Обработка персональных данных в международном бизнесе

21 ноября 2019 года в Москве Legal Insight совместно с Borenius провел бизнес-завтрак для инхаус-юристов «Обработка персональных данных в международном бизнесе». Алексей Грибанов, руководитель команды IP & IT в Borenius Russia, рассказал о соотношении Больших данных и персональных данных, актуальных проблемах локализации персональных данных граждан России, нашумевших утечках данных из финансовых организаций, основных требованиях GDPR и практике применения этого регламента, а также об Акте Калифорнии о защите частной жизни потребителей (CCPA). Наталья Ковалева, директор направления по правовому обеспечению бизнеса страховой компании «Альянс», выступила с презентацией о платформах для управления согласиями на обработку персональных данных в США, Финляндии и России.

У собравшихся было много вопросов к выступающим. Приведем наиболее интересные из них.

Применяется ли GDPR к российской компании без присутствия в Европейском союзе (ЕС), если она не предлагает товары или услуги субъектам в ЕС, но субъекты, находящиеся на территории ЕС, иногда используют ее интернет-сервис и в связи с этим компания осуществляет мониторинг их деятельности?

GDPR применяется к этой компании, поскольку мониторинга поведения субъектов в ЕС достаточно для применения к оператору GDPR, несмотря на то, что оператор не предлагает товары или услуги субъектам в ЕС и мониторинг осуществляется редко.

Согласно статье 3(2)(b) GDPR регламент применяется к обработке персональных данных субъектов, находящихся в ЕС, оператором, не имеющим присутствия в ЕС, если соответствующие операции с данными связаны с мониторингом поведения указанных субъектов, которое имеет место в ЕС. Как следует из разъяснений Европейской коллегии по защите данных от 12 ноября 2019 года № 3/2018 о территориальном действии GDPR, если компания, не имеющая присутствия в ЕС, осуществляет мониторинг поведения субъектов в ЕС, то GDPR применяется к этой компании вне зависимости от того, насколько сильно или слабо выражено ее намерение направлять свою деятельность на территорию ЕС. При этом важно помнить, что не всякий сбор и анализ персональных данных субъектов, находящихся в ЕС, с использованием интернета представляет собой мониторинг поведения субъектов.

Можно ли рассматривать размещение субъектом видеоролика на сайте оператора, на котором проводится конкурс видеороликов, в качестве надлежащего согласия субъекта на обработку его персональных данных, если правила использования сайта предусматривают, что такое размещение видеоролика является надлежащим согласием на обработку персональных данных?

Такое размещение ролика нельзя рассматривать в качестве надлежащего согласия на обработку персональных данных, потому что оно нарушает требование о даче согласия субъектом свободно, своей волей и в своем интересе, а также не образует конкретного согласия на обработку персональных данных.

В силу части 1 статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» субъект персональных данных дает согласие на обработку его персональных данных свободно, своей волей и в своем интересе; согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Как отмечается в литературе, конкретное согласие — это явно выраженное и определенное согласие, которое следует из конкретных действий субъекта, свидетельствующих о факте дачи согласия (Савельев А. И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». М., 2017.).

В рассматриваемой ситуации размещение ролика необходимо для участия в конкурсе. Если субъект не разместит ролик и тем самым не даст согласия на обработку его персональных данных, он не сможет принять участие в конкурсе. Поскольку обработка персональных данных субъекта на основе его согласия не необходима для его участия в конкурсе, субъект принуждается к даче согласия, а требование о даче согласия свободно, своей волей и в своем интересе.

Кроме того, в рассматриваемой ситуации одно действие, то есть размещение ролика на сайте, направлено на две разные цели: участие в конкурсе и дачу согласия на обработку персональных данных. Однако, размещая ролик, субъект может преследовать только цель участия в конкурсе, но не цель дать согласие на обработку его персональных данных. Поэтому рассматриваемый механизм получения согласия на обработку персональных данных нарушает требование о конкретности согласия.

В целом, по итогам бизнес-завтрака можно констатировать, что вопросы регулирования обработки персональных данных вызывают все больший интерес в среде инхаус-юристов и заслуживают дальнейшего обсуждения на различных профессиональных площадках.