2 Апреля, 2018

ФИФА2018 и GDPR

Валерий Комаров



      Очень интересный кейс на предмет применимости GDPR в России – оформление Паспорта болельщиков граждан ЕС для их участия в Чемпионате мира по футболу ФИФА -2018.
      Ключевыми моментами будут:

1.                  Это полностью российская инициатива. ФИФА этого не требует.
2.                  Паспорт болельщика (далее – Паспорт)  оформляется не только для обеспечения правопорядка и безопасности. Он предоставляет услуги по проезду общественным транспортом, по безвизовому въезду в страну, экскурсии.
3.                  Оформление Паспорта для граждан ЕС проводится через российский сайт https://www.fan-id.ru , на котором предусмотрен интерфейс на языках стран ЕС (английский, немецкий, французский и т.д.).
4.                  Услуга по оформлению Паспорта оказывается на территории ЕС. Граждане ЕС могут получить оформленные Паспорта через почтовое отправление, через визовые центры VFS Global, через зарубежные центры Россотрудничества.
5.                  Сайт зарегистрирован на коммерческую организацию.
6.                  Собираются биометрические ПДн граждан ЕС.
7.                  Вся обработка персональных данных граждан ЕС ведется на территории РФ.
8.                  Паспорт –это бланк ДОКУМЕНТА, физически существующий и осязаемый.
9.                  РФ  - это страна не входящая в ЕС.
10.               На сайте отсутствует Политика обработки ПДн.
11.               Обработку ПДн ведет коммерческая организация по поручению Минкомсвязи.


       Итог: мы видим процесс оказания безвозмездных услуг гражданам ЕС российским юридическим лицом, при котором граждане ЕС передают с территории ЕС в РФ свои персональные данные через специально созданный для граждан ЕС сайт. Услуга заключается в оформлении физически существующего документа. Услуга заканчивается получением документа гражданином ЕС на территории ЕС.

       Смотрим требования GDPR для стран, не являющихся членами ЕС:
1.                  Интерфейс сайта на языках стран ЕС.
2.                  Компании, не учреждённые в Евросоюзе, но обрабатывающие персональные данные находящихся в Евросоюзе субъектов данных, если их деятельность по обработке данных связана с предложением товаров и услуг таким субъектам данных в Евросоюзе, вне зависимости от того, требуется ли оплата от субъекта данных.
       На мой взгляд, полное совпадение критериев GDPR с особенностями деятельности российского юрлица по оформлению Паспортов для граждан ЕС.
И возникает самая главная интрига: а что же ЕС может сделать этому российскому юрлицу?
В реальности у Еврокомиссии будет 2 месяца, что бы серьезно повлиять на репутацию РФ при проведении Чемпионата мира.  И есть все предпосылки, что ЕС воспользуется такой возможностью. Особенно с учетом серьезного недовольства проигрышем в выборе страны-организатора ФИФА-2018 Великобританией, а с учетом острейшего дипломатического кризиса между Великобританией и РФ (мы выслали в 2 раза больше дипломатов чем наших).

      Возможные варианты:
1.                  Запрет на трансграничную передачу ПДн в РФ.
2.                  Признанием РФ страной-изгоем (по теме GDPR).
3.                  Запрет европейским провайдерам предоставлять доступ на территории ЕС к сайту сайт https://www.fan-id.ru .
4.                  Штрафы на организации, сотрудничающие с российским юрлицом и находящиеся на территории ЕС (визовые центры, центры россотрудничества).
5.                  Массовый запрос на предоставления права «на забвение».


  
Что интересно, так это нарушение еще и 152-ФЗ.
«2. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.»
И в реестре операторов РКН указана информация от 2013 года, совершенно не отражающая реалии.

* Все новости блога на публичном Telegram-канале   t.me/ruporsecurite