Общий регламент ЕС по защите данных (GDPR) и российские резиденты

В настоящем посте мы рассмотрим сценарии, при которых российская компания — юридическое лицо, зарегистрированное на территории Российской Федерации — оказывает цифровые услуги пользователям, находящимся в Европейском союзе, либо обрабатывает персональные данные в рамках взаимодействия с другими компаниями международной группы, представленной как в России, так и в странах ЕС.

Такая ситуация может возникать, например, когда российская компания предоставляет через интернет доступ к программному обеспечению, платформенным решениям или иным цифровым сервисам, доступным для пользователей из Европейского союза, включая как физических, так и юридических лиц. Либо же — когда обработка персональных данных осуществляется в интересах или по поручению головной организации, зарегистрированной в ЕС, или связанного с ней юридического лица, независимо от того, передаются ли сами данные за пределы Российской Федерации.

Пределы экстерриториального действия GDPR

Сценарии, описанные выше, предполагают участие российских компаний в обработке персональных данных физических лиц, находящихся на территории Европейского союза. Независимо от наличия филиалов, представительств или дочерних структур в странах ЕС, такая деятельность может подпадать под действие Общего регламента Европейского союза по защите данных¹ (General Data Protection Regulation, GDPR) — базового правового акта ЕС в сфере обработки персональных данных.

GDPR регулирует обработку любых данных, относящихся к идентифицированным или идентифицируемым лицам (data subjects), если такая обработка осуществляется:

• лицом, находящимся на территории ЕС (п. 1 ст. 3), вне зависимости от гражданства или места жительства;
• организацией, не зарегистрированной в ЕС, но предлагающей товары или услуги таким лицам либо отслеживающей их поведение на территории ЕС (п. 2 ст. 3);
• в контексте деятельности представительства в ЕС, даже если обработка формально происходит вне Евросоюза (п. 1 ст. 3).

Для российских компаний наибольшее значение имеют положения п. 2 ст. 3 GDPR, применяющиеся в трансграничных ситуациях. Регламент прямо указывает, что он охватывает обработку персональных данных лиц, находящихся в ЕС, если:

1. предлагаются товары или услуги, независимо от требования оплаты;
2. осуществляется мониторинг поведения таких лиц, если поведение отслеживается в пределах ЕС.

Под товарами или услугами понимается не только классическая коммерческая реализация, но и предоставление доступа к цифровому функционалу, онлайн-сервисам, приложениям, платформам, включая регистрацию, настройку профиля, подписку на рассылку, установку куки-файлов и пр.

Отслеживание поведения может включать, например, хранение IP-адресов, использование систем аналитики, веб-трекинга или иных технологий, позволяющих фиксировать действия пользователя на сайте или в приложении. Если такие действия совершаются в отношении пользователей на территории ЕС, регулирование GDPR становится применимым — даже если сама компания зарегистрирована вне ЕС, не имеет представительства и не локализует данные.

Ключевые понятия: кто есть кто в системе регулирования

Для корректного анализа применимости требований GDPR необходимо обратиться к базовым категориям, используемым в регламенте. В числе ключевых:

• Субъект данных (data subject) — физическое лицо, к которому относятся обрабатываемые персональные данные. В контексте статьи речь идет о лицах, находящихся на территории Европейского союза, чьи данные могут обрабатываться российскими организациями.
• Оператор (controller) — лицо (в том числе юридическое), которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. В российском праве на уровне терминологии аналогом может выступать «оператор персональных данных» (в значении, установленном ст. 3 Федерального закона «О персональных данных»).
• Обрабатывающее (уполномоченное) лицо (processor) — лицо (как правило, организация), осуществляющее обработку персональных данных от имени и по поручению оператора. В российской системе права прямого аналога не предусмотрено, однако в практике применяется терминология, связанная с поручением обработки и привлечением третьих лиц.
• Обработка персональных данных — любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, хранение, структурирование, использование, передачу, уничтожение и др. Как в российском, так и в европейском регулировании понятие охватывает максимально широкий спектр операций.

