1. Основная цель принятия GDPR – усложнить жизнь бизнесу

На самом деле главная цель GDPR – дать возможность пользователям контролировать кто и как использует их персональные данные и иметь возможность легко и в любой момент запрещать использование или изменять условия использования персональных данных в маркетинговых целях.

Персональные данные собираются компаниями, чтобы улучшить маркетинг и сделать его персонифицированным – нацеленным на каждого конкретного пользователя с учетом его предпочтений и интересов, которые собираются на основе поведения пользователя в интернете: посещение сайтов, оставленные лайки, передвижение мышки по странице. В интернете можно собрать такие данные об активном среднестатистическом пользователе, как: пол, возраст, семейный статус, профессия, интересы, потребительские привычки. Если к этому добавить мониторинг геолокации, то объем информации о каждом человеке, которая находится в руках некоторых компаний, становится пугающим, особенно при мысли об утечке этих данных. Еще страшнее становится при мысли о возможном манипулировании поведением и решениями пользователей – пример новостей, связанных с деятельностью Cambridge Analytica.

В некоторых публикациях приводится пример программы, которая на базе анализа всего 10 лайков позволяет узнать человека лучше, чем его знают его сослуживцы. По 70 лайкам программа узнает о человеке столько же, как его близкий друг, по 150 лайкам – как родители, братья или сестры, а по 300 и более лайков — лучше, чем его знает супруг(а).

Задумываясь об этом с точки зрения пользователя, можно видеть безусловную пользу в принятии GDPR. Его основная цель – ограничение бесконтрольного использования персональных данных в коммерческих целях, когда субъект таких данных не имеет представления о том, кто, в каких целях и каким образом использует информацию о нем, собранную в интернете из различных источников.

2. GDPR распространяется на российские компании, обрабатывающие персональные данные хотя бы одного гражданина страны-члена ЕС

Это тоже заблуждение. GDPR регулирует работу с персональными данными не граждан ЕС, а всех лиц, находящихся на территории ЕС

«This Regulation applies to the processing of personal data of data subjects who are in the Union…».

GDPR, Art. 3 (2).
По утверждению представителя Европейской Комиссии (которому удалось неофициально задать некоторые вопросы на международной Конференции в июне 2018 года [1]) GDPR не относится к обработке персональных данных лиц, которые находятся за пределами ЕС, даже если они выехали временно. В тоже время обработка персональных данных российских граждан, которые путешествуют в Европе, подпадает под действие GDPR.

Опять же со ссылкой на неофициальные пояснения представителя Европейской Комиссии для того, чтобы привлечь внимание регулятора, требуется обработка прежде всего большого объема данных европейских пользователей. Если целью российской компании не является сбор или обработка данных европейцев, а лица, чьи данные она обрабатывает эпизодически оказываются в Европе, то регулятор вряд ли заинтересуется деятельностью такой компании с точки зрения соблюдения GDPR.

Существует противоположное мнение о том, что если услуги осуществляется вне пределов ЕС (например, номер в гостинице, находящейся в России, можно забронировать удаленно с территории ЕС), организация не должна попадать под действие GDPR, поскольку ее деятельность не осуществляется на территории ЕС и не попадает под действие законодательства ЕС. Такое мнение не вполне соответствует положениям GDPR: если такая компания будет использовать данные лиц, преимущественно проживающих в Европе, то на нее распространяется GDPR. Если взять пример с гостиницей, то на момент проживания в гостинице европеец действительно не находится в Европе. Но если после его возвращения гостиница продолжит обрабатывать его данные и, например, отправлять ему маркетинговые материалы, то получится, что она работает с данными лица, проживающего в Европе. Ну а если данные не будут использоваться в маркетинговых целях, а собираются только для брони и регистрации проживания, то в этом проблемы нет: GDPR разрешает сбор и обработку данных для исполнения договора, и согласие субъекта персональных данных в этом случае не нужно.

3. Согласие пользователей на использование их данных нужно всегда

Не совсем так. В случае не-европейской компании GDPR применяется только при использовании персональных данных для маркетинговых целей (предложения товаров или услуг) и мониторинге поведения пользователей в Европе. Если данные используются не для этих целей, то положения GDPR не будут применяться.

This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

GDPR, Art. 3 (2).
Когда данные получаются для целей исполнения договора, согласие не требуется. Существуют также другие случаи, когда использование персональных данных не требует согласия. Но если после исполнения договора данные остаются у компании и хранятся ей (например, в CRM), в этом случае потребуется согласие пользователя.

4. За нарушение GDPR будут сразу штрафовать, штрафы будут очень высокие

Штрафовать сразу никто не станет. Регуляторы в разных странах только начинают работать с новыми правилами и будут осторожно относиться к формированию практики, с оглядкой друг на друга. Они вряд ли они станут спешить сразу применять штрафы, скорее сначала будут предупреждения и предписания. Указанные в GDPR размеры штрафов – это верхний предел, при нарушении штрафы могут применяться не всегда и могут быть небольшими. Начисляться штрафы скорее всего будут исходя из того, что они должны быть соразмерными и действенными, а основная цель – не задушить бизнес, а направить на верный путь.

Кроме того, параллельно будет формироваться судебная практика (в том числе Люксембургского Суда), появления которой также будут ждать регуляторы, прежде чем начинать массовые проверки и санкции.

Во время неофициального общения с представителем Европейской Комиссии на конференции, прозвучала мысль, что возможно будет проведено несколько показательных процессов над некоторыми гигантами, чтобы на практике стало понятнее, какое поведение является неприемлемым и к чему оно может привести.

В вопросе применения штрафов за нарушение GDPR следующие позиции представляются наиболее правильными:

«В целом нужно воспринимать большие суммы штрафов в законе как заградительную меру, а не новыи? способ пополнения местных бюджетов стран Евросоюза»

«Конкретные размеры штрафов будут определяться индивидуально, с учетом большого количества факторов. Многомиллионныи? штраф может быть наложен на организацию в том случае, если она сознательно и злостно нарушала права субъектов, тщательно это скрывая и получая от такои? обработки ПДн высокую прибыль»

Что же касается опасений российских компаний, относительно того, что они могут быть оштрафованы за несоблюдение GDPR, то такие опасения вероятнее всего не реализуются. Привлечь к ответственности компании, не имеющие представительства в Европе, регулятору будет не просто. Еще сложнее будет исполнить наложенные санкции на территории государства, не входящего в состав ЕС. Поэтому основное регулирование, которое прогнозируется в связи GDPR, будет проходить посредством саморегулирования в отрасли: европейский бизнес постепенно будет отказываться от работы с компаниями, которые не соблюдают требования GDPR. Соответственно, основное негативное последствие несоблюдения GDPR – это не штрафы, а потеря конкурентоспособности на европейском рынке.

5. Персональные данные нельзя переносить в другие страны без соответствующего надзора и разрешения

Данные можно передавать, если существует договор с компанией, которые передаются данные, и если в таком договоре предусмотрены определенные гарантии. Кроме того, существует Конвенция Совета Европы 108 (в которой участвует Россия), в ней указывается следующее:

«Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни»

Точного ответа о том, как соотносятся положения Конвенции 108 и ограничения GDPR на передачу данных пока нет, возможно между ними есть противоречие. Но в любом случае, данные можно передавать при наличии договора, а также в некоторых других случаях, указанных в GDPR.

[1] Pearse O'Donohue, Acting Director for the Future Networks Directorate of DG CONNECT at the European Commission.