — до 20 млн евро или 4 % от годовой выручки за предшествующий год (в зависимости от того, что больше);
- кроме того, GDPR предполагает запрет или приостановку обработки персональных данных, что фактически может означать запрет на осуществление бизнес-деятельности в ЕС;
- усложнение работы с крупными контрагентами, так как обычной практикой является проведение аудита вендоров на предмет соблюдения требований GDPR.
Если у вас есть вопрос о применимости GDPR к вашему бизнесу или вопросы по исполнению требований GDPR, то мы будем рады помочь.