GDPR требует, чтобы каждая сторона обработки — оператор и обрабатывающее лицо — надлежащим образом идентифицировались, определяли сферу своей ответственности и, при необходимости, заключали между собой соглашения, регулирующие передачу данных и меры защиты.

Обязанности оператора и обрабатывающего лица в контексте GDPR

Российская организация, подпадающая под действие GDPR, обязана соблюдать предусмотренные регламентом требования, которые дифференцируются в зависимости от ее роли: оператора (controller) или обрабатывающего (уполномоченного) лица (processor).

Для оператора (controller):

• Принцип законности, добросовестности и прозрачности: персональные данные должны обрабатываться на правомерных основаниях и с должной информированностью субъекта (ст. 5, 6, 12 GDPR).
• Целевое ограничение: данные собираются для конкретных, заранее определенных и законных целей (ст. 5.1(b)).
• Минимизация данных: обрабатываются только те данные, которые необходимы для достижения целей (ст. 5.1(c)).
• Ограничение сроков хранения: данные не хранятся дольше, чем необходимо (ст. 5.1(e)).
• Точность и актуальность данных: оператор несет ответственность за своевременное обновление и исправление недостоверных данных (ст. 5.1(d)).
• Обеспечение прав субъектов данных: включая право на доступ, исправление, удаление, ограничение обработки, переносимость данных и право на возражение (ст. 15–21).
• Обязанность документирования: оператор должен вести учет операций по обработке (ст. 30) и, в определенных случаях, назначать представителя в ЕС (ст. 27).
• Оценка воздействия (DPIA) и внедрение принципов защиты данных по умолчанию и на этапе проектирования (ст. 25, 35).

Для обрабатывающего лица (processor):

• Действие исключительно на основании поручения оператора: любые действия с персональными данными осуществляются по документально подтвержденному указанию (ст. 28).
• Соблюдение конфиденциальности: сотрудники должны быть обоснованно осведомлены о правилах обращения с персональными данными.
• Применение надлежащих технических и организационных мер безопасности (ст. 32).
• Обязанность уведомления о нарушениях безопасности данных оператору без необоснованной задержки (ст. 33).
• Поддержка оператора в исполнении его обязанностей: включая реагирование на запросы субъектов данных и проведение DPIA, в случаях, когда предполагается высокая степень риска для прав и свобод субъектов данных.

Российские организации, взаимодействующие с европейскими резидентами, должны быть готовы подтвердить соответствие этим требованиям. Это предполагает наличие соответствующих договоров обработки, внутренних нормативных документов, логики распределения ответственности, а также возможность предоставить обоснование законности всех операций с персональными данными.

Представительство в ЕС и назначение ответственного лица

В случае, если российская компания попадает под действие GDPR по основаниям, предусмотренным п. 2 ст. 3 GDPR, и при этом не имеет структурного присутствия на территории Европейского союза (например, филиала или дочерней компании), она обязана назначить представителя в одном из государств-членов ЕС (ст. 27 GDPR).

Назначение такого представителя осуществляется по специальной процедуре и влечет за собой определенный набор обязательств, направленных на обеспечение прозрачности обработки персональных данных и взаимодействие с европейскими надзорными органами. Основные положения, связанные с обязанностью по назначению представителя, сведены в таблицу ниже:

Взаимосвязь с российским регулированием обработки персональных данных

Российские компании, подпадающие под действие GDPR, одновременно обязаны соблюдать требования российского законодательства о персональных данных. Основным нормативным актом в этой сфере выступает Федеральный закон “О персональных данных”², а также ряд иных нормативных документов, включая:

• Федеральный закон «Об информации, информационных технологиях и о защите информации»³;
• подзаконные акты Роскомнадзора и других органов, регулирующие локализацию, согласие на обработку, передачу за рубеж, меры защиты.

