Российские отельеры, банкиры, железнодорожные и авиаперевозчики должны будут пересмотреть свою политику в сфере обработки персональных данных. Соответствующие уведомления от Евросоюза стали поступать по электронной почте в адрес национальных компаний.
Общий регламент по защите данных (General Data Protection Regulation, GDPR) вступил в силу в пятницу, 25 мая. Этот европейский закон имеет экстерриториальный характер, то есть коснётся он и крупных международных компаний за пределами ЕС, в том числе из России. Суть изменений состоит в том, что правила обработки данных станут жёстче, чтобы предотвратить утечку персональной информации.
Напрямую регламент распространяется на тех, кто занимается обработкой данных граждан и резидентов Евросоюза, причём независимо от того, имеет ли фирма представительство или офис в ЕС. Для этого достаточно наличия сайта на одном из европейских языков или возможности доставки товара или предоставления услуги в ЕС.
Под его действие попадают юрлица самого широкого спектра: перевозчики, представители туротрасли, поставщики услуг связи, банковские и финансовые организации, онлайн-ретейл, IT-компании. По сути, это любой российский отель или авиакомпания, клиентом которого может оказаться гражданин или резидент ЕС, или компания, занимающаяся сбором и анализом данных, например «Яндекс».
Документ прописывает, каким образом должны обрабатываться персональные данные: адреса, имена, контакты, информация о здоровье, культурном и экономическом бэкграунде. При этом под понятие персональных данных также попадает индивидуальная информация о пользователе сети, связанная с IP-адресами, MAC-адресами, файлами cookies. Запрещается использовать их в целях, которые изначально не были заявлены при получении информации и подписании клиентом согласия на обработку данных.
К примеру, теперь клиенты не будут получать по почте и СМС рекламу от европейских компаний, на получение которой не дали согласия. Их не будут спрашивать в целях маркетинга контактные данные знакомых.
Пользователю обязаны чётко и прозрачно рассказать условия обработки данных, при этом бездействие не будет считаться молчаливым согласием. Согласно регламенту, клиент сможет контролировать, как используются его данные, и будет иметь возможность их удалить или потребовать их выгрузки. GDPR запрещает сбор данных в большем объёме и хранение дольше, чем необходимо для целей компании.
Особое внимание уделяется защите данных детей — устанавливается возрастной порог для родительской авторизации при возрасте 13 — 18 лет.
Новый законодательный акт GDPR заменит принятую ещё в 1995 году Директиву по защите данных 95/46/EC, которая устарела с развитием информационных технологий и повышенным вниманием к кибербезопасности. Поэтому регламент прописывает, каким образом должны шифроваться данные, предполагает обезличивание информации и запрещает её передачу третьим лицам, а также обязывает компании оповещать пользователя и регулятора об утечках в течение 72 часов. Для этих целей организации должны иметь специалиста по защите данных (Data Protection Officer), своего работника или стороннего консультанта.
За несоблюдение регламента предполагается штраф: до 20 млн евро (около 1,5 млрд руб.) или 4% годового оборота компании, в зависимости от того, что больше.
Пока неясно, как будет применяться регламент на территории России и как будут взыскивать штрафы с российских компаний. Эксперты утверждают, что для этого необходимо накопить правоприменительный опыт после вступления регламента в силу.