Требования GDPR и российские компании

25 мая 2018 года вступил в силу Регламент Европейского союза № 2016/679 О защите физических лиц при обработке персональных данных и о свободном обращении таких данных"1 в рамках масштабной реформы законодательства ЕС о персональных данных.

Регламент не только пересмотрел некоторые существовавшие ранее нормы об обработке персональных данных граждан ЕС, но и распространил свое действие на иностранные компании.

В данной статье мы рассмотрим основные случаи, когда GDPR применим к российским компаниям, некоторые основные требования GDPR, а также дадим рекомендации для бизнеса по их соблюдению.

Применимость GDPR к российским компаниям

К российским компаниям GDPR может быть применим как напрямую (то есть в силу прямого указания на это в положениях GDPR), так и косвенно (в силу того, что компания работает с европейскими контрагентами).

Прямое действие GDPR

Возможность прямого действия на иностранные (в т.ч. российские) компании закреплена в статье 3 Регламента.

Согласно пункту 2 данной статьи Регламент применяется к компаниям, учрежденным за территорией ЕС, если такие компании обрабатывают персональные данные субъектов, находящихся на территории ЕС.

Обращаем внимание, что в статье (и вообще в Регламенте) не идет речь о гражданах ЕС, а имеется в виду любой субъект, находящийся на территории ЕС. Регламент не уточняет, как долго данное лицо должно находиться в ЕС. Исходя из буквального толкования текста Регламента, можно сделать вывод, что период и продолжительность нахождения субъекта в ЕС роли не играют.

Таким образом, GDPR защищает персональные данные любого субъекта (как гражданина одной из стран ЕС, так и граждан иных стран, а также лиц без гражданства), временно или постоянно находящегося в ЕС.

Уточним также, что GDPR не применяет... ✂