В первый день "эпохи GDPR" против Facebook, Google, Instagram и WhatsApp подали крупные иски
За несколько дней до вступления новых правил в силу крупные социальные сети начали уведомлять своих пользователей об этом и попросили подтвердить согласие с GDPR. В связи с этим требованием в первый день действия правил было подано четыре жалобы – на Google и их операционную систему Android, соцсети Facebook и Instagram, а также на мессенджер WhatsApp. Причина – так называемое "принудительное согласие", сообщает европейская организация Noyb.
По сути, компании не давали пользователям толком понять, в чем заключается суть изменений, или просто выдавали новые правила GDPR за изменение внутренних правил конкретной сети. Сумма требований к Google составляет €3,7 млрд, а к трем остальным компаниям – по €1,3 млрд.
Исполнять GDPR должен любой бизнес, вне зависимости от юрисдикции, в случае, если в работе он использует данные жителей Евросоюза, а прямое действие он имеет в 28 странах-участницах. В частности, под юрисдикцию GDPR попадают и российские компании, которые имеют в Евросоюзе дочерние общества, интернет-магазины, сайты авиакомпаний, которые позволяют осуществлять покупки с территории ЕС, сотовые операторы и банки.
Как рассказала нам Наталия Беломестнова, советник практики разрешения споров и интеллектуальной собственности Bryan Cave Leighton Paisner (Russia) LLP, важная особенность GDPR заключается в том, что регламент не оперирует понятием "гражданство" и защищает персональные данные всех лиц, находящихся на территории ЕС, в том числе и россиян. "Поэтому "под раздачу", скорее всего, попадут российские банки, которым приходит информация о транзакциях клиентов, находящихся в отпуске или командировке в ЕС, а также сотовые операторы, которые отслеживают перемещения абонентов в роуминге", – пояснила эксперт.
По смыслу GDPR, эти компании, несмотря на их нахождение за пределами ЕС, должны соблюдать требования GDPR в полном объеме, а также назначить уполномоченного ответственного представителя на территории ЕС, который будет отвечать на все запросы контролирующих органов. "Однако до сих пор нет полной ясности относительно того, как будут работать механизмы привлечения к ответственности иностранных компаний, которые в ЕС не находятся и не назначили своего уполномоченного ответственного представителя", – говорит Беломестнова. По ее словам, в настоящее время "не многие российские компании" озабочены вопросом исполнения требований GDPR, но они ожидают всплеск интереса к этой теме после начала формирования правоприменительной практики.
Эксперт ожидает, что контролирующие органы инициируют "несколько показательных процессов" в отношении иностранных компаний, чтобы продемонстрировать серьезность намерений добиваться исполнения правил GDPR и за пределами Евросоюза.