DSGVO. Ist es notwendig, es in Russland durchzuführen?

Was ist DSGVO?

Am 25. Mai 2018 trat die Allgemeine Datenschutzverordnung der Europäischen Union (DSGVO; im Folgenden als DSGVO, die Verordnung) in Kraft. Viele Menschen glauben, dass die DSGVO nur für europäische Organisationen oder Unternehmen gilt, die personenbezogene Daten (PD) in der Europäischen Union verarbeiten. Tatsächlich ist die Verordnung jedoch extraterritorial und gilt für Organisationen, die nicht in der Europäischen Union ansässig sind.

Die Regeln sowie das Bundesgesetz der Russischen Föderation Nr. 152- „Über personenbezogene Daten“ verwenden die Konzepte und Ansätze des Übereinkommens zum Schutz des Einzelnen bei der automatischen Verarbeitung personenbezogener Daten.
Das Hauptaugenmerk der Verordnung liegt auf dem Schutz der Rechte und Freiheiten des Einzelnen bei der Verarbeitung seiner personenbezogenen Daten.

Russische Organisationen, die in den Geltungsbereich der DSGVO fallen, befinden sich „zwischen zwei Bränden“: Sie müssen sowohl die russische Gesetzgebung als auch die neue europäische Verordnung einhalten. In diesem Artikel werden wir versuchen aufzuzeigen, wer die GDPR-Anforderungen in Russland erfüllen muss, warum und was die Konsequenzen sein können, wenn sie nicht erfüllt werden.

Für wen gilt die DSGVO?

Gemäß Artikel 3 der Verordnung gilt die DSGVO für:

1. PD-Verarbeitung während der Tätigkeiten des Betreibers oder Verarbeiters (der Person, der der Betreiber die Verarbeitung von PD anvertraut hat) im Hoheitsgebiet der Europäischen Union (EU), unabhängig davon, wo die Verarbeitung durchgeführt wird - im Hoheitsgebiet der EU oder außerhalb der EU.

2. PD-Verarbeitung durch einen Betreiber oder Verarbeiter außerhalb der EU, wenn die Verarbeitung mit Folgendem verbunden ist:

a. Angebot von Waren oder Dienstleistungen (kostenpflichtig oder kostenlos) für PD-Patienten in der EU;

b. Überwachung der Maßnahmen (Verhalten, Aktivität) von PD-Patienten in der EU.

3. PD-Verarbeitung durch einen Betreiber außerhalb der EU, sofern dies auf die Rechtsvorschriften eines Mitgliedstaats gemäß dem internationalen öffentlichen Recht anwendbar ist.

Wenn es bei Betreibern mehr oder weniger klar ist, die offensichtlich unter Klausel 1 (Sie müssen in der EU sein) und Klausel 3 (diplomatische Vertretungen und Konsulate der EU-Mitgliedstaaten) fallen, wirft Klausel 2 viele Fragen auf, da sie die Anwendbarkeit der DSGVO auf Russisch bestimmt Unternehmen.

Um Antworten auf diese Fragen zu finden, sollte neben dem Haupttext der Verordnung auch darauf geachtet werden, dass die DSGVO eine Präambel enthält, aus der hervorgeht, woran sich der Gesetzgeber bei der Festlegung der beschriebenen Standards in der DSGVO orientiert hat. In Randnummer 23 der Präambel heißt es insbesondere, wie wir feststellen können, dass der Betreiber (oder Datenverarbeiter) Personen in der EU Waren oder Dienstleistungen anbietet. Faktoren, die es ermöglichen, die Richtung der Tätigkeit in der EU zu bestimmen, können als Verwendung beim Angebot und Verkauf von Waren oder Dienstleistungen in der Sprache oder Währung eines EU-Mitgliedstaats, als Erwähnung von Kunden oder Nutzern in der EU angesehen werden. In Paragraph 24 der Präambel heißt es, dass die Überwachung der Handlungen eines PD-Subjekts die Verfolgung von Internetnutzern bedeutet, einschließlich der möglichen späteren Erstellung von Profilen von Personen, insbesondere mit dem Ziel, Präferenzen, Verhalten usw. zu analysieren oder vorherzusagen.

Darüber hinaus heißt es in Artikel 2 der DSGVO, dass die Verordnung nicht für Tätigkeiten gilt, die nicht dem EU-Recht unterliegen.

