GDPR. É necessário realizá-lo na Rússia?

O que é GDPR?

Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR; doravante denominado GDPR, o Regulamento) entrou em vigor. Muitas pessoas acreditam que o RGPD se aplica apenas a organizações ou empresas europeias que processam dados pessoais (PD) na União Europeia. Mas, de fato, o regulamento é extraterritorial e se aplica a organizações não localizadas na União Europeia.

As Regras, bem como a Lei Federal da Federação Russa No. 152- “Sobre Dados Pessoais”, usam os conceitos e abordagens formulados na Convenção para a Proteção de Indivíduos no que diz respeito ao Processamento Automático de Dados Pessoais.
A principal ênfase do regulamento está na proteção dos direitos e liberdades das pessoas no tratamento de seus dados pessoais.

As organizações russas que se enquadram no escopo do RGPD encontram-se “entre dois incêndios”: são obrigadas a cumprir a legislação russa e o novo Regulamento Europeu. Neste artigo, tentaremos revelar quem precisa cumprir os requisitos do GDPR na Rússia, por que e quais poderiam ser as consequências de não cumpri-los.

A quem o GDPR se aplica?

Nos termos do artigo 3.o do regulamento, o RGPD aplica-se a:

1. Processamento de PD durante as atividades do operador ou processador (a pessoa a quem o operador confiou o processamento de PD) no território da União Europeia (UE), independentemente de onde o processamento seja realizado - no território da UE ou fora dela.

2. Processamento de PD por um operador ou processador localizado fora da UE, se o processamento estiver associado a:

a. oferecer bens ou serviços (pagos ou gratuitos) a indivíduos com DP localizados na UE;

b. monitorar as ações (comportamento, atividade) de indivíduos com DP na UE.

3. Tratamento de PD por um operador localizado fora da UE, se aplicável à legislação de um Estado-Membro em conformidade com o direito público internacional.

Se é mais ou menos claro para os operadores que obviamente se enquadram na cláusula 1 (você precisa estar na UE) e na cláusula 3 (missões diplomáticas e consulados dos estados membros da UE), a cláusula 2 levanta muitas questões, uma vez que determina a aplicabilidade do RGPD à Rússia empresas.

A fim de encontrar respostas para essas perguntas, além do texto principal do Regulamento, também vale a pena prestar atenção ao fato de o GDPR ter um preâmbulo que divulga a orientação do legislador ao definir os padrões descritos no GDPR. Em particular, no parágrafo 23 do preâmbulo, é dito como podemos determinar que o operador (ou processador de dados) ofereça bens ou serviços a pessoas localizadas na UE. Os fatores que possibilitam determinar a direção da atividade na UE podem ser considerados como o uso na oferta e venda de bens ou serviços no idioma ou moeda de um estado membro da UE, a menção de clientes ou usuários localizados na UE. E no parágrafo 24 do preâmbulo, diz-se que monitorar as ações de um sujeito em DP significa rastrear usuários da Internet, incluindo a possível criação subsequente de perfis de indivíduos, em particular com o objetivo de analisar ou prever preferências, comportamento etc.

Além disso, o artigo 2.o do RGPD estabelece que o regulamento não se aplica a atividades que não estão sujeitas ao direito da UE.

Pelo exposto, pode-se determinar os seguintes critérios para a aplicabilidade direta do RGPD a uma organização russa:

1. A organização está localizada na UE (é uma filial ou escritório de representação de uma empresa russa).
2. A organização não está localizada na UE, mas realiza atividades fisicamente na UE, e essa atividade inclui o processamento de dados pessoais (por exemplo, uma empresa de transporte com entrega de mercadorias da Rússia a indivíduos na UE).
3. A organização oferece sistematicamente mercadorias com entrega na UE com a possibilidade de pagamento em euros (PLN, SEK, etc.).
4. A organização oferece serviços a indivíduos em um dos idiomas oficiais da UE; existe um site nesse idioma. Para pagar pelos serviços, você pode usar a moeda dos países da UE ou o pagamento não é necessário.
5. A organização coleta e analisa informações sobre os visitantes do site da UE e usa os resultados da análise por conta própria ou vende (transfere) para outras pessoas.

