Регламент был принят в 2016 году вместо устаревшего Data Protection Directive от 1995 года. Документ унифицирует защиту персональных данных в Евросоюзе, то есть он имеет прямое действие в 28 странах.
Регламент требует от организаций хранения персональных данных в обезличенном и зашифрованном виде. При этом должна обеспечиваться защита таких данных, а передача информации третьим лицам запрещена. О любых утечках операторы обязаны уведомлять регулирующие органы в течение 72 часов. Само уведомление о правилах обработки такой информации должно передаваться пользователям "в понятном и доступном виде". Обработка персональных данных разрешена только после четкого утвердительного акта в письменной или устной форме.
Как отмечает Дмитрий Зыков, руководитель группы правовой защиты информации "Пепеляев Групп", ситуация с распространением регламента на российские компании остается неоднозначной. "Уже сейчас мы сталкиваемся с ситуациями, когда иностранные компании, присутствующие в России, начинают требовать соблюдения Регламента от российских партнеров не потому, что это прямо предусмотрено законодательством, а потому – что им так комфортнее", – комментирует он. Зыков подчеркивает, что новые требования коснутся деятельности филиалов и представительств российских компаний, расположенных в странах Евросоюза. Компании, которым интересна реализация их товаров и услуг напрямую частным лицам на территории Евросоюза, но которые не имеют там физического присутствия, также должны считаться с документом.
"Независимо от индустрии, в случае какой-либо связи с европейскими юрисдикциями желательно своевременно выявить триггеры потенциального применения GDPR и оценить соответствующие риски. Получение и обработка персональных данных граждан ЕС сами по себе не влекут применения GDPR к российской компании. Поэтому возможно избежать выполнения GDPR, частично изменив бизнес-процессы, или же просто ограничить применимость GDPR отдельными процессами компании", – подчеркивает Артем Дмитриев, старший юрист практики по оказанию услуг в области интеллектуальной собственности и информационных технологий PwC Legal.
Предельные размеры штрафа впечатляют, констатирует Зыков: санкции могут достигать €20 млн или до 4% годового оборота, в зависимости от того, какая сумма больше. "Наравне с такими средствами воздействия на операторов и обработчиков, как ограничение либо запрет обработки персональных данных, надзорные органы вправе налагать штрафы, размер которых должен определяться с учетом эффективности, пропорциональности, сдерживающего эффекта", – подчеркивает Зыков.
Дмитриев также добавляет, что ограничения по передаче данных третьим лицам европейским регулятором могут привести к существенному ограничению взаимодействия с партнерами из Евросоюза для российских компаний.
Как отмечает Дмитриев, "нерешённым остаётся и вопрос о соотношении требований GDPR и норм российского законодательства о хранении и предоставлении информации, введённых "законом Яровой". "Формальным поводом для применения GDPR к российским компаниям может стать даже использование ими общегрупповой электронной системы или приложения, в котором хранятся персональные данные лиц, находящихся в ЕС", – отмечает Дмитриев.
Первые отчеты по работе нового регламента запланированы на 25 мая 2020 года, в частности, в нем будет оценена передача персональных данных жителей Евросоюза другим странам. Тогда же закон может быть пересмотрен, "с учетом развития информационных технологий и с учетом состояния прогресса в области информации".
Полный текст General Data Protection Regulation (GDPR) доступен по ссылке.