Aus dem Obigen können die folgenden Kriterien für die direkte Anwendbarkeit der DSGVO auf eine russische Organisation bestimmt werden:

1. Die Organisation hat ihren Sitz in der EU (ist eine Niederlassung oder Repräsentanz eines russischen Unternehmens).
2. Die Organisation hat ihren Sitz nicht in der EU, führt jedoch physische Aktivitäten in der EU durch. Diese Aktivität umfasst die Verarbeitung personenbezogener Daten (z. B. ein Transportunternehmen mit der Lieferung von Waren aus Russland an Einzelpersonen in der EU).
3. Die Organisation bietet systematisch Waren mit Lieferung in die EU mit der Möglichkeit der Zahlung in Euro (PLN, SEK usw.) an.
4. Die Organisation bietet Dienstleistungen für Einzelpersonen in einer der Amtssprachen der EU an. In dieser Sprache gibt es eine Website. Um für Dienstleistungen zu bezahlen, können Sie die Währung der EU-Länder verwenden oder eine Zahlung ist nicht erforderlich.
5. Die Organisation sammelt und analysiert Informationen über Website-Besucher aus der EU und verwendet die Ergebnisse der Analyse allein oder verkauft (überträgt) sie an andere Personen.

Für Organisationen, die unter die Klauseln 2-5 fallen, gilt die DSGVO insoweit, als die PD-Verarbeitung von Personen in der EU verarbeitet wird. Beispielsweise fällt die Verarbeitung personenbezogener Daten im Rahmen von Personalakten nicht unter die Regulierung der DSGVO, wenn alle Mitarbeiter der Organisation in Russland arbeiten, und die in den Kriterien angegebenen Geschäftsprozesse fallen.
Organisationen, die personenbezogene Daten im Auftrag des Betreibers verarbeiten, der Gegenstand der DSGVO-Verordnung ist, unterliegen der DSGVO in einer Höhe, die davon abhängt, welcher Teil der Verarbeitung im Auftrag übertragen wird. Wenn die Organisation einen Teil der Verarbeitungsprozesse durchführt (z. B. Erhebung personenbezogener Daten, Analyse personenbezogener Daten usw.), fällt dies unter den Einfluss der DSGVO. Wenn die Organisation Hosting-Dienste (DPC) bereitstellt, gelten nur die GDPR-Anforderungen, die der Betreiber ihr vorlegt, direkt für sie.

Wir möchten auch darauf hinweisen, dass die folgenden Fälle, die häufig in Materialien zur DSGVO zu finden sind, keine Kriterien für die Anwendbarkeit der Verordnung sind:

1. Die Staatsbürgerschaft von PD-Probanden hat keinen Einfluss auf die Anwendbarkeit der DSGVO (zum Beispiel bedeutet die Anwesenheit von EU-Bürgern nicht, dass die Organisation unter die DSGVO fällt).
2. Die Verfügbarkeit der Website der Organisation in der EU bedeutet nicht die automatische Anwendbarkeit der DSGVO. Wenn die Organisation keine Profilerstellung durchführt und die gesammelten Statistiken nicht an bestimmte Benutzer gebunden sind, sollte ihre Aktivität nicht unter die DSGVO fallen.
3. Wenn der Service außerhalb der EU erbracht wird (z. B. kann ein Hotelzimmer in Russland von der EU aus gebucht werden), sollte die Organisation nicht der DSGVO unterliegen, da ihre Aktivitäten nicht in der EU durchgeführt werden und nicht dem EU-Recht unterliegen.

Wenn Sie immer noch Zweifel an der Anwendbarkeit der Verordnung auf Ihre Organisation haben, können Sie sich an NIP Informzashita CJSC wenden. Wir helfen Ihnen bei der Festlegung, wie und welche GDPR-Anforderungen Ihrer Organisation eingehalten werden sollten.

Überwachung der Einhaltung der DSGVO in Russland und der Folgen von Verstößen

Um die Rechte von PD-Betroffenen in jedem EU-Land zu schützen, wurden staatliche Stellen geschaffen, um die Rechte von PD-Betroffenen zu schützen (im Text der Verordnung - Aufsichtsbehörden werden solche Stellen in der Praxis als Datenschutzbehörden (DPA) bezeichnet). Unter anderem verfügt die Datenschutzbehörde gemäß Artikel 58 DSGVO Teil 1 über folgende Befugnisse:

• Informationen zur PD-Verarbeitung anfordern;
• Sicherheitsaudits von PD durchführen;
• vom Betreiber und Verarbeiter Zugang zu allen PDs und zu allen Informationen zu erhalten, die zur Erfüllung ihrer Aufgaben erforderlich sind;
• Zugang zu den Räumlichkeiten von Betreibern und Verarbeitern erhalten, einschließlich aller Geräte und Datenverarbeitungseinrichtungen.

