В ЕС вступил в силу регламент 2016/679 «О защите физических лиц при обработке персональных данных и свободном обращении таких данных» (GDPR). Хотя принимали документ в Евросоюзе, его действие распространится на тысячи российских компаний и пользователей — всех, кто оказывает услуги европейским потребителям или сам пользуется европейскими сервисами. За невыполнение требований GDPR компаниям грозят серьезные штрафы, подчеркивает «КоммерсантЪ».
Главный вопрос, на который за это время должны были дать себе ответ российские компании: попадает ли наша деятельность в сферу регулирования этого регламента, и если да, то как не попасть на штрафные санкции (€20 млн, или 4% годового оборота компании)? Если российская компания получает доступ к данным о гражданах ЕС или иных лицах, находящихся на территории Евросоюза (независимо от их гражданства), регламент может коснуться ее напрямую. Для этого может быть достаточно просто наличия сайта на одном из европейских языков или возможности доставки товара в ЕС.
GDPR распространяется и на те компании, которые не находятся в ЕС, но мониторят поведение лиц (россиян в том числе) в Евросоюзе. Под эти критерии подпадают, например, российские компании, которые имеют в ЕС дочерние общества, интернет-магазины, сайты авиакомпаний, позволяющие осуществлять покупки с территории Евросоюза, сотовые операторы, которые отслеживают перемещения абонентов в роуминге, банки, которым приходит информация о транзакциях клиентов, находящихся в отпуске или командировке в ЕС. Под удар могут попасть также социальные сети, сервисы по распознаванию лиц и агентства контекстной рекламы.
«Дочки» иностранных компаний или компании, имеющие представительства за рубежом, сообщили, что приняли во внимание требования GDPR. Так, в РЖД «готовы к вступлению регламента в силу». Сбербанк внедряет единый процесс обработки и защиты персональных данных, соответствующий как российскому, так и новому европейскому законодательству.
Теперь можно ожидать принятия дополнительных (уточняющих) подзаконных актов и начала первых судебных разбирательств. Но, несмотря на потенциальные многомиллионные штрафы, целью принятия документа было не разорить бизнес, а защитить пользователя.