РБК Pro —  
информационный сервис для предпринимателей и управленцев. Первый месяц — бесплатно
РБК Pro
— сервис для вашего бизнеса. Зарегистрируйтесь и получите доступ ко всем материалам. Первые 30 дней бесплатно.
Антон Федотов и Григорий Москалев

Каких российских фирм касается GDPR и что ждать нарушителям регламента

Право Цифровизация Статьи KPMG
Если российская компания работает с персональными данными жителей Евросоюза, в некоторых случаях ее деятельность будет попадать под Европейский регламент по защите данных (GDPR). Когда это происходит и что грозит компаниям, которые нарушают регламент?

Когда регламент будет применяться по отношению к российским компаниям

Российские компании попадают под действие Европейского регламента по защите данных, если:

1. Организация имеет «учреждения» в Евросоюзе

Допустим, что у российской компании есть какое-либо «учреждение» в ЕС (дочерняя или иным образом аффилированная компания, представители, агенты, работники). Если это «учреждение» осуществляет практическую и реальную деятельность в ЕС посредством стабильных договоренностей с российской компанией (вне зависимости от юридической формы таких договоренностей), и его деятельность неразрывно связана c обработкой персональных данных вне территории Евросоюза, то такая компания будет попадать под действие GDPR (правда, только в части обработки персональных данных в контексте деятельности «учреждения»).

Пример

Российская компания имеет в ЕС «дочку», которая рекламирует интернет-сервис этой компании по подбору персонала в мире. Через прием резюме кандидатов на сайте она собирает персональные данные, в том числе людей, живущих в странах Евросоюза, и передает российской компании.

В этой ситуации дочерняя компания будет «учреждением» российской компании, которое связано с российской компанией посредством стабильных договоренностей, и его деятельность неразрывно связана c обработкой персональных данных физических лиц, находящихся в ЕС, российской компанией в России.

Этот критерий наиболее размытый из всех критериев применимости GDPR. Поэтому компании, которые имеют «учреждения» на территории ЕС, часто проводят аудит своих процессов и взаимодействия с европейскими структурными подразделениями, чтобы определить, попадают ли они под действие регламента.

2. Организация предлагает жителям ЕС товары и услуги

Если компания не имеет в ЕС учреждений, но обрабатывает персональные данные жителей Евросоюза и предлагает им товары или услуги (в том числе бесплатные), GDPR будет применяться и по отношению к ней. Но для этого недостаточно просто иметь сайт, доступный для лиц, находящихся на территории ЕС. Регламент будет применяться к иностранным компаниям, которые явно намерены привлечь жителей Евросоюза стать их клиентами. Понять это можно, например, по тому, предлагает ли компания товары и услуги на языке страны Евросоюза или в ее валюте, есть ли у жителей ЕС возможность размещать заказы на родном языке и делает ли компания ссылку на клиентов из ЕС в рекламе.

Пример

Сайт российской компании позволяет посмотреть цену товара в евро, он переведен на один из европейских языков и позволяет осуществить на нем заказ. Также на сайте указано, что производимые российской компанией товары пользуются большим спросом в ЕС. В этом случае компания, по сути, таргетирует жителей ЕС.