Требования Общего регламента по защите данных (General Data Protection Regulation) (далее - «Регламент» или «GDPR»), вступившего в силу с 25 мая 2018 г., применяются согласно его статье 3 (2) в том числе к контроллерам и операторам персональных данных, не учрежденным в ЕС, если они обрабатывают персональные данные субъектов персональных данных (физических лиц) находящихся в ЕС в связи с:
- предложением им товаров или услуг (без требования оплаты);
- мониторингом поведения таких субъектов персональных данных в ЕС, то есть отслеживанием отдельных пользователей в Интернете для создания профилей, в том числе, когда это используется для принятия решений для анализа/прогнозирования личных предпочтений, поведения и отношения.
Европейский совет по защите данных (EDPB) принял 16 ноября 2018 г. Руководящие принципы 3/2018 по территориальному действию GDPR (Статья 3) в которых разъяснил, среди прочих, положения статьи 27 Регламента, предусматривающие обязанность контролеров и операторов назначать в таких случаях представителя в ЕС.
EDPB отметил, что контроллер или оператор, не учрежденный в ЕС, который назначил в письменной форме представителя в ЕС в соответствии со статьей 27 Регламента, не подпадает под действие его статьи 3 (1), то есть присутствие представителя в ЕС не является «учреждением» контроллера или оператора согласно данной статье.
1. Порядок назначения представителя в ЕС
В п. 80 преамбулы Регламента разъясняется, что «представитель должен быть непосредственно назначен и уполномочен в письменной форме контролером или оператором действовать от его имени в отношении его обязательств по настоящему Регламенту. Назначение такого представителя не влияет на обязанности или ответственность контроллера или оператора в соответствии с Регламентом. Представитель обязан выполнять свои задачи в соответствии с поручением в письменной форме контролера или оператора, в том числе сотрудничать с компетентными контролирующими органами в отношении любых действий, предпринимаемых для обеспечения соблюдения Регламента.».
Таким образом, поручение в письменной форме регулирует отношения между представителем в ЕС и контроллером данных или оператором, учрежденным вне ЕС, и их обязанности, не затрагивая обязанностей или ответственности контроллера или оператора согласно Регламенту.
Представителем в ЕС может быть физическое или юридическое лицо, учрежденное в ЕС, способное представлять контроллера данных или оператора, учрежденного за пределами ЕС, применительно к его соответствующим обязанностям согласно Регламенту.
EDPB пояснил, что на практике функция представителя в ЕС может осуществляться на основе договора на оказание услуг, заключенного с физическим или юридическим лицом, в том числе коммерческой и некоммерческой организацией, такой как юридическая фирма, консультант, частная компания и т. д. при условии, что такая организация учреждена в ЕС. При этом один представитель может действовать от имени нескольких контроллеров и операторов, не учрежденных в ЕС.
В случае, когда функция представителя осуществляется компанией или организацией любого другого вида, EDPB рекомендует назначить одного человека как основное контактное лицо, отвечающее за каждого представляемого контроллера или оператора. Соответствующие положения целесообразно включить также в договор на оказание услуг.
Вместе с тем EDPB не рассматривает функцию представителя в ЕС как совместимую с ролью внешнего сотрудника по защите данных (Data Protection Officer, далее - «DPO»), который назначается в ЕС, в силу положений статьи 38 (3) Регламента, устанавливающей некоторые основные гарантии с целью обеспечения того, чтобы DPO могли выполнять свои задачи с достаточной степенью автономии в своей организации. В частности, контроллеры или операторы обязаны обеспечивать, чтобы DPO «не получал никаких инструкций относительно выполнения [своих] задач». В пункте 97 преамбулы Регламента уточняется, что DPO «независимо от того, является ли он работником контролера, должен быть в состоянии выполнять свои обязанности и задачи независимым образом».
