Согласно положениям GDPR о территориальной применимости, исполнение требований регламента обязательно для всех компаний, предлагающих товары и услуги любому лицу на территории ЕС или осуществляющих мониторинг его действий, пишет РБК. Эмитирование банковских карт, которыми можно пользоваться в Европе, подпадает под эту формулировку, пояснил старший юрист мюнхенского офиса юрфирмы Baker McKenzie Флориан Таннен. Аналогично регламент охватывает и предоставление услуг роуминга абонентам, путешествующим по европейским странам.

GDPR требует от компаний хранить персональные данные в обезличенном и зашифрованном виде, обеспечивать должный уровень их защиты, не передавать третьим лицам и сообщать обладателям, а также регулирующим органам о любой утечке в течение 72 часов. Информация о правилах обработки данных должна предоставляться гражданам в понятном и доступном виде. Обрабатывать их разрешается только после получения "четкого утвердительного акта в письменной или устной форме". Также гражданин вправе отказать в передаче данных без ущерба для совершения действий. Нарушения повлекут штрафы до €20 млн, или 4% годового оборота.

Эксперты говорят, что российским компаниям необходимо готовиться, а начать стоит с полного аудита организационных процессов обработки данных, стандартов безопасности, систем реагирования на инциденты в области нарушения конфиденциальности. Как будет GDPR работать на практике, пока неясно: слишком много игроков формально подпадают под его требования.

Информация ПРАВО.ru