Para organizações que se enquadram nas cláusulas 2-5, o RGPD é válido na medida em que o processamento de PD de pessoas localizadas na UE é processado. Por exemplo, o processamento de dados pessoais como parte dos registros de pessoal, se todos os funcionários da organização trabalham na Rússia, não se enquadra na regulamentação do GDPR, e os processos de negócios especificados nos critérios se enquadram.
As organizações que processam dados pessoais em nome do operador que está sujeito à regulamentação do GDPR estão sujeitas ao GDPR em uma quantidade que depende de qual parte do processamento é transferida em nome. Se a organização realiza parte dos processos de processamento (por exemplo, coleta de dados pessoais, análise de dados pessoais etc.), ela fica sob a influência do RGPD. Se a organização fornecer serviços de hospedagem (DPC), apenas os requisitos de GDPR que o operador apresentará a ela se aplicam diretamente a ela.

Também queremos observar que os seguintes casos, geralmente encontrados em materiais sobre o GDPR, não são critérios para a aplicabilidade do regulamento:

1. A cidadania de indivíduos com DP não afeta a aplicabilidade do GDPR (por exemplo, a presença de trabalhadores cidadãos da UE não significa que a organização se enquadre no GDPR);
2. A disponibilidade do site da organização na UE não significa a aplicabilidade automática do RGPD. Se a organização não realiza a criação de perfil e as estatísticas coletadas não estão vinculadas a usuários específicos, sua atividade não deve se enquadrar no RGPD.
3. Se o serviço for prestado fora da UE (por exemplo, um quarto de hotel localizado na Rússia pode ser reservado remotamente a partir da UE), a organização não deve estar sujeita ao RGPD, pois suas atividades não são realizadas na UE e não estão sujeitas à legislação da UE.

Se você ainda tiver dúvidas sobre a aplicabilidade do Regulamento à sua organização, entre em contato com o NIP Informzashita CJSC e nós o ajudaremos a determinar como e quais requisitos GDPR da sua organização devem ser observados.

Monitorando a conformidade com o GDPR na Rússia e as consequências da não conformidade

Para proteger os direitos dos sujeitos da DP em cada país da UE, foram criados órgãos estaduais para proteger os direitos dos sujeitos da DP (no texto do Regulamento - Autoridades de Supervisão, na prática geral, esses órgãos são chamados de Autoridades de Proteção de Dados (DPA)). Entre outros, o DPA possui os seguintes poderes, de acordo com a Parte 1 do Artigo 58 do RGPD:

• solicitar qualquer informação sobre o processamento de PD;
• realizar auditorias de segurança da DP;
• receber do operador e do processador acesso a todos os PDs e a todas as informações necessárias para realizar suas tarefas;
• obter acesso às instalações de qualquer operador e processador, incluindo qualquer equipamento e instalações de processamento de dados.

Procedimentos específicos de controle são estabelecidos pelos países da UE de forma independente. Em caso de violação das disposições do Regulamento DPA, entre outras coisas, de acordo com a Parte 2 do Artigo 58 do RGPD, eles podem:

• Emitir um aviso ou comentário ao operador ou processador de que o procedimento atual para o processamento de PD viola as disposições do regulamento;
• emitir uma ordem sobre a necessidade de atender à solicitação do sujeito, sobre a necessidade de informar o sujeito sobre uma violação do PD de segurança;
• exigir que o tratamento de dados pessoais seja alinhado com o regulamento dentro de um período especificado;
• impor uma restrição temporária ou permanente ao processamento , incluindo a proibição de processamento;
• emitir uma ordem para remover ou esclarecer a DP;
• impor uma multa administrativa juntamente com outras medidas ou em vez delas;
• exigir a suspensão da transferência de DP para um país terceiro ou para uma organização internacional.

O regulamento estabelece a necessidade de organizações localizadas fora da UE nomearem um representante na UE através do qual o DPA irá interagir com a organização, mas enfatiza-se que a responsabilidade pelo processamento da PD não é o representante, mas a própria organização.

O GDPR não divulga o procedimento para monitorar a conformidade com o regulamento por organizações localizadas fora da UE e não nomeia um representante, além de como as organizações localizadas fora da UE serão responsáveis ​​por violações das regras de processamento de dados pessoais.

Realizamos uma série de entrevistas com o DPA dos países da UE sobre o monitoramento do cumprimento do RGPD fora da UE. As respostas foram diferentes, mas no geral não houve clareza. Um representante da DPA fez uma reserva de que esses casos seriam regulamentados em cooperação com a DPA dos países onde o operador ou processador está localizado. A atual situação geopolítica e a posição do chefe de Roskomnadzor A. Zharov sobre a necessidade de conformidade das organizações russas com o GDPR duvidam que as tentativas de tal cooperação entre o DPA da UE e Roskomnadzor sejam produtivas.

