GDPR лютует: европейский суд выступил против американской корпорации. Что это значит для компаний из Беларуси?

7 июля 2018, 12:55

Специалисты Arzinger&Partners подготовили для dev.by колонку о GDPR, в которой рассказали о первом судебном случае, связанном с новым Регламентом, и его значении для белорусских компаний. 

Читать далее

Иллюстрация: Digital Impact

Спойлер. Компании по регистрации доменных имён ICANN не разрешают работать через сетевой протокол WHOIS, т.е. хранить и обрабатывать в нём регистрационные данные о владельцах доменных имен, их IP-адреса и контакты. Американцы говорят, это технически невозможно (работать в рамках GDPR), просят исключений и послаблений. Европейцы же вынесли решение строго по букве Регламента. Американцы не сдаются, обжалуют решение в суде следующей инстанции. Конец первого действия.

«Это первый известный кейс по толкованию GDPR в Европе. Из него можно сделать два вывода. Первый — исключений пока не предвидится даже для таких инфраструктурных игроков как ICANN. Второй кроется в логике вынесенного решения — не успел подготовиться или не можешь по каким-то причинам работать, не нарушая Регламент — ну что же, меняйся, перестраивай свою работу», — резюмирует юрист Arzinger&Partners Вероника Павловская

История. Шёл четвёртый день GDPR в Европе

Спорили партнёры. ICANN, частная американская компания, которая координирует процесс присвоения доменных имён, и их аккредитованный представитель, регистратор доменных имён второго уровня EPAG Domainservices GmbH. 

EPAG предупреждал американцев, что после 25 мая они не смогут законно обрабатывать чьи-либо персональные данные. Кроме тех, что прямо относятся к бизнесу. Немецкая компания советовала прекратить запрашивать и обрабатывать данные административных работников и техподдержки, ссылаясь на то, что по Регламенту эти данные признаются персональными. 

На что американцы ответили обращением в Окружной суд Бонна с надеждой, что суд обяжет EPAG, европейского партнёра корпорации, получать персональные данные от владельцев доменных имён и передавать их в США. Т.е. они хотели исключения для системы WHOIS, которую, по их признанию, невозможно исправить технически. 

Чем ещё обосновывал свою надежду ICANN: такие данные запрашивают госорганы и сами субъекты персональных данных для оказания техпомощи и уточнения вопросов IP. 
Окружной суд Бонна (Германия) вынес решение No. 10 O 171/18. 

Это же решение кратко

  • при действующей системе сбора и обработки данных ICANN нарушает ст.5(1)(b) и (c) Регламента
  • владелец доменного имени — единственное лицо, ответственное за содержание сайта, следовательно, для регистрации достаточно данных регистратора
  • регистраторы могут передавать данные третьих лиц (техподдержки, бэк-офиса), но только если на то получено их согласие

На самом деле это решение — один к одному то, что написано в Регламенте. Если собираешь «лишние» персональные данные, которые прямо не нужны для твоей бизнес-модели — получаешь предупреждение, а в перспективе — и тот самый «драконовский» штраф. Конечно, получаешь его либо в случае жалобы европейца (субъекта персональных данных), либо в случае проверки. 

А так, произошёл показательный случай. Это то самое, с чего мы рекомендуем начинать внутреннюю проверку на соответствие нормам GDPR. Если для функционирования вашей бизнес-модели, например, достаточно ФИО, мэйла и IP компьютера, не запрашивайте и не собирайте больше. 

Что это решение значит для белорусских компаний, работающих с европейскими пользователями?

Если у вас есть офис в ЕС или если вы уже успели найти уполномоченного представителя в Европе (одно из требований GDPR), будьте готовы к тому же, что предъявили ICANN. Надзорный орган ЕС сможет использовать имеющиеся у него полномочия: предупреждения, запреты на обработку данных, блокировку продукта (сервиса, сайта) и штрафные санкции. Но. 

Во-первых, по нашему мнению, то количество FUD’а (почему все волнуются о GDPR и пр.), которое сопровождало Регламент, появлялось не вполне обоснованно. Начинать столь серьёзное регулирование data protection с самой жестокой предусмотренной меры ответственности — «драконовских» штрафов и взыскания ощутимых процентов от выручки компании — никто не будет. Во-вторых, даже компании из ЕС, компании с сильным ИТ-департаментом сегодня сложно полностью соответствовать нормам GDPR (и ведь всё это при более развитом DP-законодательстве в Европе). В-третьих, тому самому надзорному органу сегодня и сейчас скорее важно не полное соответствие, а сам факт действий в отношении защиты данных. Если вы сможете показать, что начали/проводите/продолжаете работу по корректной работе с пользовательскими данными — честь вам и хвала, бонус в глазах регулятора. 

Если же вы целиком располагаетесь вне европейской юрисдикции, встаёт вопрос исполнения судебных решений ЕС на территории Беларуси. На самом деле этот вопрос открытый. Особенно в ситуации, когда единого DP-регулирования в стране нет. Пока нет.

Поэтому. Даже в случае нарушений использования персональных данных европейцев, вы прежде всего будете рисковать потерей европейского рынка, блокировкой своих продуктов (сервисов, сайтов) на территории ЕС, а не процентами от выручки и уплатой штрафа.

текст подготовлен в юридической компании Arzinger&Partners

Обсуждение