Spezifische Kontrollverfahren werden von den EU-Ländern unabhängig festgelegt. Im Falle eines Verstoßes gegen die Bestimmungen der Datenschutzverordnung, unter anderem gemäß Artikel 58 Teil 2 der DSGVO, können sie:

• dem Betreiber oder Verarbeiter eine Warnung oder einen Kommentar zukommen lassen, dass das derzeitige Verfahren zur Verarbeitung von PD gegen die Bestimmungen der Verordnung verstößt;
• einen Befehl über die Notwendigkeit erteilen, die Anfrage des Betreffs zu erfüllen, über die Notwendigkeit, den Betreff über eine Verletzung der Sicherheits-PD zu informieren;
• zu verlangen, dass die Verarbeitung personenbezogener Daten innerhalb eines bestimmten Zeitraums mit der Verordnung in Einklang gebracht wird;
• die Verarbeitung vorübergehend oder dauerhaft einschränken , einschließlich eines Verarbeitungsverbots;
• einen Befehl zum Entfernen oder Klären von PD erteilen;
• zusammen mit anderen Maßnahmen oder anstelle von ihnen eine Verwaltungsstrafe zu verhängen ;
• fordern , die Übertragung von PD in ein Drittland oder an eine internationale Organisation zu stoppen .

Die Verordnung legt fest, dass Organisationen außerhalb der EU einen Vertreter in der EU ernennen müssen, über den die Datenschutzbehörde mit der Organisation interagieren wird. Es wird jedoch betont, dass die Verantwortung für die Verarbeitung der PD nicht beim Vertreter liegt, sondern bei der Organisation selbst.

Die DSGVO legt nicht das Verfahren zur Überwachung der Einhaltung der Verordnung durch Organisationen außerhalb der EU und zur Ernennung eines Vertreters sowie die Art und Weise offen, wie Organisationen außerhalb der EU für Verstöße gegen die Regeln für die Verarbeitung personenbezogener Daten verantwortlich sind.

Wir haben eine Reihe von Interviews mit der Datenschutzbehörde der EU-Länder zur Überwachung der Einhaltung der DSGVO außerhalb der EU durchgeführt. Die Antworten waren unterschiedlich, aber insgesamt gab es keine Klarheit. Ein Vertreter der Datenschutzbehörde machte einen Vorbehalt, dass solche Fälle in Zusammenarbeit mit der Datenschutzbehörde der Länder, in denen sich der Betreiber oder Verarbeiter befindet, geregelt würden. Die derzeitige geopolitische Situation und die Position des Leiters von Roskomnadzor A. Zharov zur Notwendigkeit der Einhaltung der DSGVO durch russische Organisationen lassen Zweifel daran aufkommen, dass Versuche einer solchen Zusammenarbeit zwischen der EU-Datenschutzbehörde und Roskomnadzor produktiv sein werden.

Ich möchte darauf hinweisen, dass die in der DSGVO festgelegten Bußgelder in Höhe von mehreren Millionen Dollar, die vor allem die Betreiber erschrecken, die obere Messlatte sind. Die DSGVO sagt, dass Geldbußen (und andere Sanktionen) in einem angemessenen Verhältnis zum Verstoß stehen müssen, wirksam sind und wiederholte Verstöße verhindern müssen. Die spezifische Höhe der Geldbußen wird unter Berücksichtigung einer Vielzahl von Faktoren individuell festgelegt. Eine Geldstrafe von mehreren Millionen Dollar kann gegen eine Organisation verhängt werden, wenn sie bewusst und böswillig die Rechte von Subjekten verletzt, diese sorgfältig versteckt und einen hohen Gewinn aus einer solchen PD-Verarbeitung erzielt.

Die wahrscheinlichste (aber nicht die einzige) und bedeutende Folge der Nichteinhaltung der DSGVO für russische Organisationen, die keine Repräsentanzen oder Tochtergesellschaften in der EU haben (sowie einen ernannten Vertreter für die PD-Verarbeitung), ist keine Geldstrafe, sondern blockiert die Website der Organisation in der EU oder in einzelnen Staaten EU-Mitglieder. Trotz der Tatsache, dass die Möglichkeit der Sperrung einer Website in der DSGVO nicht ausdrücklich angegeben ist, scheint es eine natürliche Möglichkeit zu sein, die PD-Verarbeitung einzuschränken, um wiederholte Verstöße zu verhindern, insbesondere wenn es keine anderen Möglichkeiten gibt, den Betreiber zu beeinflussen.

