Support us

GDPR лютует: европейский суд выступил против американской корпорации. Что это значит для компаний из Беларуси?

Оставить комментарий
GDPR лютует: европейский суд выступил против американской корпорации. Что это значит для компаний из Беларуси?

Специалисты Arzinger&Partners подготовили для dev.by колонку о GDPR, в которой рассказали о первом судебном случае, связанном с новым Регламентом, и его значении для белорусских компаний. 

Читать далее

Иллюстрация: Digital Impact

Спойлер. Компании по регистрации доменных имён ICANN не разрешают работать через сетевой протокол WHOIS, т.е. хранить и обрабатывать в нём регистрационные данные о владельцах доменных имен, их IP-адреса и контакты. Американцы говорят, это технически невозможно (работать в рамках GDPR), просят исключений и послаблений. Европейцы же вынесли решение строго по букве Регламента. Американцы не сдаются, обжалуют решение в суде следующей инстанции. Конец первого действия.

«Это первый известный кейс по толкованию GDPR в Европе. Из него можно сделать два вывода. Первый — исключений пока не предвидится даже для таких инфраструктурных игроков как ICANN. Второй кроется в логике вынесенного решения — не успел подготовиться или не можешь по каким-то причинам работать, не нарушая Регламент — ну что же, меняйся, перестраивай свою работу», — резюмирует юрист Arzinger&Partners Вероника Павловская

История. Шёл четвёртый день GDPR в Европе

Спорили партнёры. ICANN, частная американская компания, которая координирует процесс присвоения доменных имён, и их аккредитованный представитель, регистратор доменных имён второго уровня EPAG Domainservices GmbH. 

EPAG предупреждал американцев, что после 25 мая они не смогут законно обрабатывать чьи-либо персональные данные. Кроме тех, что прямо относятся к бизнесу. Немецкая компания советовала прекратить запрашивать и обрабатывать данные административных работников и техподдержки, ссылаясь на то, что по Регламенту эти данные признаются персональными. 

На что американцы ответили обращением в Окружной суд Бонна с надеждой, что суд обяжет EPAG, европейского партнёра корпорации, получать персональные данные от владельцев доменных имён и передавать их в США. Т.е. они хотели исключения для системы WHOIS, которую, по их признанию, невозможно исправить технически. 

Чем ещё обосновывал свою надежду ICANN: такие данные запрашивают госорганы и сами субъекты персональных данных для оказания техпомощи и уточнения вопросов IP. 
Окружной суд Бонна (Германия) вынес решение No. 10 O 171/18. 

Это же решение кратко

  • при действующей системе сбора и обработки данных ICANN нарушает ст.5(1)(b) и (c) Регламента
  • владелец доменного имени — единственное лицо, ответственное за содержание сайта, следовательно, для регистрации достаточно данных регистратора
  • регистраторы могут передавать данные третьих лиц (техподдержки, бэк-офиса), но только если на то получено их согласие

На самом деле это решение — один к одному то, что написано в Регламенте. Если собираешь «лишние» персональные данные, которые прямо не нужны для твоей бизнес-модели — получаешь предупреждение, а в перспективе — и тот самый «драконовский» штраф. Конечно, получаешь его либо в случае жалобы европейца (субъекта персональных данных), либо в случае проверки. 

А так, произошёл показательный случай. Это то самое, с чего мы рекомендуем начинать внутреннюю проверку на соответствие нормам GDPR. Если для функционирования вашей бизнес-модели, например, достаточно ФИО, мэйла и IP компьютера, не запрашивайте и не собирайте больше. 

Что это решение значит для белорусских компаний, работающих с европейскими пользователями?

Если у вас есть офис в ЕС или если вы уже успели найти уполномоченного представителя в Европе (одно из требований GDPR), будьте готовы к тому же, что предъявили ICANN. Надзорный орган ЕС сможет использовать имеющиеся у него полномочия: предупреждения, запреты на обработку данных, блокировку продукта (сервиса, сайта) и штрафные санкции. Но. 

Во-первых, по нашему мнению, то количество FUD’а (почему все волнуются о GDPR и пр.), которое сопровождало Регламент, появлялось не вполне обоснованно. Начинать столь серьёзное регулирование data protection с самой жестокой предусмотренной меры ответственности — «драконовских» штрафов и взыскания ощутимых процентов от выручки компании — никто не будет. Во-вторых, даже компании из ЕС, компании с сильным ИТ-департаментом сегодня сложно полностью соответствовать нормам GDPR (и ведь всё это при более развитом DP-законодательстве в Европе). В-третьих, тому самому надзорному органу сегодня и сейчас скорее важно не полное соответствие, а сам факт действий в отношении защиты данных. Если вы сможете показать, что начали/проводите/продолжаете работу по корректной работе с пользовательскими данными — честь вам и хвала, бонус в глазах регулятора. 

Если же вы целиком располагаетесь вне европейской юрисдикции, встаёт вопрос исполнения судебных решений ЕС на территории Беларуси. На самом деле этот вопрос открытый. Особенно в ситуации, когда единого DP-регулирования в стране нет. Пока нет.

Поэтому. Даже в случае нарушений использования персональных данных европейцев, вы прежде всего будете рисковать потерей европейского рынка, блокировкой своих продуктов (сервисов, сайтов) на территории ЕС, а не процентами от выручки и уплатой штрафа.

текст подготовлен в юридической компании Arzinger&Partners

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
Instagram оштрафовали на рекордную сумму за неправильную обработку данных подростков
Instagram оштрафовали на рекордную сумму за неправильную обработку данных подростков
Instagram оштрафовали на рекордную сумму за неправильную обработку данных подростков
2 комментария
Минфин не будет снижать госпошлину за апостиль
Минфин не будет снижать госпошлину за апостиль
Минфин не будет снижать госпошлину за апостиль
6 комментариев
В ЕС договорились об ограничении полномочий техногигантов
В ЕС договорились об ограничении полномочий техногигантов
В ЕС договорились об ограничении полномочий техногигантов
1 комментарий
ПВТ создаст реестр виртуальных кошельков, которые использовались
ПВТ создаст реестр виртуальных кошельков, которые использовались "в противоправной деятельности"
ПВТ создаст реестр виртуальных кошельков, которые использовались "в противоправной деятельности"
8 комментариев

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.