Gostaria de chamar a atenção para o fato de que as multas multimilionárias especificadas no RGPD, que a maioria de todos os operadores de susto, são a barra superior. O GDPR diz que as multas (e outras sanções) impostas devem ser proporcionais à violação, efetivas e evitar violações repetidas. A quantidade específica de multas será determinada individualmente, levando em consideração um grande número de fatores. Uma multa multimilionária pode ser aplicada a uma organização se ela violar consciente e maliciosamente os direitos dos sujeitos, escondendo-a cuidadosamente e recebendo alto lucro com esse processamento de PD.

A consequência mais provável (mas não a única) e significativa da não conformidade com o GDPR para organizações russas que não possuem escritórios de representação ou subsidiárias na UE (assim como um representante designado para o processamento de PD) não é uma multa, mas bloquear o site da organização na UE ou em estados individuais Membros da UE. Apesar do fato de a possibilidade de bloquear um site não estar explicitamente declarada no GDPR, parece ser uma maneira natural de restringir o processamento de PD a fim de evitar violações repetidas, especialmente se não houver outras maneiras de influenciar o operador.

Por que as organizações russas devem cumprir o RGPD?

A implementação do RGPD tem outras vantagens para as organizações, além da oportunidade óbvia de evitar possíveis sanções pelo DPA da UE.

Primeiro de tudo, é um aumento no nível geral de segurança da informação e gerenciamento de dados na organização. Muitas vezes, no processo de garantir a conformidade com os requisitos de proteção de dados pessoais, uma organização cria pela primeira vez um registro de seus processos de negócios existentes, entende os fluxos de dados existentes, cria um diagrama de rede, descreve o sistema de proteção de informações existente. Essas ações se tornam a base para proteger não apenas o PD, mas também outros tipos de informações confidenciais, além de otimizar os processos de negócios.

Se a organização processar os dados pessoais transferidos a ela pela contraparte sujeita ao GDPR, a contraparte exigirá dela conformidade com os requisitos do GDPR para processadores de dados pessoais. A conformidade com o GDPR permitirá que o provedor de serviços expanda o mercado acessível para a prestação de serviços na UE, bem como forneça serviços para as organizações russas que se enquadram nos requisitos do GDPR.

O requisito de conformidade obrigatória com o GDPR pode vir da empresa-mãe quando o GDPR é aplicável a organizações de um grupo de empresas com as quais a organização russa troca dados pessoais. Porém, neste caso, é aconselhável, em primeiro lugar, esclarecer se os dados pessoais das pessoas localizadas na UE são realmente processados ​​e, em segundo lugar, se forem processados, estender os requisitos do regulamento aos processos em que esses dados pessoais são processados, e não a todo organização.

O GDPR estabelece a necessidade de respeitar os inúmeros direitos dos sujeitos em DP e garantir a transparência do processamento de DP em assuntos. Comparado à Lei Federal “Sobre Dados Pessoais”, o GDPR explica em mais detalhes como informar os sujeitos de DP sobre o processamento de sua DP, bem como como eles podem exercer seus direitos em relação a esse processamento. O reflexo dessas questões de processamento de dados pessoais na política de processamento de dados pessoais, bem como na coleta de informações sobre o processamento de dados pessoais, pode aumentar a transparência da organização e proporcionar maior confiança por parte de todos os sujeitos de dados pessoais.

Sumário

Se sua organização está localizada na Rússia, isso não significa que o GDPR não é aplicável a ela. Você pode verificar a aplicabilidade dos requisitos das Regras à sua organização usando os critérios acima.

O regulamento acaba de entrar em vigor e, de acordo com a Symantec, 80% das organizações na UE não atendem aos requisitos do RGPD. Ainda não está claro como a organização da UE pode ser sancionada pela UE por violações do RGPD, mas, no entanto, o regulamento deve ser levado a sério.

Em conclusão, queremos observar que, com uma probabilidade alta em futuro próximo de uniformidade com a legislação européia na legislação russa sobre o processamento de PD, uma expressão semelhante aos requisitos do GDPR será exibida.

Postado por Alisa Gorinova, Consultora Sênior, Departamento de Consultoria e Auditoria, Informzaschita. Se você ainda tiver dúvidas, estamos prontos para conversar com você. Aguardamos suas cartas para a.gorinova@infosec.ru.