23.05.2018
23.05.2018. АПИ — Вступающий в силу Общеевропейский регламент о защите персональных данных (General Data Protection Regulation, GDPR) не будет распространяться на большинство граждан России. К такому мнению пришла Еврокомиссия.
Новые масштабные требования защищают всех находящихся на территории Евросоюза лиц независимо от их гражданства или резидентства, и распространяются в том числе на осуществляющих за пределами Старого Света операторов персональных данных. Это могут быть и российские клиенты российских компаний, которые после заключения договора уехали в Европу жить или работать, – потребляя услуги оттуда, они являются субъектом защиты GDPR. Штрафы за нарушение «еврозакона» могут составлять до 40 млн евро (АПИ подробно писало о нем – Европейская приватность).
Новый документ вступает в силу уже 25 мая. Хотя, по словам старшего юриста компании PwC Legal Артема Дмитриева, многие аспекты регулирования в этой сфере остаются в «серой» зоне, а у бизнеса нет четкого понимания, как исполнять и имплементировать многие новые требования: «Если формально читать GDPR, его можно применить к любой компании в любом конце мира и занимающейся любым видом деятельности. Но мы все же стараемся занимать более взвешенную позицию, основываясь на разъяснениях регуляторов ЕС. Например: российская компания приняла клиента, его обслуживала, потом гражданин уехал даже на постоянное жительство в Европу и продолжает дистанционно пользоваться услугами. Да, формально лицо, находящееся в ЕС, предоставляет персональные данные. Но, по мнению Еврокомиссии, в такой ситуации не будет применяться GDPR, только если российская компания намеренно не таргетирует свои услуги на Европу», – заявил Артем Дмитриев.
Такое толкование снимает с большинства российских операторов обязанность соблюдать «евростандарт» при обработке персональных данных. В частности, их могут игнорировать как обслуживающие соотечественников, так и принимающие иностранцев гостиницы, сотовые операторы, торгующие за рубли интернет-магазины и многие другие.
В то же время нормы GDPR затронут бизнес, ориентированный на клиентов из Старого Света. В качестве примера Еврокомиссия приводит иностранное образовательное учреждение, предлагающее студентам находящихся в Евросоюзе университетов онлайн-курсы на испанском и португальском языках. Для доступа к ним и бесплатным консультациям учащимся требуется предоставить имя пользователя и пароль. В этом случае ведется обработка персональных данных.
По словам сопредседателя Центра исследований в области защиты неприкосновенности частной жизни Брюссельского свободного университета Кристофера Кунера, многие на Западе боятся GDPR. Выступая на Петербургском международном юридическом форуме, он напомнил, что общеевропейский регламент призван предоставить гражданам входящих в ЕС стран контроль над собственными персональными данными: «Боятся напрасно, 25 мая мир не перевернется. Хотя очень вероятно, что стандарты, принятые GDPR, со временем будут приняты большинством стран на планете – уже более 120 государств приняли подход ЕС о защите данных. Этот самый влиятельный законопроект за последние двадцать лет», – убежден Кристофер Кунер.