GDPR является горячей темой, так как он начнет применяться с 25 мая 2018 года .
Одной из наиболее важных характеристик этого регламента является то, что он также применяется к компаниям за пределами ЕС :
Основное изменение, внесенное GDPR, касается территориальной сферы действия нового закона. GDPR заменяет Директиву ЕС о защите данных 1995 года, которая, как правило, не регулировала деятельность компаний, базирующихся за пределами ЕС. Однако теперь, даже если у американского бизнеса нет сотрудников или офисов в пределах ЕС, GDPR все еще может применяться. (..) GDPR налагает значительные штрафы на компании, которые не соблюдают требования.
Однако неясно, как ЕС может наложить штраф на компанию, которая не имеет физического присутствия в ЕС. Если предположить, что какая-то американская компания нарушает это правило и не имеет физического присутствия на территории ЕС, как ее можно оштрафовать?
Мое предположение состоит в том, что должен быть какой-то договор между США и ЕС, который можно было бы использовать, чтобы на самом деле можно было налагать штрафы.
Я нашел эту статью о защите конфиденциальности ЕС-США, которая, похоже, связана с GDPR. Кажется, есть некоторые проблемы, связанные с трансграничной передачей данных:
Хотя Соединенные Штаты активно работали с Европейской комиссией над стандартами безопасности данных, Комиссия не считает их адекватной юрисдикцией.
В любом случае, неясно, является ли эта программа недостающим звеном, которое я ищу.
Вопрос: Как на самом деле применяются штрафы GDPR к компаниям, не имеющим физического присутствия в ЕС?
Ваше предположение о соглашении между США и ЕС о наложении штрафов похоже на то, что это один из двух предполагаемых методов принудительного исполнения, второй из которых заключается в обязательном назначении представителей для обеспечения хотя бы некоторого физического присутствия организаций, не входящих в ЕС, в ЕС.
GDPR требует от организаций, не входящих в ЕС, которые обрабатывают данные ЕС, назначить представителя в ЕС, и этот представитель сможет получать штрафы или другие санкции, связанные с соблюдением нормативных требований. В случае, если это не сработает, согласно тексту GDPR, правоохранительные органы будут работать со странами, не входящими в ЕС, и международными организациями для разработки точных методов правоприменения, а не включать такие методы в сам GDPR.
Правоприменение за пределами ЕС: Глава 5 GDPR касается обработки данных странами или организациями, не входящими в ЕС. Соответствующий текст, касающийся исполнения штрафов, взят из статьи 50 , озаглавленной «Международное сотрудничество по защите персональных данных»:
(1) В отношении третьих стран и международных организаций Комиссия и надзорные органы должны предпринять соответствующие шаги для:
а) развивать механизмы международного сотрудничества для содействия эффективному применению законодательства о защите персональных данных;
b) оказывать международную взаимную помощь в обеспечении соблюдения законодательства о защите персональных данных, в том числе путем уведомления, направления жалоб, помощи в расследовании и обмена информацией, при условии соблюдения надлежащих гарантий защиты персональных данных и других основных прав и свобод;
c) привлекать соответствующие заинтересованные стороны к обсуждениям и мероприятиям, направленным на развитие международного сотрудничества в обеспечении соблюдения законодательства о защите персональных данных;
г) способствовать обмену и документированию законодательства и практики защиты персональных данных, в том числе по юрисдикционным конфликтам с третьими странами.
Вот и все. По сути, их метод правоприменения за пределами ЕС выглядит так: «мы разберемся». В зависимости от того, что означают «соответствующие шаги по развитию механизмов международного сотрудничества», кажется, что договоры или другие соглашения будут механизмом обеспечения соблюдения GDPR за пределами государств-членов.
Представители как средство обеспечения соблюдения: Статья 3 гласит, что сфера действия GDPR распространяется на любые данные, полученные из ЕС, независимо от того, обрабатываются ли они или используются там. Статья 27 касается назначения представителей для организаций, не входящих в ЕС, и применяется ко всем организациям, к которым применяется статья 3. Соответствующий текст из статьи 27:
(3) Представитель должен быть учрежден в одном из государств-членов, где находятся субъекты данных, персональные данные которых обрабатываются в связи с предложением им товаров или услуг или чье поведение отслеживается.