Что касается уведомления контролирующего органа о назначении DPO, хотя Регламент не устанавливает прямо соответствующей обязанности контролера данных или самого представителя, EDPB напоминает, что в соответствии со статьями 13 (1) a и 14 (1) a Регламента контролеры обязаны предоставлять информацию субъектам персональных данных о своих представителях в ЕС. Эта информация, например, должна быть включена в уведомление о конфиденциальности или предварительную информацию, предоставленную субъектам данных на момент сбора их данных. Контролер, не учрежденный в ЕС, но подпадающий под статью 3 (2) Регламента и не выполнивший свою обязанность сообщить субъектам персональных данных, которые находятся в ЕС, о своем представителе, будет нарушать свои обязательства по прозрачности в соответствии с Регламентом.
Кроме того, такая информация о представителе в ЕС должна быть легко доступна контролирующим органам, чтобы облегчить установление контакта с представителем для целей сотрудничества.
В качестве примера ситуации, в которой контролер, учрежденный не в ЕС, обязан назначить представителя ЕС, приводится следующая. Интернет-сайт, созданный и управляемый в Турции, предлагает услуги по созданию, изданию, печати и доставке персональных семейных фотоальбомов. Интернет-сайт доступен на английском, французском, голландском и немецком языках, а платежи могут производиться в евро или в фунтах стерлингов. На сайте указано, что фотоальбомы могут быть доставлены только почтой в Великобританию, Францию, страны Бенилюкс и Германии. Поскольку деятельность по обработке персональных данных субъектов, находящихся в ЕС, через данный сайт, подпадает под действие GDPR в соответствии с его статьей 3 (2) (a) Регламента, контроллер данных - владелец сайта обязан назначить представителя в ЕС.
Представитель должен быть назначен в одном из государств-членов ЕС, где предлагаются соответствующие услуга, в данном случае - в Великобритании, Франции, Бельгии, Нидерландах, Люксембурге или Германии. Имя и контактные данные контроллера данных должны быть частью информации, доступной онлайн для субъектов персональных данных, как только они начнут пользоваться сервисом, создав свой фотоальбом на сайте. Эти данные также должны быть указаны на сайте в общем уведомлении о конфиденциальности.
2. Исключения из обязанности по назначению представителя в ЕС
Статья 27 (2) Регламента предусматривает исключение из обязанности по назначению представителя в ЕС в двух отдельных случаях:
1) обработка персональных данных является «случайной», не включает обработку в больших масштабах специальных категорий данных, упомянутых в Статье 9 (1) Регламента, или обработку персональных данных, относящихся к уголовным обвинительным приговорам и преступлениям, указанным в Статье 10, и такая обработка «вряд ли приведет к риску для прав и свобод физических лиц с учетом характера, контекста, сферы применения и целей обработки».
Хотя Регламент не определяет, что представляет собой «обработка в больших масштабах», в «Белой книге 29 Руководящие принципы по DPO»[1] было рекомендовано, в частности, учитывать следующие факторы при определении того, осуществляется ли обработка в больших масштабах:
- количество соответствующих субъектов данных - в виде определенного числа, либо как доля соответствующего населения;
- объем данных и / или диапазон различных обрабатываемых элементов данных;
- продолжительность или постоянство деятельности по обработке данных;
- географическая протяженность деятельности по обработке данных;
2) обработка осуществляется «государственным органом или учреждением».
3. Назначение в одном из государств-членов ЕС
В статье 27 (3) Регламента предусматривается, что «представитель ЕС назначается в одном из государств-членов ЕС, где находятся субъекты персональных данных, чьи персональные данные обрабатываются для предложения им товаров или услуг или поведение которых мониторится».
В случаях, когда значительная часть субъектов данных, чьи персональные данные обрабатываются, находится в одном конкретном государстве-члене ЕС, EDPB рекомендует, чтобы представитель был назначен в этом же государстве-члене. Однако представитель должен оставаться доступным для связи для субъектов персональных данных в государствах-членах ЕС, где он не назначен, и где предлагаются услуги или товары или где осуществляется мониторинг поведения соответствующих субъектов.
