Общий регламент защиты персональных данных (GDPR). Рекомендация для резидентов Республики Беларусь

Общий регламент Европейского союза по работе с персональными данными (англ. General Data Protection Regulation - GDPR) (далее - Регламент) введен в действие 25 мая 2018 г. во всех странах Евросоюза (примечание 1). Документ устанавливает правила защиты физических лиц при обработке персональных данных и правила свободного перемещения таких данных.

Справочно В Европейском союзе вопрос об использовании персональных данных физического лица подлежит особому контролю, нарушение правил грозит значительными штрафами (до 20 миллионов евро либо 4 % от годового оборота компании).

Регламент имеет экстерриториальный характер, значит, его правила при наличии определенных условий распространяются на нерезидентов Европейского союза. Соответственно, нарушение Регламента повлечет ответственность вне зависимости от того, где организация, обрабатывающая персональные данные, имеет свое место нахождения и праву какой страны подчиняется.

С учетом содержания Регламента предлагаем небольшую инструкцию для понимания того, будут ли распространяться правовые нормы ЕС по защите данных на организации - резиденты Республики Беларуси.

Персональные данные

Первое, что стоит сделать организации, деятельность которой связана с использованием персональных данных, - это определить, какие именно персональные данные она собирает и обрабатывает. Согласно Регламенту «персональные данные» - это любая информация, относящаяся к субъекту данных, то есть идентифицированному или поддающемуся идентификации физическому лицу, на основании которой (по одному или нескольким факторам) такое лицо может быть прямо или косвенно идентифицировано.

Обратите внимание! Достаточно даже одного фактора, который будет явно указывать на идентификацию этого лица.

Все данные разделяются на две категории:

стандартные: такие как имя, фамилия; псевдоним, соотносящийся с конкретным лицом; номер паспорта или ИД удостоверения; дата и место рождения; место проживания, регистрация, прописка; е-мейл, телефон или другая контактная информация; IP-адрес и параметры соединения; любой онлайн-идентификатор; дата и время посещения ресурса, история и параметры посещений, включая название браузера;

специальные (обработка, которых запрещена, но может осуществляться при соблюдении определенных условий): раса и национальность, политические взгляды, вероисповедание, сексуальная ориентация; биометрические данные (фотография, изображение человека, отпечатки пальцев, сетчатки глаза, запись голоса и пр.); данные о здоровье (результаты медицинских анализов и заключений, медицинская карта лица); генетические данные и т. д.

Сфера действия Регламента

Регламент, как уже упоминалось, имеет экстерриториальный характер, то есть обязателен для соблюдения не только резидентами ЕС, но и нерезидентами, имеющими отношение к персональным данным граждан ЕС. Как это работает применительно к компаниям - нерезидентам ЕС, в частности к белорусским компаниям? Действие Регламента будет распространяться на:

• компанию, собирающую и обрабатывающую персональные данные, вне зависимости от ее страны регистрации или резидентства, если она осуществляет деятельность в ЕС вне зависимости от того, где именно осуществляется работа с персональными данными, то есть деятельность компании осуществляется через какую-либо постоянную структуру в ЕС (филиал, представительство, партнер (юридическое лицо), агент или представитель и пр.);

• компанию вне зависимости от страны регистрации и резидентства, обрабатывающую персональные данные лиц, находящихся в ЕС, деятельность, которой связана с предложением таким лицам товаров и услуг, независимо от того, требуется ли от них оплата или нет, либо с мониторингом поведения таких лиц, если такое поведение имеет место в ЕС.

Пример Если деятельность компании связана с торговлей и она предлагает товары или услуги (например, интернет-магазин, гостиница, авиакомпания) резидентам ЕС вне зависимости от фактического места нахождения таких лиц посредством сайта на одном из официальных языков ЕС, имеет опцию обратной связи, форму заявки или заказа на сайте, предлагает в качестве оплаты евро, то Регламент распространяет свое действие на такую компанию.

Мониторинг поведения лиц

Под мониторингом поведения лиц, находящихся в ЕС, понимается отслеживание определенных действий, поведенческой модели физических лиц. Регламент будет действовать в отношении организаций, осуществляющих мониторинговую деятельность, включающую в себя следующие действия (примечание 2):

• сбор информации о предпочтениях, интересах, доходах, геолокации и иных характеристиках пользователей сайта компании в онлайн-режиме посредством cookie-файлов (в том числе информации об IP-адресе) для использования этих данных в рекламных и маркетинговых целях, персонализированной рекламы для клиентов, покупателей товаров (behavioural advertisement), то есть рекламы, адаптированной под предпочтения конкретного лица, его вкусы, доходы и т. д.;

• определение местоположения физических лиц с использованием навигационных систем для маркетинговых целей (геолокализация);

• проведение маркетинговых и иных исследований, основанных на профайлах физических лиц с их личными данными (имя, возраст, контактные данные и т. д.);

• мониторинг состояния здоровья физических лиц. Онлайн-сервисы, предлагающие персонализированную диету и (или) аналитические материалы на тему здоровья и здорового образа жизни.

Применение Регламента на территории Республики Беларусь

Чтобы лучше понять, когда и по каким критериям применяется Регламент, рассмотрим следующую ситуацию.

Ситуация Компания, зарегистрированная в Республике Беларусь, разработала на ее территории приложение - онлайн-гид по городу для туристов. Приложение обрабатывает персональные данные о месте нахождения его пользователя с того момента, как он начал использовать приложение в том городе, где он находится, для предоставления целенаправленной рекламы по местам, рекомендуемым к посещению, ресторанам, барам, отелям. Приложение доступно для туристов вне зависимости от их гражданства и страны резидентства во время посещения ими таких городов, как Минск, Нью-Йорк, Париж, Рим, Торонто. Можно сделать следующий вывод: в отношении компании, занимающейся подобным видом деятельности, будут применяться нормы Регламента со всеми вытекающими последствиями.

Критерии, по которым соответствующий вывод был сделан:

1. Приложение непосредственно затрагивает лиц, находящихся в Европейском союзе, посредством предложения им услуг во время их нахождения в ЕС и происходит обработка персональных данных субъектов, находящихся в ЕС, посредством предоставления им услуг.

2. Происходит обработка данных о месте нахождения субъектов для целей рекламирования услуг и товаров по принципу локации, что будет признано мониторингом поведения лиц, имеющим место в ЕС.

Примечание 1. General Data Protection Regulation (EU Регламент), the latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p.2 ((EU) 2016/679)/ Общий регламент защиты персональных данных (Регламент) Европейского союза: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02016R0679-20160504.

Перевод на русский язык - https://gdpr-text.com/ru/.

Примечание 2. Guidelines 3/2018 on the territorial scope of the Регламент (Article 3), Version 2.1, 12 November 2019 / Директива Европейского Парламента и Совета № 3/2018 относительно территориальной сферы действия Общего регламента по защите персональных данных, версия 2.1, от 12.11.2019 года: https://edpb.europa.eu/our-work-tools/our-documents/riktlinjer/guidelines-32018-territorial-scope-gdpr-article-3-version_en.

19.02.2021

Юлия Острейко, директор общества с дополнительной ответственностью «Коллегия»