Регламент был принят в 2016 году вместо устаревшего Data Protection Directive от 1995 года. Документ унифицирует защиту персональных данных в Евросоюзе, то есть он имеет прямое действие в 28 странах.
Регламент требует от организаций хранения персональных данных в обезличенном и зашифрованном виде. При этом должна обеспечиваться защита таких данных, а передача информации третьим лицам запрещена. О любых утечках операторы обязаны уведомлять регулирующие органы в течение 72 часов. Само уведомление о правилах обработки такой информации должно передаваться пользователям "в понятном и доступном виде". Обработка персональных данных разрешена только после четкого утвердительного акта в письменной или устной форме.
2 Что изменится с 25 мая?С весны 2018 года вместо документа 1995 года, который имел рамочный характер, начнет действовать GDPR. Основное обновление – экстерриториальность регламента, то есть его действие распространяется на все компании, работающие с персональными данными граждан ЕС, вне зависимости от местонахождения компании. Требования особенно подчеркивают права субъектов персональных данных – условия пользовательских соглашений должны быть максимально понятными, а сами граждане ЕС имеют право требовать прекращения использования своих данных. При этом, если у пользователя не было альтернативы на несогласие на обработку информации, то соглашение считается недействительным. Прописано также согласие для детей: в возрасте до 13 или 16 лет (устанавливается странами ЕС) подобную авторизацию должны пройти родители или опекуны. В уже существующей директиве, как и в российском законодательстве, существует право на забвение, оно сохранится и с майскими изменениями.При этом операторы наделяются новыми обязанностями и ответственностью, а санкции за нарушения значительно ужесточаются.Например, регламент будет распространяться на российские компании, осуществляющие пассажирские перевозки, если к их услугам прибегнут граждане Евросоюза. Компании обязаны будут составить соответствующую пользовательскую форму и получить соглашение гражданина. Не менее важно, что организация должна обеспечить сохранность таких данных и удалить их в случае запроса субъекта. 3 Кому необходимо выполнять регламент?
Как отмечает Дмитрий Зыков, руководитель группы правовой защиты информации "Пепеляев Групп", ситуация с распространением регламента на российские компании остается неоднозначной. "Уже сейчас мы сталкиваемся с ситуациями, когда иностранные компании, присутствующие в России, начинают требовать соблюдения Регламента от российских партнеров не потому, что это прямо предусмотрено законодательством, а потому – что им так комфортнее", – комментирует он. Зыков подчеркивает, что новые требования коснутся деятельности филиалов и представительств российских компаний, расположенных в странах Евросоюза. Компании, которым интересна реализация их товаров и услуг напрямую частным лицам на территории Евросоюза, но которые не имеют там физического присутствия, также должны считаться с документом.
"Независимо от индустрии, в случае какой-либо связи с европейскими юрисдикциями желательно своевременно выявить триггеры потенциального применения GDPR и оценить соответствующие риски. Получение и обработка персональных данных граждан ЕС сами по себе не влекут применения GDPR к российской компании. Поэтому возможно избежать выполнения GDPR, частично изменив бизнес-процессы, или же просто ограничить применимость GDPR отдельными процессами компании", – подчеркивает Артем Дмитриев, старший юрист практики по оказанию услуг в области интеллектуальной собственности и информационных технологий PwC Legal.
4 Как будут наказывать нарушителей?Предельные размеры штрафа впечатляют, констатирует Зыков: санкции могут достигать €20 млн или до 4% годового оборота, в зависимости от того, какая сумма больше. "Наравне с такими средствами воздействия на операторов и обработчиков, как ограничение либо запрет обработки персональных данных, надзорные органы вправе налагать штрафы, размер которых должен определяться с учетом эффективности, пропорциональности, сдерживающего эффекта", – подчеркивает Зыков.
Дмитриев также добавляет, что ограничения по передаче данных третьим лицам европейским регулятором могут привести к существенному ограничению взаимодействия с партнерами из Евросоюза для российских компаний.
5 Подводные камниКак отмечает Дмитриев, "нерешённым остаётся и вопрос о соотношении требований GDPR и норм российского законодательства о хранении и предоставлении информации, введённых "законом Яровой". "Формальным поводом для применения GDPR к российским компаниям может стать даже использование ими общегрупповой электронной системы или приложения, в котором хранятся персональные данные лиц, находящихся в ЕС", – отмечает Дмитриев.
Первые отчеты по работе нового регламента запланированы на 25 мая 2020 года, в частности, в нем будет оценена передача персональных данных жителей Евросоюза другим странам. Тогда же закон может быть пересмотрен, "с учетом развития информационных технологий и с учетом состояния прогресса в области информации".
Полный текст General Data Protection Regulation (GDPR) доступен по ссылке.
Екатерина Борзенкова