Как на самом деле применяются штрафы GDPR к американским компаниям, не имеющим физического присутствия в ЕС?

GDPR является горячей темой, так как он начнет применяться с 25 мая 2018 года .

Одной из наиболее важных характеристик этого регламента является то, что он также применяется к компаниям за пределами ЕС :

Основное изменение, внесенное GDPR, касается территориальной сферы действия нового закона. GDPR заменяет Директиву ЕС о защите данных 1995 года, которая, как правило, не регулировала деятельность компаний, базирующихся за пределами ЕС. Однако теперь, даже если у американского бизнеса нет сотрудников или офисов в пределах ЕС, GDPR все еще может применяться. (..) GDPR налагает значительные штрафы на компании, которые не соблюдают требования.

Однако неясно, как ЕС может наложить штраф на компанию, которая не имеет физического присутствия в ЕС. Если предположить, что какая-то американская компания нарушает это правило и не имеет физического присутствия на территории ЕС, как ее можно оштрафовать?

Мое предположение состоит в том, что должен быть какой-то договор между США и ЕС, который можно было бы использовать, чтобы на самом деле можно было налагать штрафы.

Я нашел эту статью о защите конфиденциальности ЕС-США, которая, похоже, связана с GDPR. Кажется, есть некоторые проблемы, связанные с трансграничной передачей данных:

Хотя Соединенные Штаты активно работали с Европейской комиссией над стандартами безопасности данных, Комиссия не считает их адекватной юрисдикцией.

В любом случае, неясно, является ли эта программа недостающим звеном, которое я ищу.

Вопрос: Как на самом деле применяются штрафы GDPR к компаниям, не имеющим физического присутствия в ЕС?

@Philipp - да, если кто-то не знает что-то, что облегчает наложение этих штрафов для конкретного случая американских компаний, работающих в ЕС, вы правы: это дубликат. Я подожду немного и если не появится ответа, я удалю вопрос.
У большинства компаний будет офис в Европе, поскольку они хотят вести бизнес (например, продавать рекламное пространство) в Европе.
Почти все эти компании зарегистрированы в Ирландии, которая является членом ЕС. Они сделали это для целей налогообложения. Так что вопрос пустой.
GDPR не вступит в силу до 25 мая 2018 года, поэтому технически этот вопрос должен начинаться с вопроса «Как будут на самом деле применяться штрафы GDPR…».

Ответы (5)

Ваше предположение о соглашении между США и ЕС о наложении штрафов похоже на то, что это один из двух предполагаемых методов принудительного исполнения, второй из которых заключается в обязательном назначении представителей для обеспечения хотя бы некоторого физического присутствия организаций, не входящих в ЕС, в ЕС.

GDPR требует от организаций, не входящих в ЕС, которые обрабатывают данные ЕС, назначить представителя в ЕС, и этот представитель сможет получать штрафы или другие санкции, связанные с соблюдением нормативных требований. В случае, если это не сработает, согласно тексту GDPR, правоохранительные органы будут работать со странами, не входящими в ЕС, и международными организациями для разработки точных методов правоприменения, а не включать такие методы в сам GDPR.

Правоприменение за пределами ЕС: Глава 5 GDPR касается обработки данных странами или организациями, не входящими в ЕС. Соответствующий текст, касающийся исполнения штрафов, взят из статьи 50 , озаглавленной «Международное сотрудничество по защите персональных данных»:

(1) В отношении третьих стран и международных организаций Комиссия и надзорные органы должны предпринять соответствующие шаги для:

а) развивать механизмы международного сотрудничества для содействия эффективному применению законодательства о защите персональных данных;

b) оказывать международную взаимную помощь в обеспечении соблюдения законодательства о защите персональных данных, в том числе путем уведомления, направления жалоб, помощи в расследовании и обмена информацией, при условии соблюдения надлежащих гарантий защиты персональных данных и других основных прав и свобод;

c) привлекать соответствующие заинтересованные стороны к обсуждениям и мероприятиям, направленным на развитие международного сотрудничества в обеспечении соблюдения законодательства о защите персональных данных;

г) способствовать обмену и документированию законодательства и практики защиты персональных данных, в том числе по юрисдикционным конфликтам с третьими странами.

Вот и все. По сути, их метод правоприменения за пределами ЕС выглядит так: «мы разберемся». В зависимости от того, что означают «соответствующие шаги по развитию механизмов международного сотрудничества», кажется, что договоры или другие соглашения будут механизмом обеспечения соблюдения GDPR за пределами государств-членов.

Представители как средство обеспечения соблюдения: Статья 3 гласит, что сфера действия GDPR распространяется на любые данные, полученные из ЕС, независимо от того, обрабатываются ли они или используются там. Статья 27 касается назначения представителей для организаций, не входящих в ЕС, и применяется ко всем организациям, к которым применяется статья 3. Соответствующий текст из статьи 27:

(3) Представитель должен быть учрежден в одном из государств-членов, где находятся субъекты данных, персональные данные которых обрабатываются в связи с предложением им товаров или услуг или чье поведение отслеживается.

