588303
В апреле 2016 года Европейским парламентом после четырех лет обсуждений был принят Общий регламент [1] по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 года или GDPR — General Data Protection Regulation).
25 мая 2018 года начнется применение данного Регламента как обязательного нормативно-правового документа, подлежащего прямому применению в государствах-членах Евросоюза. Регламент GDPR заменит ныне действующую Директиву Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных.
Регламент GDPR применим как к организациям государств-членов ЕС, так и к организациям за его пределами в том случае, если речь идет об обработке персональных данных граждан Евросоюза.
Регламент GDPR устанавливает цели, принципы, общие правила защиты физических лиц в отношении обработки персональных данных, их свободного перемещения в рамках Евросоюза, включая трансграничную передачу данных, а также закрепляет принципы обработки персональных данных.
Регламент распространяется на такие категории субъектов:
- Организации, учрежденные в Европейском союзе и осуществляющие обработку персональных данных или контролирующие такую обработку.
- Иные организации, осуществляющие обработку персональных данных европейских граждан в связи с реализацией товаров или услуг [2].
- Иные организации, осуществляющие мониторинг поведения европейских граждан [3] .
Таким образом, Регламент применяется не только к организациям, учрежденным на территории ЕС, но и к другим организациям, которые непосредственно работают на европейском рынке. Например, к таким организациям можно отнести российские интернет-сервисы, предлагающие услуги на различных языках и принимающие в качестве оплаты евро, а также дата-центры, расположенные на территории России и хранящие персональные данные европейцев.
Из этого следует, что после 25 мая 2018 года российские компании также окажутся в сфере действия Регламента GDPR. Согласно требованиям Регламента GDPR такие компании должны назначить своего представителя в Евросоюзе. Если у российских операторов персональных данных (телекоммуникационных компаний, интернет-компаний), к примеру, предоставляющих услуги через интернет для лиц в странах Евросоюза, есть представительства и филиалы в странах Евросоюза, то функции представителя могут быть возложены на них.
Нормы Регламента GDPR касаются всех данных с персонифицированной информацией, то есть сведений об организациях и физических лицах, в том числе и маркетинговых данных.
Регламент GDPR требует, чтобы персональные данные обрабатывались на законных основаниях. Таким основанием может быть заключенный контракт либо согласие субъекта на их обработку. Это согласие должно быть дано явным образом, написано простым, понятным (скорее всего, английским) языком, а также должно содержать четкое и подробное описание того, какие именно данные, с какой целью, каким образом и в течение какого времени собираются и обрабатываются.
Регламент GDPR налагает на компании определенное количество требований, основное из которых – необходимость в течение 72 часов уведомлять контролирующие органы об утечке или хищении персональных данных. Попытки утаить этот факт влекут наложение штрафа.
За нарушение норм и требований Регламента GDPR установлены штрафы, максимальная сумма доходит до 20 млн долларов либо 4% с оборота денежных средств организации (выбирают наибольшее значение). Подобные санкции могут наложить за крупные нарушения, например, такие как обработка персональной информации без получения согласия пользователей, дискредитация конфиденциальных данных.
В новых нормах Регламента GDPR заложен гибкий подход к штрафам, предполагающий несколько уровней. Эти правила будут применяться и к облачным сервисам.
В отношении российских компаний введение требований GDPR коснется в первую очередь:
- финансовых компаний;
- туристического бизнеса;
- ИТ-компаний;
- компаний-перевозчиков.
Ознакомиться с General Data Protection Regulation (GDPR) можно по адресу https://gdpr-info.eu/
[1] Регламент — один из источников вторичного права Европейского союза (наряду с директивами, решениями, рекомендациями и заключениями). Постановление становится частью законодательства каждой страны ЕС немедленно по вступлении в силу. В отличие от решений, направленных на конкретные государства или лица, постановление универсально.
[2] В комментариях к Регламенту разъяснено, что пассивный доступ к сайту или контактным данным организации недостаточен. Необходимо, чтобы организация прямо «предусматривала» возможность реализации товаров или услуг европейским гражданам (язык, платежи в евро и так далее).
[3] Под таким мониторингом предлагается понимать «отслеживание» поведения субъектов персональных данных в сети интернет, включая последующую их обработку для составления «профилей» пользователей.
