Презентация про область действия GDPR и его применимости в России

1. Область действия
GDPR. А что в РФ?
Прозоров Андрей, CISM
80na20.blogspot.ru
2018-03-22

2. Что такое GDPR?
• General Data Protection Regulation (GDPR) –
это новый европейский регламент по
защите персональных данных, единый для
28 стран ЕС
• Заменяет собой Directive 95/46/EC (1995)
• Принят 27 April 2016
• Вступает в силу 25 May 2018
• Регулятор: European Parliament, Council of
the European Union
• Ссылка на текст - http://bit.ly/1TlgbjI

3. SUMMARY (official)
WHAT IS THE AIM OF THE REGULATION?
• It allows European Union (EU) citizens to better control their
personal data. It also modernises and unifies rules allowing
businesses to reduce red tape and to benefit from greater
consumer trust.
• The general data protection regulation (GDPR) is part of the EU
data protection reform package, along with the data protection
directive for police and criminal justice authorities.
http://bit.ly/2FTawqC

4. Важные вопросы GDPR в России
1. А будет ли распространяться GDPR на российские
компании? На какие?
2. Какие риски несет GDPR для российских компаний?
3. Что делать? (но сейчас не об этом)

5. Мнение РКН, но…

6. Article 1
Subject-matter and objectives
1.This Regulation lays down rules relating to
the protection of natural persons with regard
to the processing of personal data and rules
relating to the free movement of personal
data.
2.This Regulation protects fundamental
rights and freedoms of natural persons and
in particular their right to the protection of
personal data.
3.The free movement of personal data within
the Union shall be neither restricted nor
prohibited for reasons connected with the
protection of natural persons with regard to
the processing of personal data.
Статья 1
Предмет и цели
1. Настоящий Регламент устанавливает
нормы, связанные с защитой
физических лиц в отношении обработки
персональных данных и нормы,
касающиеся свободного перемещения
персональных данных.
2. Настоящий Регламент защищает
основные права и свободы физических
лиц, и, в частности, их право на защиту
персональных данных.
3. Свободное перемещение персональных
данных в рамках Евросоюза не
должно быть ни ограничено, ни
запрещено для целей защиты физических
лиц в отношении обработки
персональных данных.
Читаем текст GDRP

7. Article 2
Material scope
1.This Regulation applies to the processing of
personal data wholly or partly by automated
means and to the processing other than by
automated means of personal data which
form part of a filing system or are intended
to form part of a filing system.
Статья 2
Существенная сфера применения
1.Настоящий Регламент применяется к
обработке персональных данных
обработанных полностью или частично
автоматизированными средствами,
а также к обработке персональных
данных, обработанных иными
неавтоматизированными средствами,
которые являются частью системы учета
либо неотъемлемой частью системы
учета.

8. 2.This Regulation does not apply to the
processing of personal data:
(a) in the course of an activity which falls
outside the scope of Union law;
(b) by the Member States when carrying out
activities which fall within the scope of
Chapter 2 of Title V of the TEU;
(c) by a natural person in the course of a
purely personal or household activity;
(d) by competent authorities for the
purposes of the prevention, investigation,
detection or prosecution of criminal offences
or the execution of criminal penalties,
including the safeguarding against and the
prevention of threats to public security.
2.Настоящий Регламент не применяется к
обработке персональных данных:
(a) в отношении деятельности, которая
выходит за рамки сферы действия
права Евросоюза;
(b) при осуществлении деятельности
государств-членов, которая подпадает
под действие Главы 2 Раздела V Договора
о Европейском Союзе;
(c) физическим лицом при осуществлении
сугубо личной или бытовой деятельности;
(d) компетентными органами в целях
предотвращения, расследования,
выявления уголовных преступлений или
исполнения уголовных наказаний,
включая защиту от угроз общественной
безопасности и их предотвращения.

9. Article 3
Territorial scope
1.This Regulation applies to the processing of
personal data in the context of the activities
of an establishment of a controller or a
processor in the Union, regardless of
whether the processing takes place in the
Union or not.
Статья 3
Территориальная сфера применения
1.Настоящий Регламент применяется к
обработке персональных данных в
контексте деятельности по учреждению
контролёра или обработчика в
Евросоюзе, независимо от того,
осуществляется ли обработка в
Евросоюзе, или нет.

10. 2.This Regulation applies to the processing of
personal data of data subjects who are in
the Union by a controller or processor not
established in the Union, where the
processing activities are related to:
(a) the offering of goods or services,
irrespective of whether a payment of the
data subject is required, to such data
subjects in the Union; or
(b) the monitoring of their behaviour as far
as their behaviour takes place within the
Union.
3.This Regulation applies to the processing of
personal data by a controller not established
in the Union, but in a place where Member
State law applies by virtue of public
international law.
2.Настоящий Регламент применяется к
обработке ПДн субъектов ПДн,
находящихся в Евросоюзе, обработанных
контролёром или обработчиком, которые
не учреждены в Евросоюзе, когда
деятельность по обработке связана с:
(а) предложением товаров или услуг, вне
зависимости от того, требуется ли
оплата от этого субъекта данных в
Евросоюзе; или
(b) мониторингом их действий, поскольку
их действия совершаются на территории
Евросоюза.
3.Настоящий Регламент применяется в
отношении обработки ПДн контролёром,
не учрежденном в Евросоюзе, а
учрежденном в том месте, в котором
применяется право государства - члена в
силу международного публичного права.

