Множество компаний, особенно в сфере услуг, в какой-то момент своего развития перерастают свой локальный рынок и задумываются о расширении географии своего присутствия. Часто в качестве нового рынка для первичной экспансии выбирают Европу. Ежегодно тысячи компаний, работающих на просторах постсоветского пространства, открывают новые офисы в Европе, перевозят программистов в страны с льготным налогообложением и начинают оказывать услуги резидентам Европы.
При выходе на новые рынки бизнес, как правило, оценивает привлекательность для себя нового региона, определяет каналы и рынки сбыта, находит новых поставщиков, оценивает налоговую нагрузку компании и сотрудников, но, зачастую, упускает множество деталей и особенностей местного правового регулирования, потому что данные детали кажутся им незначительными и не требующими серьезной проработки. Одним из ярких примеров такого упущения является обработка персональных данных — GDPR. Несмотря на то, что с GDPR столкнулись уже практически все активные пользователи сети Интернет, получив в мае 2018 года огромное количество писем с просьбой дать свое согласие на продолжение рассылки, многие выходящие на европейский рынок бизнесмены зачастую забывают о таком регулировании.
Рассмотрим, что такое GDPR более подробно. GDPR – это Генеральный регламент по защите персональных данных (англ. Regulation(EU) 2016/679 (GeneralDataProtectionRegulation), действующий с 25 мая 2018 года на территории всех европейских стран и регулирующий процесс сбора, хранения и обработки персональных данных. Несмотря на то, что Регламент действует на территории Европы, фактически он затрагивает любую компанию, которая либо находится в Европе, либо ведет деятельность, связанную с резидентами или гражданами ЕС. Приведем примеры для наглядности.
Допустим компания, зарегистрированная и ведущая деятельность на территории Украины, оказывает резидентам ЕС услуги по транспортировке животных. Для этого они получают по электронной почте данные физических лиц, включая паспорта, осуществляют коммуникацию с перевозчиком, передают данные о перевозимом животном и его владельце третьей стороне. Несмотря на то, что обработка персональных данных ведется на территории Украины, такая украинская компания будет обязана соблюдать положения Регламента, поскольку обрабатывает персональные данные европейцев. Второй пример, когда кипрская компания осуществляет деятельность по разработке мобильных приложений. Компания делает приложения на русском языке, они направлены исключительно на рынок СНГ и не продаются в магазинах, доступных европейцам. При этом компания обрабатывает персональные данные своих сотрудников, а также резидентов СНГ, с которыми у нее заключены контракты на маркетинг и разработку. Такая компания тоже обязана соблюдать положения GDPR, поскольку обрабатывает персональные данные физических лиц на территории Европы.
При этом совершенно необязательно обрабатывать данные паспортов или данные, составляющие медицинскую тайну. В соответствии с регламентом, под персональными данными понимаются любые данные о физическом лице, позволяющие установить его личность. Под такое определение могут подойти многие виды данных, начиная от комбинации ФИО с номером телефона и заканчивая ссылкой на страницу в Facebook (подробнее ст.2, 4, 9, 10 Регламента). Также Регламент выделяет специальную категорию персональной информации, которая подлежит усиленной защите. Такая категория включает в себя информацию о расовой и этнической принадлежности лица, политических и религиозных верованиях, генетические и биометрические данные, информацию о здоровье лица и его ориентации.
Какие же требования должна соблюдать компания, подпадающая под действие Регламента, при обработке персональных данных? Перечень требований довольно обширный и перечислить их все в рамках одной статьи невозможно, но ключевыми являются следующие:
- Компания должна провести аудит своих бизнес-процессов по обработке персональных данных и определить источник персональных данных, порядок их получения, способы хранения, перечень лиц, у которых есть доступ к таким данным и подобные параметры.
- Компания, по результатам аудита, указанного в пункте первом, обязана принять адекватные меры, направленные на минимизацию получаемой информации (собирать только достаточную, а не избыточную информацию), обеспечить безопасность ее хранения и передачи, а также принять технические (например, установка программ для шифрования баз данных пользователей) и юридические меры (например, заключение с лицами, имеющими доступ к персональным данным, соглашения о неразглашении информации), направленные на снижение вероятности “утечки” персональных данных (подробнее ст.32 Регламента).
- Компания должна обрабатывать персональные данные пользователей только на основе их прямого волеизъявления (за редкими исключениями, например, когда обработка персональных данных обязательна по закону или стороны связаны контрактом). При этом компания не может обрабатывать персональные данные для целей иных, чем указано в контракте или согласии на обработку персональных данных. Приведем пример: компания заключила договор на оказание услуг по управлению принадлежащим физическому лицу имуществом. Стороны подписали соответствующее соглашение, компания раз в месяц присылает отчет о проделанной работе. При этом такая компания не имеет права делать такому физическому лицу рекламную рассылку, поскольку не получила на это добровольного информированного согласия.
- Компания обязана доступно и просто информировать пользователя о том, как, в какие сроки, с использованием каких средств будет происходить обработка персональных данных и получить на это добровольное явное согласие. Если обработка будет производиться третьим лицом — например, контрагентом компании, то также получить на это согласие пользователя. При этом компания также обязана убедиться, что контрагент соблюдает требования Регламента.
Это лишь самая верхушка айсберга под названием GDPR. «Деталь», о которой забывают бизнесмены, выходя на европейский рынок, может очень дорого обойтись, поскольку штрафы за несоблюдение положений закона могут достигать до EUR20 млн. или 4% от оборота компании (наибольшее значение). Выходя на новый рынок, всегда стоит проконсультироваться с юристом не только об особенностях регулирования конкретной деятельности, но и об общих для всех видов бизнеса положениях закона, таких, как GDPR, в противном случае ошибка может обойтись слишком дорого.