Блог GDPR

GDPR и закон Яровой, кто кого?

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

Противоречит ли закон Яровой положениям GDPR?

Однозначно нет, хотя и существует мнение, что «российская компания будет хранить данные гражданина ЕС без его согласия, и этим она нарушит регламент Евросоюза. Это может обернуться для нее штрафом в размере до 20 млн евро или до 4% от годовой глобальной выручки в зависимости от того, какая сумма больше», на самом деле это не так.

Давайте обратимся к первоисточнику, а именно самому тексту регламента GDPR.

Кто является субъектом персональных данных согласно регламента? Об этом нам говорит п.1 Статьи 4 регламента:

«персональные данные» (personal data) – означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор) или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица

Т.е. Субъектом персональных данных является физическое лицо.

Какие же есть правовые основания для обработки персональных данных? Об этом мы прочитаем в Статье 6 регламента. И там мы увидим такое интересное основание:

(c) обработка необходима для соблюдения правовых обязательств, субъектом которых является контролёр;

Бинго, учитывая, что закон Яровой и есть то самое правовое обязательство, оператор связи может обрабатывать персональные данные, и без согласия субъекта персональных данных, т.к. правовые основания у него есть. Но есть одна маленькая неприятность, начав исполнять закон Яровой и постановления правительства РФ от 12.04.2018г. все операторы связи сразу же стали субъектами GDPR в соответствии с   пунктом 2 статьи 3  регламента. И тут на обычного российского оператора связи начинают действовать все положения GDPR.

Тут вы меня спросите, а как же заявление главы Роскомнадзора Александра Жарова который сообщил:

«Однако пока Российская Федерация не является участницей международных договоров с ЕС, устанавливающих порядок обработки персональных данных применительно к российским операторам. Соответственно требования Регламента не распространяются на обработку такой информации в РФ.

Регуляторный документ должен учитываться, по словам А.Жарова, только при обработке персональных данных европейских граждан российскими операторами на территории стран ЕС. Такая позиция соответствует общепринятым международным принципам в этой сфере.»

И тут я могу ответить только словами Булгакова из Мастера и Маргариты «А он попросту соврал! – звучно, на весь театр сообщил клетчатый помощник и, обратясь к Бенгальскому, прибавил: – Поздравляю вас, гражданин, соврамши!».

Ведь тот же пункт 2 статьи 3 говорит прямо:

- Настоящий Регламент применяется к обработке персональных данных субъектов персональных данных, находящихся Евросоюзе,

независимо от того, осуществляется ли обработка в Евросоюзе, или нет.

Опс, так что выполнять требования закона Яровой с точки зрения GDPR можно, но очень осторожно, ведь наказание регулятором из ЕС будет накладываться именно на  оператора связи допустившего нарушения. И спрятаться тут вряд ли получиться, Родина такая смелая на своей территории, а за ее границами можно остаться один на один с европейской правовой машиной. Кстати доводы, что я живу в России и ни куда не езжу так, что штраф они с меня не получат очень слабы. Европейские ребята умеют вытаскивать деньги и через банковскую систему, и через платежи контрагентам, и еще существует тысяча сравнительно честных способов отъема денег у населения. По этому российским компаниям поставленным в такую позу законодателем нужно быть очень аккуратными.

Search