Ключевые положения российского регулирования:

• Оператор обязан получать согласие на обработку персональных данных, за исключением отдельных случаев, прямо предусмотренных законом;
• действует требование о локализации персональных данных: первичный сбор должен происходить с использованием баз данных, находящихся на территории РФ (ст. 18.1 Федерального закона «О персональных данных»);
• при трансграничной передаче необходимо обеспечить, что в принимающей юрисдикции обеспечен «адекватный уровень защиты», либо соблюсти предусмотренные меры (например, письменное согласие, заключение соглашения, обеспечение необходимых гарантий).

Конфликты и комплементарность:

В большинстве случаев российское и европейское регулирование не исключают, а дополняют друг друга. Российская компания, действующая на территории ЕС или взаимодействующая с физическими лицами из ЕС, должна соблюдать одновременно:

• локализационные и процедурные требования РФ;
• экстерриториальные обязанности по GDPR, включая назначение представителя, ведение документации и соблюдение принципов обработки.

Особое внимание требуется при организации трансграничной передачи данных — например, когда персональные данные российских граждан обрабатываются в рамках группы компаний, включающей европейские подразделения, или когда данные граждан ЕС передаются обратно в РФ. Такие сценарии требуют соблюдения как условий трансграничной передачи в РФ, так и механизмов, признанных GDPR (например, стандартных договорных условий – Standard Contractual Clauses, SCC⁴).

Ответственность и последствия нарушения требований GDPR

Несоблюдение положений GDPR может повлечь для компании, обрабатывающей персональные данные физических лиц, находящихся на территории Европейского союза, привлечение к административной ответственности. Эта ответственность применяется вне зависимости от того, зарегистрирована ли организация в ЕС, если соблюдаются критерии территориального применения, указанные в ст. 3 GDPR.

GDPR предусматривает два уровня административных штрафов:

• до 10 млн евро или 2% от общемирового годового оборота компании за предшествующий финансовый год (в зависимости от того, какая сумма выше) — за нарушение технических и организационных требований к защите данных, обязанностей оператора (controller) и обрабатывающего (уполномоченного) лица (processor), несоблюдение условий уведомлений и взаимодействия с надзорным органом;
• до 20 млн евро или 4% от общемирового годового оборота — за более серьезные нарушения, включая отсутствие правовых оснований на обработку, несоблюдение прав субъекта персональных данных (data subject), неправомерную трансграничную передачу данных и пр.

Кроме штрафов, надзорные органы ЕС (Data Protection Authorities) могут применять дополнительные меры воздействия:

• выдача предписаний о прекращении обработки данных;
• запрет на передачу данных за пределы ЕС;
• обязательство удалить или изменить обрабатываемые данные;
• требование о назначении представителя на территории ЕС.

Важно, что ответственность по GDPR может наступать и при отсутствии намерения нарушить нормы: в отличие от уголовного или дисциплинарного порядка, достаточно факта несоблюдения установленных требований. При этом надзорные органы вправе учитывать характер, длительность и последствия нарушения, а также усилия компании по обеспечению соответствия.

Трансграничная передача и взаимодействие с надзорными органами ЕС

Для российских компаний, подпадающих под действие GDPR, ключевым вопросом становится правомерность трансграничной передачи персональных данных — в частности, из Европейского союза в Российскую Федерацию. В силу положений Главы V GDPR, передача данных в третьи страны (то есть за пределы ЕС и Европейской экономической зоны) допускается лишь при наличии правовых гарантий, обеспечивающих сопоставимый уровень защиты.

Такие гарантии могут быть реализованы через:

• решение о надлежащем уровне защиты Европейской комиссии (adequacy decision), признающее уровень защиты данных в третьей стране достаточным (в отношении России такого решения не принято);
• стандартные договорные положения (Standard Contractual Clauses, SCCs), одобренные Комиссией и заключенные между экспортером и импортером данных⁵;
• обязательные корпоративные правила (Binding Corporate Rules, BCRs) — для передачи данных внутри группы компаний, осуществляющей совместную экономическую деятельность;
• иные предусмотренные GDPR механизмы, включая согласие субъекта персональных данных (data subject), в случае отсутствия иных оснований.

