Общий регламент ЕС по защите данных (GDPR) начинает действовать 25 мая 2018

25.05.2018

Информационное письмо № 638

Юридическая фирма Bryan Cave Leighton Paisner (Russia) LLP напоминает, что 25 мая 2018 в Евросоюзе начинает действовать Общий регламент по защите данных (GDPR) – результат самой масштабной реформы в сфере персональных данных последних десятилетий в ЕС, который имеет экстерриториальное действие и должен исполняться некоторыми компаниями за пределами ЕС.

К ключевым положениям GDPR, на которые следует обратить внимание российским компаниям, можно отнести следующие:

1. Сфера территориального действия

GDPR применяется к компаниям, которые:

(а) ведут деятельность в ЕС через стабильную структуру (establishment, stable arrangement) (например, российские компании, которые имеют филиалы, представительства или дочерние общества на территории ЕС);

(б) не присутствуя в ЕС, предлагают товары или услуги лицам на территории ЕС (например, интернет-магазины, которые позволяют осуществлять покупки из ЕС);

(в) не присутствуя в ЕС, осуществляют мониторинг действий лиц на территории ЕС (например, банки и сотовые операторы).

Важно отметить, что GDPR не оперирует понятием «гражданство» и защищает персональные данные всех лиц, находящихся на территории ЕС, в том числе и россиян, которые оказались на территории ЕС временно. Поэтому российские банки, которым приходит информация о транзакциях клиентов, находящихся в отпуске или в командировке в ЕС, а также сотовые операторы, отслеживающие действия абонентов в роуминге, скорее всего будут связаны требованиями GDPR.

2. Основные положения и требования GDPR:

  • Расширен перечень данных, которые относятся к персональным (ПДн) (включая, например, IP-адрес)
  • Расширены и детализированы права субъектов ПДн (на перенос данных, на забвение, на доступ и т.д.)
  • Введены особые требования к согласиям субъектов и иным основаниям обработки ПДн
  • Требование о наличии понятных для субъектов, прозрачных и полностью контролируемых компанией процедур обработки ПДн
  • Требование об уведомлении об инцидентах в течение 72 часов
  • Требование о создании и актуализации реестра ПДн
  • “Privacy by Design” – учет требований конфиденциальности на этапе проектирования новой технологии/продукта
  • Необходимость проведения оценки воздействия на конфиденциальность данных (DPIA) в определенных случаях
  • Необходимость назначения уполномоченного по защите данных (DPO) в определенных случаях
  • Требование о назначении представителя в ЕС, если нет фактического присутствия в ЕС
  • Уточнены условия и порядок поручения обработки ПДн другим лицам
  • Конкретизированы требования к трансграничной передаче ПДн
  • Расширены права контролирующих органов
  • Введены штрафы за нарушения: до 20 млн. евро (или 4% годового оборота)

Контакты

По всем вопросам, связанным с публикациями, новостями и пресс-релизами, пожалуйста, обращайтесь:

Ксения Соболева

Руководитель направления по PR и коммуникациям

подписка

Получайте новости об изменениях в законодательстве с экспертными комментариями наших юристов и обзоры актуальных юридических вопросов в соответствии с теми областями права, которые представляют для вас интерес.