Некстати, диар дайри. В прекрасном и яростном мире-то идет жизнь, ее стоит иметь в виду.
Ровно два месяца назад (25 мая 2018 года) в ЕС вступил в силу Общий регламент по защите персональных данных (General Data Protection Regulation или GDPR). Правила во многом аналогичны ФЗ № 152-ФЗ «О персональных данных», но в некоторых случаях отличаются, в части случаев – гораздо шире. Предельный размер штрафа – до 20 миллионов евро или 4% от годового мирового оборота (в зависимости от того, что выше).
Главная особенность GDPR – возможность применения к операторам, действующим за пределами ЕС, в том числе, в определенных случаях, не имеющих никакого представительства в ЕС, но каким-либо образом таргетирующих граждан, находящихся в Европе. Предусмотрено три основных случая, которые могут быть применимы к российскому бизнесу и в которых GDPR применяется экстерриториально, а мы рассмотрим два:
читать дальше1. Если обработка ПДн осуществляется контролером или обработчиком данных, которые не имеют места ведения деятельности в ЕС, но предлагает товары и услуги физическим лицам (субъектам ПДн), находящимся на территории ЕС. При этом не имеет значения, предоставляются ли такие товары, услуги за плату или бесплатно.
Пример: российская компания, зарегистрированная и действующая в России, имеет интернет-магазин, сайт переведен на один из европейских языков и пользователи могут совершать расчеты в евро. Аналогично – для компании, которая предлагает бесплатные услуги электронной почты, веб-хостинга, мобильной связи и т.п.
2. Если обработка ПДн осуществляется контролером или обработчиком данных, которые не имеют места ведения деятельности в ЕС, но такой контролер или обработчик данных осуществляет мониторинг поведения субъектов, находящихся на территории ЕС, в той части, в которой такой мониторинг затрагивает их поведение в ЕС.
Пример: российская компания, являющаяся владельцем сайта, который в общем, по другим критериям, не ориентирован на лиц, находящихся в ЕС, но при этом не просто запоминает «простые» данные посетителей сайта (например, IP-адрес), а создает уникальный пользовательский профиль, исходя из совокупности данных, а затем собирает статистику о пользователях.
Несмотря на то, что позиция о применимости GDPR в России, с точки зрения самой Российской Федерации, является, как минимум, дискуссионным, с европейской точки зрения, GDPR в таких случаях подлежит применению, а его несоблюдение может повлечь негативные последствия на территории ЕС.Диар дайри, не косячить уже поздно. Надо бы не усугублять теперь.