Warum sollten russische Organisationen die DSGVO einhalten?

Die Umsetzung der DSGVO hat neben der offensichtlichen Möglichkeit, mögliche Sanktionen durch die EU-Datenschutzbehörde zu vermeiden, weitere Vorteile für Organisationen.

Dies ist vor allem eine Erhöhung des allgemeinen Niveaus der Informationssicherheit und des Datenmanagements in der Organisation. Bei der Einhaltung der Anforderungen zum Schutz personenbezogener Daten erstellt eine Organisation häufig zum ersten Mal ein Register ihrer vorhandenen Geschäftsprozesse, versteht die vorhandenen Datenflüsse, erstellt ein Netzwerkdiagramm und beschreibt das vorhandene Informationsschutzsystem. Diese Maßnahmen bilden die Grundlage für den Schutz nicht nur der PD, sondern auch anderer Arten vertraulicher Informationen sowie für die Optimierung der Geschäftsprozesse.

Wenn die Organisation die von der Gegenpartei, die der DSGVO unterliegt, an sie übermittelten personenbezogenen Daten verarbeitet, fordert die Gegenpartei von ihr die Einhaltung der DSGVO-Anforderungen für Verarbeiter personenbezogener Daten. Durch die Einhaltung der DSGVO kann der Dienstleister den zugänglichen Markt für die Erbringung von Dienstleistungen in der EU erweitern und Dienstleistungen für russische Organisationen erbringen, die unter die Anforderungen der DSGVO fallen.

Das Erfordernis der obligatorischen Einhaltung der DSGVO kann von der Muttergesellschaft kommen, wenn die DSGVO auf Organisationen einer Unternehmensgruppe anwendbar ist, mit denen die russische Organisation personenbezogene Daten austauscht. In diesem Fall ist es jedoch ratsam, zum einen zu klären, ob die personenbezogenen Daten von Personen in der EU tatsächlich verarbeitet werden, und zum anderen, wenn sie verarbeitet werden, die Anforderungen der Verordnung auf die Prozesse auszudehnen, in denen diese personenbezogenen Daten verarbeitet werden, und nicht auf das Ganze Organisation.

Die DSGVO legt die Notwendigkeit fest, die zahlreichen Rechte von PD-Probanden zu respektieren und die Transparenz der PD-Verarbeitung für Probanden zu gewährleisten. Im Vergleich zum Bundesgesetz „Über personenbezogene Daten“ erklärt die DSGVO ausführlicher, wie PD-Patienten über die Verarbeitung ihrer PD informiert werden und wie sie ihre Rechte in Bezug auf diese Verarbeitung ausüben können. Die Berücksichtigung dieser Fragen der Verarbeitung personenbezogener Daten in der Politik der Verarbeitung personenbezogener Daten sowie in der Erhebung von Informationen zur Verarbeitung personenbezogener Daten kann die Transparenz der Organisation erhöhen und das Vertrauen aller betroffenen Personen stärken.

Zusammenfassung

Wenn sich Ihre Organisation in Russland befindet, bedeutet dies nicht, dass die DSGVO nicht auf sie anwendbar ist. Sie können die Anwendbarkeit der Anforderungen der Regeln auf Ihre Organisation anhand der oben genannten Kriterien überprüfen.

Die Verordnung ist gerade in Kraft getreten, und laut Symantec erfüllen 80% der Organisationen in der EU nicht die GDPR-Anforderungen. Wie die EU-Organisation von der EU im Zusammenhang mit Verstößen gegen die DSGVO sanktioniert werden kann, ist noch unklar, dennoch sollte die Verordnung ernst genommen werden.

Abschließend möchten wir darauf hinweisen, dass mit hoher Wahrscheinlichkeit in naher Zukunft eine Einheitlichkeit mit der europäischen Gesetzgebung in der russischen Gesetzgebung zur PD-Verarbeitung eine Formulierung ähnlich den GDPR-Anforderungen erscheinen wird.

Gepostet von Alisa Gorinova, Senior Consultant, Beratungs- und Prüfungsabteilung, Informzaschita. Wenn Sie noch Fragen haben, stehen wir Ihnen gerne zur Verfügung. Wir warten auf Ihre Briefe an a.gorinova@infosec.ru.