Какие украинские компании могут попасть под новое регулирование? Те, которые продают свои товары или услуги физлицам на территории ЕС (онлайн-магазины, туроператоры, транспортные компании и др.). Кто в процессе деятельности получает доступ к персональным данным потребителей в ЕС (финансовые, телеком-компании, IT-аутсорсеры и т.п.), отслеживает поведение или осуществляет мониторинг поведения граждан ЕС (например, совершает операции с cookie-файлами). Кто проводит маркетинговые исследования, охватывающие потребителей в ЕС.
Юридически, GDPR - это постановление, с помощью которого Европейский парламент, Совет Европейского союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в ЕС. Оно вступает в силу после двухлетнего переходного периода, не требует от правительств стран ЕС никаких изменений в локальных законодательствах, т.к. является непосредственно обязательным к исполнению.
Основная цель GDPR - гарантия защиты персональных данных граждан ЕС без привязки к тому, на территории какой страны они хранятся. Поэтому главное требование к компаниям, которые работают с данными граждан ЕС, - надежно защищать конфиденциальность этих данных. При этом документ не обязывает компании внедрять какие-либо конкретные приемы и методы защиты данных - они сами выбирают систему обеспечения безопасности.
Новый регламент предполагает:
- наличие представителя компании на территории Евросоюза, который должен выражать ее интересы в процессе взаимодействия с регулятором (если начато расследование, а такого представителя нет, то это станет отягчающим обстоятельством для компании);
- субъект персональных данных может забрать свое согласие на их использование; под каждую отдельную цель использования данных должно существовать отдельное согласие, общие документы признаются недействительными;
- согласие несовершеннолетних должно подкрепляться согласием родителей;
- организации не позднее 72 часов обязаны сообщать регулятору о случаях взлома;
и др.
Для нарушителей предусмотрены штрафы, полномочия по назначению конкретных сумм переданы органам власти государств-членов ЕС. Максимальный штраф - 20 млн евро или 4% годового дохода.
Эксперты отмечают, что GDPR является довольно сложным регулированием. Не исключено, что многие компании (включая зарегистрированные в самом ЕС) не будут спешить с его внедрением, действуя по принципу «пока гром не грянет». Но учитывая сегодняшний повышенный интерес к теме защиты персональных данных, реализация GDPR может стать для бизнеса конкурентным преимуществом. Этот шаг позволит позиционировать себя как приверженца передового подхода к хранению и обработке персональных данных клиентов.