(4) Представитель должен быть уполномочен контролером или обработчиком обращаться в дополнение или вместо контролера или обработчика, в частности, к надзорным органам и субъектам данных, по всем вопросам, связанным с обработкой, в целях обеспечения соблюдение настоящего Регламента.

(5) Назначение представителя контролером или обработчиком не препятствует судебным искам, которые могут быть инициированы против самого контролера или обработчика.

По сути, организации, не входящие в ЕС, которые обрабатывают или контролируют данные ЕС, должны будут создать представительную/доверенную организацию по крайней мере в одном из государств-членов, где они являются источниками данных. Неудивительно, что этот представитель будет представлять организацию, не входящую в ЕС, во всех вопросах, касающихся регулирования. Согласно этому объяснению (и некоторым другим, которые я видел), это означает, что представитель будет подвергаться любым вопросам соблюдения, включая взыскание штрафов.

Предположительно, уже существуют механизмы, которые не позволяют организациям создать представителя, получить штраф, объявить представителя банкротом и просто создать нового представителя.

Что касается заявления представителей о банкротстве, не уверен, что это применимо, но в директиве указано, что штрафы применяются по группам компаний, и могут составлять, по-моему, до 5% от оборота группы . Это означает, насколько я понимаю, если Microsoft Germany нарушит закон, ЕС может оштрафовать Microsoft на сумму до 5% от мирового оборота Microsoft.
Даже если международные договоры когда-нибудь будут подписаны, штрафы будут применяться только после их подписания, и хотя я не думаю, что они могут распространяться за пределы границ, если только другие страны не требуют в своем законодательстве уважения к иностранным гражданам (ЕС) и предоставить местные средства для этого, но я думаю, что ЕС также должен будет защищать иностранных граждан изнутри (они, кажется, не думают об этом, но мне нужно прочитать регламент). Бюрократическим маневром здесь будет некая блокировка домена с разблокировкой сразу после уплаты штрафа на месте учреждению ЕС.
По какой причине страна, не входящая в ЕС, должна хотеть сотрудничать с международными регулирующими органами против своих собственных граждан? И даже если GDPR требует, чтобы компании имели представителей в Европе, это просто меняет вопрос о том , как это будет обеспечиваться.
@Gnudiff Но они могут оштрафовать только «представителя». Конечно, по законодательству ЕС штраф рассчитывается от годового мирового оборота (4%, а не 5%), но когда для «представителя» наступает банкротство, какой механизм используется для получения доступа к материнской компании?
@JorgeAmVF Действительно, GDPR распространяется только на граждан ЕС.
@flarn2006 Точно! Несоблюдение GDPR в более широком смысле, конечно, также означает, что вы не назначите представителя. Чтобы по-настоящему ответить на этот вопрос, я считаю, что вам нужно посмотреть за пределы регулирования GDPR, как обрабатываются аналогичные международные штрафы / санкции.
Возьмем , к примеру , эти новостные сайты, которые блокируют доступ гражданам ЕС . Предположим , у них нет никаких «представителей» или дочерних компаний в ЕС (я не знаю). На каком законном основании вы бы подали на них в суд? Конечно, могут быть введены санкции, например, блокировка доступа к их веб-сайтам из ЕС (уже довольно радикальные/маловероятные для небольших компаний). Кажется немного обратным, чтобы предотвратить это, добровольно блокируя доступ пользователям из ЕС.
В прямом ответе мне из офиса генерального прокурора Австралии говорится, что правительство Австралии не будет соблюдать законы, противоречащие действующему законодательству Австралии. Австралийский закон о конфиденциальности применяется только к предприятиям Австралии, а не к GPDR. В настоящее время правительство Австралии не будет налагать штрафы на австралийский бизнес. Что касается принуждения представителя в ЕС, то, опять же, в АС это невозможно.
Это не совсем отвечает на вопрос. Как они обеспечивают назначение представителя в первую очередь, если компания не присутствует? Например, если крупная северокорейская компания начнет собирать информацию о пользователях из ЕС, я почти уверен, что им будет нелегко это сделать.
@rkagerer: Это довольно просто. Они не делают. (Вы случайно выбрали Северную Корею в качестве примера. Это делает это очевидным.)

Чтобы дополнить отличный ответ Гитера, процедуры сбора на международном уровне уже существуют через типичные судебные каналы. Короче говоря, судья, выписывающий штраф в ЕС, направляет дело судье в стране компании, и последний затем решает, применять ли взыскание или нет.