(4) Представитель должен быть уполномочен контролером или обработчиком обращаться в дополнение или вместо контролера или обработчика, в частности, к надзорным органам и субъектам данных, по всем вопросам, связанным с обработкой, в целях обеспечения соблюдение настоящего Регламента.
(5) Назначение представителя контролером или обработчиком не препятствует судебным искам, которые могут быть инициированы против самого контролера или обработчика.
По сути, организации, не входящие в ЕС, которые обрабатывают или контролируют данные ЕС, должны будут создать представительную/доверенную организацию по крайней мере в одном из государств-членов, где они являются источниками данных. Неудивительно, что этот представитель будет представлять организацию, не входящую в ЕС, во всех вопросах, касающихся регулирования. Согласно этому объяснению (и некоторым другим, которые я видел), это означает, что представитель будет подвергаться любым вопросам соблюдения, включая взыскание штрафов.
Предположительно, уже существуют механизмы, которые не позволяют организациям создать представителя, получить штраф, объявить представителя банкротом и просто создать нового представителя.
Чтобы дополнить отличный ответ Гитера, процедуры сбора на международном уровне уже существуют через типичные судебные каналы. Короче говоря, судья, выписывающий штраф в ЕС, направляет дело судье в стране компании, и последний затем решает, применять ли взыскание или нет.
Оштрафованные компании могут бороться с коллекцией по разным причинам, точно так же, как частные лица будут бороться с запросом об экстрадиции. И вы можете поспорить, что некоторые будут.
Выиграют ли они на самом деле, можно только догадываться, пока не появится прецедентное право по этому вопросу. Но вообще говоря, решения ЕС имеют ненулевой шанс быть приведенными в исполнение во многих странах. ЕС не является какой-то теократией, требующей от иностранных компаний соблюдать законы шариата, или диктатурой, выносящей смертные приговоры левым и центральным. Члены ЕС имеют хорошую репутацию в большинстве стран мира, и их системы правосудия в основном пользуются уважением.
Взаимность также срабатывает: если судьи страны не обеспечивают исполнение решений ЕС, вы можете поспорить, что судьи ЕС не будут слишком заинтересованы в исполнении своих решений; наоборот. (Кстати говоря, в конкретном случае США судьи ЕС не очень любят штрафные санкции.)
Статья 50 подразумевает, что в третьих странах невозможно принудить к соблюдению, но будет диалог с властями третьей страны для поощрения соблюдения.
Например:
В отношении третьих стран и международных организаций Комиссия и надзорные органы должны предпринять соответствующие шаги для:
(a) разработать механизмы международного сотрудничества для содействия эффективному применению законодательства о защите персональных данных;
Подразделы б)-г) имеют аналогичные настроения.
Я полагаю, что, по крайней мере, в Великобритании соответствующий орган мог бы получить постановление суда, в котором высшее руководство компании будет нести личную ответственность. Если компания не выполнит требования, то, когда кто-либо из этих лиц приедет в Европу, им грозит арест за неуважение к суду.
В прошлом США приказывали банкам и компаниям, выпускающим кредитные карты, прекратить вести дела с целевыми организациями, такими как Wikileaks и игорные компании. Я не знаю, сможет ли ЕС сделать это сегодня, но я уверен, что он мог бы создать регулирование, позволяющее сделать это, если многие иностранные компании решат стать негодяями.
Приведение в исполнение штрафов ЕС, наложенных в соответствии с GDPR, будет осуществляться с использованием международного права — по сути, суды США признают законность штрафа ЕС и применяют его (для этого может потребоваться подача вторичного иска в суд США).
Моя компания предоставляет услуги представителя, упомянутые выше, когда мы выступаем в качестве представителя ЕС для клиента, не входящего в ЕС, и я был бы рад обсудить эту роль со всеми, кому интересно.
Я нашел эту статью , которая актуальна.
Филипп
Алексей
Мартин Шредер
Джонатан Розенн
Пол Джонсон
Стивен Джерис