Передача данных в Россию возможна преимущественно на основании SCC или согласия. При этом, начиная с решения Суда ЕС по делу Schrems II (2020)⁶, использование SCC требует дополнительной оценки рисков: компания должна доказать, что данные в принимающей стране будут защищены на уровне, сопоставимом с требованиями GDPR. Это включает анализ законодательства, прав доступа государственных органов и механизмов правовой защиты.

В соответствии с требованиями ст. 27 GDPR, если организация не имеет представительства в ЕС, но подлежит регулированию GDPR, она обязана назначить представителя на территории ЕС. Такой представитель действует в интересах организации по вопросам соблюдения требований GDPR и взаимодействует с надзорными органами от ее имени.

Кроме того, компания должна быть готова к:

• предоставлению запрашиваемой информации надзорным органам (Data Protection Authorities);
• участию в процедурах досудебного урегулирования жалоб;
• выполнению предписаний и обеспечению соблюдения прав субъектов персональных данных.

Требования российского законодательства о персональных данных

Российское регулирование обработки персональных данных основано прежде всего на Федеральном законе «О персональных данных», а также ряде сопутствующих актов, включая Федеральный закон «Об информации, информационных технологиях и о защите информации». Эти акты устанавливают единый режим обращения с персональными данными физических лиц, в том числе порядок их сбора, хранения, использования и трансграничной передачи.

Оператором персональных данных в понимании закона признается лицо, определяющее цели и средства обработки. В большинстве случаев именно юридическое лицо, организующее обработку персональных данных в рамках своей хозяйственной деятельности, несет полную правовую ответственность за соблюдение требований.

Обработка персональных данных допустима при наличии законного основания. Среди таких оснований — согласие субъекта данных, исполнение договора с его участием, выполнение обязательств, установленных законом, а также реализация законных интересов оператора, если это не нарушает права и свободы субъекта. Отдельные режимы установлены для обработки специальных категорий данных и биометрической информации.

Одним из ключевых элементов российского регулирования является требование о локализации баз данных, в которых хранятся персональные данные граждан Российской Федерации. В соответствии с частью 5 статьи 18.1 Федерального закона «О персональных данных», при сборе таких данных оператор обязан обеспечить их запись, систематизацию, хранение и извлечение с использованием баз данных, расположенных на территории Российской Федерации. Это правило применяется и в отношении иностранных организаций, обрабатывающих данные российских граждан при оказании услуг на территории РФ.

Для трансграничной передачи персональных данных установлены отдельные ограничения. Передача возможна только при условии, что в принимающей юрисдикции обеспечивается адекватный уровень защиты персональных данных либо при наличии прямого согласия субъекта. В ряде случаев передача должна быть предварительно согласована с уполномоченным органом (Роскомнадзором).

Взаимодействие нормативных режимов: GDPR и российское право

Российские компании, попадающие под одновременное действие GDPR и национального законодательства о персональных данных, обязаны учитывать различия и потенциальные конфликты между этими режимами. Хотя оба нормативных акта направлены на обеспечение защиты персональных данных, их подходы к основаниям обработки, обязанностям операторов и условиям трансграничной передачи не всегда совпадают.

Так, обработка на основании «законных интересов» (legitimate interests) предусмотрена как в GDPR (ст. 6(1)(f)), так и в российском праве (п. 6 ч. 1 ст. 6 Федерального закона «О персональных данных»). Вместе с тем, трактовка и применение этого основания в ЕС и в России различаются: в европейской практике оно используется шире (включая маркетинг, аналитику, информационную безопасность и др.), тогда как в российской правовой системе это основание применяется более ограниченно и преимущественно в контексте исполнения полномочий и обязанностей оператора.

Дополнительные различия касаются обязательной локализации персональных данных российских граждан, установленной российским законодательством (ст. 18.1 Федерального закона «О персональных данных»), — требования, не имеющего аналога в регулировании ЕС.