Оштрафованные компании могут бороться с коллекцией по разным причинам, точно так же, как частные лица будут бороться с запросом об экстрадиции. И вы можете поспорить, что некоторые будут.

Выиграют ли они на самом деле, можно только догадываться, пока не появится прецедентное право по этому вопросу. Но вообще говоря, решения ЕС имеют ненулевой шанс быть приведенными в исполнение во многих странах. ЕС не является какой-то теократией, требующей от иностранных компаний соблюдать законы шариата, или диктатурой, выносящей смертные приговоры левым и центральным. Члены ЕС имеют хорошую репутацию в большинстве стран мира, и их системы правосудия в основном пользуются уважением.

Взаимность также срабатывает: если судьи страны не обеспечивают исполнение решений ЕС, вы можете поспорить, что судьи ЕС не будут слишком заинтересованы в исполнении своих решений; наоборот. (Кстати говоря, в конкретном случае США судьи ЕС не очень любят штрафные санкции.)

С другой стороны, GDPR не совсем то же самое, что проблемные иностранные законы, которые привели к принятию Закона о РЕЧИ в США, но он достаточно похож, чтобы не казалось невероятным, что США установили бы аналогичный щит.
AU уже заявил, что НЕ БУДЕТ применять решения GPDR для предприятий AU, которые управляются из Австралии.

Статья 50 подразумевает, что в третьих странах невозможно принудить к соблюдению, но будет диалог с властями третьей страны для поощрения соблюдения.

Например:

В отношении третьих стран и международных организаций Комиссия и надзорные органы должны предпринять соответствующие шаги для:

(a) разработать механизмы международного сотрудничества для содействия эффективному применению законодательства о защите персональных данных;

Подразделы б)-г) имеют аналогичные настроения.

Другими словами, правительство США могло бы оградить свои компании от этого гигантского регулирования, если бы захотело.
Можно было бы попробовать, за последствиями было бы интересно проследить. Я предполагаю, что после этого штраф будет применен на местном уровне, и компания либо будет вынуждена уйти с местного рынка, либо будет действовать на новых условиях.
@JonathanReez: И тогда ЕС мог бы запретить всем американским компаниям без присутствия ЕС вести бизнес в ЕС. Часто можно превратить Закон в Политику, но существует риск того, что вы превратите Закон в Политику.
@JonathanReez Не совсем, все это обсуждение относится к мифической американской компании, «физически не присутствующей в Европе». На самом деле их было бы не так много, уж точно не очень крупных, и я сомневаюсь, что они находятся в центре внимания GDPR. Между прочим, я не думаю, что формулировка поиска сотрудничества связана с наложением штрафов.

Я полагаю, что, по крайней мере, в Великобритании соответствующий орган мог бы получить постановление суда, в котором высшее руководство компании будет нести личную ответственность. Если компания не выполнит требования, то, когда кто-либо из этих лиц приедет в Европу, им грозит арест за неуважение к суду.

В прошлом США приказывали банкам и компаниям, выпускающим кредитные карты, прекратить вести дела с целевыми организациями, такими как Wikileaks и игорные компании. Я не знаю, сможет ли ЕС сделать это сегодня, но я уверен, что он мог бы создать регулирование, позволяющее сделать это, если многие иностранные компании решат стать негодяями.

Преднамеренное ограничение торговли является прямым нарушением нескольких соглашений о свободной торговле. ЕС в любом случае не будет беспокоиться ни о ком, кроме огромного предприятия, поскольку затраты того не стоят. Вы можете просто объявить себя банкротом через 5 минут после начала нового бизнеса, который купил клиентов у старого. ;-)
@Dawesi Это не ограничение торговли, если цель нарушает закон. После этого все становится сложнее, но если бы соблюдение законодательства о конфиденциальности было нарушением правил ВТО, то я уверен, что мы бы уже слышали об этом WRT Privacy Shield.

Приведение в исполнение штрафов ЕС, наложенных в соответствии с GDPR, будет осуществляться с использованием международного права — по сути, суды США признают законность штрафа ЕС и применяют его (для этого может потребоваться подача вторичного иска в суд США).

Моя компания предоставляет услуги представителя, упомянутые выше, когда мы выступаем в качестве представителя ЕС для клиента, не входящего в ЕС, и я был бы рад обсудить эту роль со всеми, кому интересно.

Я нашел эту статью , которая актуальна.

«По сути, суды США признают законность штрафа ЕС и применяют его». Хотя зачем им это делать?
И зачем фирме, не входящей в ЕС, создавать репрезентативное представительство перед ЕС, чтобы в первую очередь соблюдать правила? Если они не предоставят такого представителя в ЕС, что тогда? Какова их мотивация нанять вас?
Как на самом деле применяются штрафы GDPR к американским компаниям, не имеющим физического присутствия в ЕС?
СпросиСетьПолитика конфиденциальности1y, 0v