EDPB подтвердил, что критерием для назначения представителя в ЕС является местоположение субъектов персональных данных, чьи персональные данные обрабатываются. Место обработки, даже оператором, созданным в другом государстве-члене ЕС, не является важным фактором для определения места для назначения представителя.
Например, индийская фармацевтическая компания, не имеющая ни делового присутствия, ни учреждения в ЕС и подпадающая под действие Регламента в соответствии со Статьей 3 (2), спонсирует клинические исследования, проводимые исследователями (больницами) в Бельгии, Люксембурге и Нидерландах. Большинство пациентов, участвующих в клинических исследованиях, находятся в Бельгии.
Индийская фармацевтическая компания в качестве контролера данных назначает представителя в ЕС, учрежденного в одном из трех государств-членов ЕС, в котором пациенты в качестве субъектов данных участвуют в клинических исследованиях (Бельгия, Люксембург или Нидерланды). Поскольку большинство пациентов являются резидентами Бельгии, в данном случае EDPB рекомендовано назначить представителя в Бельгии. При этом представитель в Бельгии должен быть легко доступен для связи для субъектов персональных данных и контролирующих органов в Нидерландах и Люксембурге.
В этом конкретном случае представитель в ЕС может быть законным представителем спонсора клинических исследований в ЕС в соответствии со статьей 74 Регламента (ЕС) 536/2014 о клинических исследованиях при условии, что он учрежден в одном из трех государств-членов ЕС, и что обе функции регулируются и осуществляются в соответствии с законодательством каждого из указанных государств.
4. Обязанности и ответственность представителя
Представитель в ЕС действует от имени контроллера или оператора, которого он представляет в отношении обязанностей контроллера или оператора согласно Регламенту, включая, в частности, обязанности, связанные с осуществлением прав субъекта персональных данных.
Хотя сам представитель не несет ответственности за соблюдение прав субъекта персональных данных, он обязан содействовать обмену данными между субъектами персональных данных и представляемым им контроллером или оператором, чтобы обеспечить реализацию прав соответствующих субъектов.
Согласно Статье 30 Регламента, представитель контроллера или оператора обязан, в частности, вести учет операций по обработке персональных данных, ответственность за которые несет контроллер или оператор. EDPB полагает, что ведение такого учета является солидарной обязанностью и что контроллер или оператор, не учрежденный в ЕС, обязан предоставить своему представителю всю точную и актуальную информацию с тем, чтобы представитель мог вести и предоставлять по требованию записи по соответствующему учету.
Как поясняется в пункте 80 преамбулы Регламента, представитель обязан выполнять свои задачи в соответствии с поручением контролера или оператора, в том числе сотрудничать с компетентными контролирующими органами в отношении любых действий, предпринятых для обеспечения соблюдения Регламента. На практике это означает, что контролирующий орган может связаться с представителем в связи с любым вопросом, касающимся обязанностей в соответствии с Регламентом контроллера или оператора, созданного за пределами ЕС, и представитель должен иметь возможность облегчить любой обмен информацией или процедурное взаимодействие между запрашивающим контролирующим органом и контроллером или оператором, учрежденным за пределами ЕС.
В случае необходимости, с помощью своей команды представитель в ЕС должен быть в состоянии эффективно общаться с субъектами персональных данных и сотрудничать с соответствующими контролирующими органами. Это означает, что такое общение должно происходить на языке или языках, используемых контролирующими органами и соответствующими субъектами данных.
В соответствии с пунктом 80 преамбулы и Статьей 27 (5) Регламента назначение представителя в ЕС не влияет на ответственность контролера или оператора в соответствии с Регламентом и не препятствует каким-либо образом процессуальным действиям, которые могут быть инициированы против самого контроллера или оператора контролирующим органом. EDPB обращает внимание в связи с этим, что процессуальные действия могут быть инициированы контролирующими органами также против представителя, включая наложение административных штрафов и привлечение к ответственности.
[1] WP29 Guidelines on Data Protection Officers (‘DPOs’), WP 243 rev.01
