С 25 мая 2018 года на территории Европейского союза начинает действовать Общий регламент по защите данных (General Data Protection Regulation GDPR). Документ был одобрен Европейским парламентом в апреле 2016 года, его цель &mdash повысить уровень защиты персональных данных внутри стран союза. При этом он имеет экстерриториальный характер, то есть распространяется и на компании из стран, не входящих в Евросоюз, в том числе из России. Под действие регламента попадают компании из абсолютно разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. Это могут быть интернет-компании, компании банковской, туристической, транспортной, горнодобывающей отраслей, а также компании металлургической промышленности, игровой индустрии, платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т.п.). GDPR обязаны исполнять все те, кто обрабатывает персональные данные, имеет веб-сайт c регистрацией или мобильные приложения, поддерживающие хотя бы один язык любой страны &mdash члена Евросоюза, или позволяет совершать платежи в валютах союза. GDPR защищает права не только граждан Евросоюза, но и резидентов других стран, находящихся на его территории. Нормы регламента однозначно придется выполнять российским дочкам европейских компаний. Согласно GDPR, информация о правилах обработки данных должна быть предоставлена субъекту данных в понятном и доступном виде. Согласие на обработку личной информации не должно быть секундной процедурой нажатия кнопки Согласен: подтверждение должно быть четким утвердительным актом в письменной или устной форме. Кроме того, бездействие пользователя, например, при совершении каких-то действий на сайте не может считаться согласием. При этом у пользователя должна быть возможность отказаться от передачи данных без ущерба для совершения действия. Сам процесс обработки должен стать прозрачным: пользователь должен иметь возможность отследить, что происходит с его личной информацией, иметь возможность удалить ее. Компания, которая хранит персональные данные, должна обеспечить должный уровень их защиты от утечки. Процедура сбора должна включать в себя обезличивание информации: данные должны быть связаны не с их владельцем, а с псевдонимом. Кроме того, данные должны зашифровываться, а ключом к коду должны обладать только уполномоченные стороны. Передача данных третьим лицам запрещена, компании обязаны информировать граждан о любой утечке информации, в том числе, в случае хакерских атак. Компании, обрабатывающие персональные данные систематически и в больших масштабах, должны иметь сотрудника, ответственного за безопасность данных (data protection officer). Какие именно действия и решения должны быть внедрены компаниями для выполнения регламента, в большинстве случаев в документе не уточняется. Сфера действия GDPR распространяется не только на организации, осуществляющие обработку персональных данных в странах Евросоюза, но и на любые другие организации за пределами союза, предлагающие товары и услуги любым гражданам на территории его стран. Представитель Роскомнадзора отметил, что на территории России операторы персональных данных должны следовать закону О персональных данных и требования GDPR не распространяются на них. Россия не является государством - участником ЕС и участницей международных договоров с союзом, устанавливающих порядок и условия обработки персональных данных российскими операторами, - пояснил представитель Роскомнадзора. Однако российские компании, работающие в странах ЕС, например, при обработке персональных данных при предоставлении товаров и услуг обязаны учитывать требования регламента. Глава Роскомнадзора Александр Жаров в ноябре 2017 года говорил, что применимость GDPR на территории России можно будет обсуждать после вступления законодательства в силу, когда будет накоплен какой-то правоприменительный опыт. Несоблюдение GDPR ведет к административным штрафам в размере до &euro 20 млн (1,38 млрд руб. по текущему курсу), или 4% годового оборота. Причем процент может быть посчитан от оборота международной группы компаний, а не отдельного юрлица, отметил эксперт в области защиты персональных данных PwC в России - Дмитрий Бирюков. Размер штрафа будет определяться индивидуально (дела будут рассматривать Европейский суд и Европейский суд по правам человека).
Источник: РБК.