Влияние Регламента GDPR на международный бизнес по продаже товаров и оказанию услуг

Девушка записывает в блокнот пароль от приложения

Для многих не секрет, что на протяжении последней декады вопросы защиты персональных данных граждан являются объектом пристального внимания со стороны регулирующих органов и власти, в целом. Этот общемировой тренд вызван всё большим проникновением сети Интернет в жизнь современного человека, а значит и в бизнес-процессы компаний, обслуживающих его повседневные потребности.

Значимым событием прошлого года стало вступление в силу (25 мая 2018 года) Регламента ЕС 2016/679 о защите персональных данных (Регламент GDPR), с которым приходится считаться даже тем компаниям, которые находятся далеко за пределами Европы.

Следует отметить, что Регламент GDPR имеет экстерриториальный характер и уже потребовал значительного вливания средств со стороны бизнеса, который теперь обязан обеспечить высокий уровень защиты и конфиденциальности персональных данных своих пользователей или клиентов. Исключением не стали и компании из Китая. Даже компания, которая формально присутствует и ведет бизнес только за пределами ЕС, может попасть под действие Регламента GDPR, если существует хотя бы гипотетическая вероятность того, что у нее может появиться клиент из ЕС, персональные данные которого попадут в ее распоряжение. В данном контексте ситуация схожа с нашумевшим американским Законом FATCA (Закон США о налогообложении иностранных счетов 2009 года), соблюдать требования и отчитываться по которому приходится компаниям, которые вообще не ведут дел с американскими гражданами.

Итак, Регламент GDRP наделяет граждан ЕС целым рядом прав на защиту собственных персональных данных. Например, гражданин ЕС вправе потребовать от любой компании удалить или обновить определенную информацию о нем, или предоставить информацию о том, какими данными на гражданина располагает компания. Кроме того, компании обязаны разработать и принять комплексную систему защиты информации, что потребует целого ряда договоров с контрагентами, специализирующимися на данном виде услуг для бизнеса.

В целом, Регламент GDPR обязывает компании раскрыть своим потребителям то, как они собирают персональные данные своих клиентов, обеспечивают безопасность и противодействуют их утечке. Более того, компании вправе «обрабатывать» (то есть, получать и использовать) персональные данные только с согласия их субъекта или без согласия в строго отведенных в Регламенте случаях.

Как уже говорилось выше, принятие Регламента GDPR подняло общемировую волну по перестраиванию компаниями своих бизнес-процессов, чтобы хоть как-то соответствовать его требованиям.

Одним из важнейших моментов, над которым стоит задуматься compliance-отделам международных компаний, является то, в каких конкретно случаях бизнес-компания будет подпадать под действие Регламента GDPR. В частности, следует обратить внимание на положения Статьи 3(2) Регламента GDPR:

«Настоящий Регламент применяется к обработке персональных данных субъектов персональных данных, находящихся в ЕС, обработанных контролером или оператором, которые не учреждены в ЕС, если деятельность по обработке связана с:

  • предложением товаров или услуг, вне зависимости от того, требуется ли плата от такого субъекта персональных данных в Евросоюзе; или
  • мониторингом их действий, если такие действия имеют место на территории ЕС.»

Подобная формулировка охватывает огромный спектр правоотношений и означает, что компания, предлагающая товары или услуги (даже на безвозмездной основе) гражданам ЕС, должна соблюдать Регламент GDPR. Продажа или даже предложение о продаже какой-либо продукции в ЕС, будь то Китай или любая другая юрисдикция, обяжет международную коммерческую компанию соблюдать законодательство ЕС о защите персональных данных. К слову, нормативный акт не устанавливает какого-либо порога по объему продукции, при достижении которого компания будет подпадать под его действие.

Авторы Регламента GDPR также не забыли про компании, занимающиеся мониторингом и историей активности пользователей в сети Интернет. Такого рода «профилирование» потенциальных клиентов также заставит столкнуться с требованиями законодательства о защите персональных данных, если его объектом могут являться граждане ЕС.

Итак, стоит ли опасаться Регламента GDPR торговой компании, импортирующей товары из Китая? Вполне возможно, если компания намеревается перепродавать какую-то часть этих товаров в любое из государств — членов ЕС. Данная проблема особенно актуальна для компаний, занимающихся продажами посредством сети Интернет. Продавая что-либо в сети Интернет неустановленному кругу лиц, нельзя однозначно утверждать, что одним из таких лиц не окажется тот самый гражданин ЕС, персональные данные которого компания обработает при оформлении покупки.

Что же грозит такой компании за нарушение Регламента GDPR? Во-первых, любой гражданин ЕС вправе подать иск против компании, неправомерно обработавшей его персональные данные. Во-вторых, компанию могут оштрафовать согласно положениям Статьи 83(4)–(5) Регламента GDPR на сумму до 20 000 000 евро или до 4% от ежегодного оборота компании. На текущий момент сложно судить о практической реализации данных инструментов воздействия на компании, но озвученные суммы штрафов, скорее всего, коснуться крупных игроков на рынке международных продаж товаров и услуг.

Открытым остается вопрос исполнимости решений о взыскании вышеуказанных штрафов в родной юрисдикции провинившейся компании, в том числе, в Китае. Однако следует учитывать, что под удар все же могут попасть активы, расположенные в ЕС, или счета, открытые в европейских банках.

С учетом вышесказанного, остается только внимательно следить за появляющейся правоприменительной практикой по Регламенту GDPR и комментариями, публикуемыми регуляторами как на уровне Евросоюза, так и на уровне отдельных его членов.

Юрисдикция