11. Article 27
Representatives of controllers or processors not
established in the Union
1.Where Article 3(2) applies, the controller or the
processor shall designate in writing a
representative in the Union.
2.The obligation laid down in paragraph 1 of this
Article shall not apply to: (a) processing which is
occasional, does not include, on a large scale,
processing of special categories of data as referred
to in Article 9(1) or processing of personal data
relating to criminal convictions and offences
referred to in Article 10, and is unlikely to result in
a risk to the rights and freedoms of natural
persons, taking into account the nature, context,
scope and purposes of the processing; or (b) a
public authority or body.
Статья 27
Представители контролёров или
обработчиков, не учрежденных в Евросоюзе
1. В том случае, когда применяется Статья 3 (2),
контролёр или обработчик должны в форме
письменного документа назначить
представителя в Евросоюзе.
2. Обязательство, изложенное в параграфе 1
настоящей Статьи, не применяется: в
отношении:
(a) к обработке, которая является единичной,
не охватывает в больших масштабах обработку
особых категорий данных, согласно Статье 9 (1),
либо обработку персональных данных,
связанных с уголовными приговорами и
правонарушениями, согласно Статье 10, а также
к обработке персональных данных, которая
едва ли обернется рисками для прав и свобод
физических лиц, принимая во внимание
характер, контекст, цели и задачи этой
обработки; или
(b) в отношении органа государственной власти
или учреждения.
Еще важно, но не все знают…

12. Известная схема (взял у ISACA)

13. Обобщим про scope и ищем себя
GDPR прямого действия:
1. Организации, учрежденные в ЕС и являющиеся операторами (controllers)
и/или обработчиками (processors) ПДн. Например, дочерние
предприятия и филиалы российских компаний в ЕС.
2. Организации, не учрежденные в ЕС и являющиеся операторами
(controllers) и/или обработчиками (processors) ПДн, и вид деятельности
которых связан с:
• Предоставлением товаров и сервисов субъектам ПДн в ЕС. Например,
продажа европейцам билетов транспортных компаний через сайты в
сети Интернет, продажа интернет-сервисов (например, онлайн-
кинотеатры, музыка, онлайн-игры и пр.), бронирование гостиниц,
оказание услуг мобильной связи в европейском роуминге и пр.
• Мониторингом поведения субъектов ЕС. Например, сбор cookie-
файлов посетителей сайта в сети Интернет.
Но есть еще и GDPR опосредованного действия:
1. Обработка ПДн по поручению европейского оператора (controllers)
и/или обработчика (processors) -> становимся обработчиком. В случае
проблем (например, утечки ПДн) «спросят» с европейской компании, а
она уже с нас в соответствии с договором… Например, хостинг данных в
российском ЦОДе по поручению.

14. В чем проблема scope GDPR для
российских компаний?
• GDPR писали не для нас, мы многое додумываем… И консультанты нас запугивают!
• Конкретных официальных разъяснений по области действия GDPR для «не
европейских» компаний не представлено, но ожидаем (например, очередной
Guidance of the Art.29 Working Party)
• РКН разъяснений не дает (и не даст скорее всего)
• В тексте GDPR используется термин «who are in the Union» (те, кто находится на
территории ЕС), а в официальных комментариях «European Union (EU) citizens»
(граждане ЕС). Подпадают ли ПДн «посетителей» ЕС (туристы, беженцы, дипломаты
и пр.) под действие GDPR? Если да, то как их выделять из общей массы?
• Что конкретно подразумевается под «мониторингом действий»? Похоже, что
попадают, например, банки и телеком, чьи заказчики приехали в ЕС...
• А вот ПДн иностранных посетителей и работников российских компаний на
территории РФ, похоже, не попадают под действие GDPR
• Что с транзитными зонами (аэропорты, порты, вокзалы и пр.)?
• Штраф и другие санкции могут быть большим, но как их накладывать на российские
компании на территории РФ?
• А если мы работаем с европейскими компаниями и они спрашивают про GDPR?
(GDPR не прямого, а опосредованного действия)

15. Возможные риски GDPR для
российских компаний
• Крупные штрафы (до 20 000 000 евро / 4% годового оборота)
• Компенсация материального и морального ущерба
• Нарушение доступности веб-сайта для субъектов ПДн в ЕС
(возможны блокировки)
• Нарушение коммерческих и некоммерческих отношений с
компаниями, расположенными в ЕС
• Ухудшение репутации на международном рынке
(если попадают в scope)

16. Кому в РФ стоит опасаться GDPR?
• Компаниям на территории ЕС (очевидно)
• Компаниям, оказывающим услуги «в роуминге» (например, банки и
телеком)
• Компаниям, регулярно обрабатывающим ПДн граждан ЕС (например,
гостиницы и тур.фирмы)
• Компаниям, собирающим ПДн на сайтах в сети Интернет (особенно с
системой оплаты)
• Разработчикам приложений, собирающих ПДн пользователей
• Просто крупным сайтам в сети Интернет (сбор cookies)
• Компаниям, получающим ПДн субъектов из ЕС от других организаций
на основании договора
• Компаниям, собирающим общедоступные ПДн субъектов ПДн из ЕС
!!!
!!
!

17. Спасибо!
Прозоров Андрей, CISM
80na20.blogspot.ru