В 2015 году Европейский союз (ЕС) анонсировал масштабную программу, призванную улучшить работу единого европейского рынка, и особенно его цифрового сегмента. Так, 6 мая 2015 года было опубликовано Сообщение Европейской Комиссии «Стратегия Цифрового Единого Рынка для Европы» (Communication A Digital Single Market Strategy for Europe), а 10 января 2017 года Еврокомиссия опубликовала Сообщение «Обмен и охрана персональных данных в глобализованном мире» (Communication Exchanging and Protecting Personal Data in a Globalised World), которое посвящено трансграничной передаче данных и международным инструментам охраны.

Элементом вышеуказанной программы является новый регламент ЕС о защите персональных данных – General Data Protection Regulation (GDPR) – принятый 27 апреля 2016 года, вступивший в силу 25 мая 2018 года и формирующий обязательные к соблюдению единые принципы и подходы как для государств-членов ЕС, так и для иных государств, являющихся членами Европейской ассоциации свободной торговли (ЕАСТ) и имплементировавших в свои правовые системы нормы GDPR: Норвегия, Исландия, Лихтенштейн.

Территориальная сфера применения непосредственно закреплена в ст.3 GDPR и ограничивается переделами ЕС/ЕАСТ, однако действие GDPR распространяется на контролёров (controller) и обработчиков (processor), находящихся за пределами ЕС/ЕАСТ. В целях обеспечения того, чтобы физические лица не были лишены защиты, на которую они имеют право в соответствии с GDPR, обработка персональных данных субъектов в ЕС/ЕАСТ контролёром или обработчиком, которые не учреждены в ЕС/ЕАСТ, подпадает под действие GDPR в случаях, когда:

(1) обработка персональных данных субъектов в ЕС/ЕАСТ связана с предложением товаров или услуг субъектам, находящимся на территории ЕС/ЕАСТ, независимо от того, связано это с их с оплатой или нет. При этом GDPR устанавливает, что признаками, которые с очевидностью свидетельствуют о намерении предлагать товары или услуги субъектам в ЕС/ЕАСТ, являются:

использование языка или валюты, обычно используемой в одном или нескольких государствах-членах ЕС/ЕАСТ, с возможностью заказывать товары и услуги на этом языке;

упоминание потребителей или пользователей, которые находятся в Евросоюзе (п.(23) Преамбулы GDPR).

(2) обработка персональных данных субъектов, находящихся в ЕС/ЕАСТ, связана с мониторингом действий/поведения субъектов, постольку, поскольку их действия совершаются на территории ЕС/ЕАСТ. Для того, чтобы определить, подпадает ли под действие GDPR деятельность по обработке данных для целей мониторинга действий субъекта, устанавливается факт того, осуществляют ли физические лица деятельность в интернете, в том числе потенциальная возможность последовательного использования технологии обработки персональных данных и т.д. (п.(24) Преамбулы GDPR);

(3) обработка персональных данных субъектов, находящихся в ЕС/ЕАСТ, осуществляется по поручению европейского оператора и (или) обработчика в случае заключения между ними и российской организацией соглашения о поручении обработки персональных данных (Controller-To-Processor Agreement, ст.28 GDPR).

GDPR распространяется на российских операторов в отношении обработки персональных данных (телекоммуникационные компании, интернет-компании, компании в сфере дистанционной торговли товарами, работами и услугами) как на организации, не учреждённые в ЕС/ЕАСТ, но обрабатывающие персональные данные находящихся в ЕС/ЕАСТ субъектов, если их деятельность по обработке данных связана с предложением товаров и услуг таким субъектам данных в ЕС/ЕАСТ, вне зависимости от того, требуется ли оплата от субъекта, либо связана с мониторингом деятельности субъектов постольку, поскольку она осуществляется в ЕС/ЕАСТ.

При этом определение степени применимости норм GDPR в отношении тех или иных процессов обработки персональных данных российских организаций, в условиях отсутствия релевантной и непротиворечивой правоприменительной и судебной практики, во многом остается предметом частных экспертных оценок, что порождает существенную правовую неопределённость и корреспондирующие ей риски юридического, финансового, репутационного и иного характера. Например, поручение обработки персональных данных субъектов, находящихся на территории РФ, оформленное в виде Controller-to-Processor Agreement с учетом требований и механизмов GDPR между российской и европейской организациями существенно повышает риск того, что оно будет рассматриваться в ЕС/ЕАСТ как подпадающее под регулирование GDPR.

10 октября 2018 года Россия наряду с 19 государствами-членами Совета Европы подписала документ, направленный на усиление защиты персональных данных на международном уровне.

Конвенция, известная также как «Конвенция 108», является в настоящее время единственным глобальным международным договором в сфере защиты персональных данных, носящим юридически обязывающий характер. Положения Конвенции разработаны в качестве ответа на проблемы, порождаемые использованием новых информационных и коммуникационных технологий.
Наряду с этим новая редакция Конвенции предусматривает повышение ответственности операторов персональных данных и прозрачность процессов обработки сведений.