Отдельное внимание требует согласование механизмов трансграничной передачи данных между ЕС и РФ. Поскольку Россия не признана Европейской комиссией страной с адекватным уровнем защиты (adequacy decision отсутствует⁷), для правомерной передачи данных из ЕС необходимо использовать дополнительные правовые основания — например, стандартные договорные положения (Standard Contractual Clauses, SCC) или явное согласие субъекта данных. При этом в российском праве не предусмотрены прямые эквиваленты SCC, что требует от компаний дополнительной правовой настройки.

Таким образом, организации, обрабатывающие персональные данные в трансграничном контексте, вынуждены соблюдать одновременно два автономных режима, обеспечивая выполнение требований как GDPR, так и законодательства РФ. Это предполагает наличие юридической экспертизы в сфере международного и информационного права, а также адаптацию внутренних политик и договорных положений к различным юрисдикционным требованиям.

Дополнительно, важное отличие между режимами заключается в объеме и характере обязательной документации. В то время как российское законодательство ограничивается, как правило, политикой обработки, согласиями и (в отдельных случаях) уведомлениями в Роскомнадзор, GDPR требует наличия разветвленной внутренней документации, включая:

• договоры об обработке данных (Data Processing Agreements, DPA), заключаемые между оператором и обрабатывающим (уполномоченным) лицом;
• стандартные договорные положения (Standard Contractual Clauses, SCCs) — в случаях трансграничной передачи данных в третьи страны;
• обязательные корпоративные правила (Binding Corporate Rules, BCRs) — для внутрикорпоративной передачи данных в рамках группы компаний;
• регистры операций по обработке персональных данных (Records of Processing Activities, ROPA) — обязательные как для операторов, так и для обрабатывающих (уполномоченных) лиц в большинстве случаев;
• документацию по техническим и организационным мерам (Technical and Organizational Measures, TOMs), обеспечивающим защиту данных;
• оценки воздействия на защиту данных (Data Protection Impact Assessments, DPIA), внутренние процедуры реагирования на инциденты, уведомления об утечках и др.

Такой уровень формализации в рамках GDPR отражает не только более строгий подход к прозрачности и подотчетности обработки, но и практическую необходимость юридической и процедурной подготовки при выходе на рынок ЕС.

Заключение: правовые ориентиры для российских компаний

Участие российских юридических лиц в трансграничной обработке персональных данных влечет за собой необходимость соблюдения как национального законодательства, так и положений GDPR. Даже при отсутствии физического присутствия в Евросоюзе, деятельность, ориентированная на пользователей в ЕС, может подпадать под территориальное действие GDPR.

GDPR предусматривает широкий набор обязательств: от назначения представителя и соблюдения прав субъектов персональных данных до правомерной организации трансграничной передачи данных. Нарушение этих требований чревато значительными санкциями, в том числе финансовыми, и административными мерами.

Российское законодательство, в свою очередь, требует локализации данных граждан РФ и устанавливает собственные основания для обработки. Эти режимы не идентичны, и компании, действующие на международном уровне, должны учитывать потенциальные коллизии и обеспечивать соответствие сразу двум правопорядкам.

В условиях усиливающегося трансграничного контроля за обращением персональных данных, соблюдение требований как GDPR, так и российского законодательства становится не только вопросом юридического соответствия, но и элементом устойчивости бизнеса, особенно в сферах цифровых услуг, электронной коммерции и обработки пользовательской информации.

1. Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных (Общий регламент по защите данных, GDPR). Официальный журнал ЕС L 119, 4.5.2016, стр. 1–88. ↩︎
2. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». ↩︎
3. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». ↩︎
4. Стандартные договорные положения Европейской комиссии (Standard Contractual Clauses, SCCs) для передачи персональных данных в третьи страны, принятые 4 июня 2021 г.
   Eur-Lex: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj. ↩︎
5. Там же. ↩︎
6. Решение Суда Европейского союза по делу C-311/18 Data Protection Commissioner v. Facebook Ireland и Maximillian Schrems (Schrems II), 16 июля 2020 года. EUR-Lex: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62018CJ0311. ↩︎
7. См. например, https://www.cnil.fr/en/data-protection-around-the-world. ↩︎