вы резидент ес страны на которую распространяется gdpr что это
«Игнорировать GDPR будет сложно всем»: что нужно знать о новом регламенте
Исполнительный директор Digital Contact
25 мая вступает в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными в Европейском союзе.
Ольга Кутейникова, исполнительный директор Digital Contact, отвечает на шесть самых распространенных вопросов о GDPR.
1. Что такое GDPR
Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.
Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.
Принципы GDPR:
2. Кого коснется
GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.
3. Почему мне это нужно знать
Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.
4. Что грозит тем, кто не выполняет требования
За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.
Тест: привлечёт ли твой стартап финансирование?
Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.
5. Что нужно сделать прямо сейчас
Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.
Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.
6. Где почитать больше по теме
Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.
Информация о GDPR на русском языке
GDPR (General Data Protection Regulation)
Основные цели GDPR
Основные термины
Права граждан
GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:
Персональные данные
Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).
Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.
То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.
Примеры персональных данных:
А также особо охраняемые данные:
Принципы обработки данных по GDPR
Сфера действия GDPR
Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).
Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.
Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).
Соответствие требованиям GDPR
Несоблюдение норм GDPR
Утечка персональных данных
Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.
Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.
Что такое GDPR?
З ащита информации в современный век имеет крайне важное значение. По всему миру страны принимают законы о защите информации, чтобы предоставить гражданам контроль над использованием их личной информации и свести к минимуму риск ее недобросовестного получения. В Евросоюзе основным документом, регулирующим защиту персональных данных, является регламент GDPR.
GDPR — это свод правил, касающихся сбора и обработки персональных данных резидентов ЕС, который регулирует отношения между теми, чьи данные собирают и обрабатывают, и теми, кто их собирает и обрабатывает.
Интересно:
Согласно самому Регламенту, персональными данными являются все сведения о конкретном лице, которые могут помочь его идентифицировать (имя, адрес электронной почты, телефон, IP, местонахождение и т.д.).
GDPR предусматривает сбор и обработку таких данных пользователей только в тех случаях, когда пользователь дал на это свое однозначное согласие.
Быстрый переход:
КРАТКАЯ СВОДКА
General Data Protection Regulation
Общий регламент защиты персональных данных
Экстерриториальное; Распространяется на всех, кто работает с персональными данными резидентов ЕС
Регулирует управление персональными данными
На кого распространяется GDPR?
GDPR распространяют свое действие на все компании, которые обрабатывают персональные данные субъектов ЕС вне зависимости от того, где такая компания зарегистрирована и ведет деятельность. То есть, если компания зарегистрирована в России, но собирает и обрабатывает данные граждан ЕС, то российская компания должна соответствовать требованиям GDPR.
Учитывая, что огромное количество услуг предоставляются в онлайн-формате на общемировой основе, каждая вторая компания делает рассылки, а среди клиентов всегда может оказаться гражданин ЕС, значение GDPR приобретает особое значение.
А значит все компании, которые работают или могут работать с персональными данными граждан ЕС, должны соблюдать требования GDPR.
Интересно:
Важное значение также имеют два термина из Регламента: data controller (контролер данных) и data processor (процессор данных). Контролер собирает данные, а процессор (обработчик) — обрабатывает их.
Принципы GDPR
Общий регламент по защите персональных данных основан на ключевых принципах, перечисленных в статье 5:
Санкции за несоответствие требованиям GDPR
За несоответствие GDPR предусматриваются штрафные санкции. В статье 87 Регламента содержатся общие условия наложения штрафов.
Размер административного штрафа оценивается в каждом конкретном случае и зависит от таких факторов, как характер, серьезность и продолжительность нарушения; степень причиненного ущерба; наличие умысла; действия, предпринятые контроллером или процессором для уменьшения ущерба; предыдущие нарушения контролером или процессором; категории персональных данных, затронутых нарушением; любые смягчающие/отягчающие обстоятельства и др.
Так, в некоторых случаях, на компанию может быть наложен штраф в размере до 10.000.000 евро или до 2% от общего мирового годового оборота за предыдущий финансовый год. А в других случаях — до 20.000.000 евро или до 4% от общего мирового годового оборота.
Заключение
Соблюдать GDPR необходимо всем, кто работает с персональными данными хотя бы одного резидента ЕС. Знание положений Регламента по защите персональных данных и его беспрекословное соблюдение позволит избежать больших штрафов.
Каждая компания, занимающаяся сбором и обработкой персональных данных, должна следить за осведомлённостью и выполнением требований GDPR со стороны всех сотрудников.
Если у Вас возникли вопросы касательно применения положений GDPR или требуется иное содействие, мы будем рады Вам помочь. Напишите нам Ваш вопрос, и специалисты GFLO Consultancy ответят в ближайшее время.
Право на забвение: что дают пользователям GDPR и его российский аналог
В 1995 году странами Евросоюза была принята Директива № 95/46/ЕС о защите прав частных лиц при обработке персональных данных (ПД). Однако компании в основном игнорировали ее. В итоге 25 мая 2018 года на смену документу пришел Общий регламент по защите данных (General Data Protection Regulation или GDPR). Важным отличием GDPR является его экстерриториальный принцип действия. Закон может затрагивать и российские компании. РБК Тренды разобрались, в чем преимущества этого документа для интернет-пользователей и в чем его отличие от российского аналога.
К каким компаниям применяется GDPR
Требования GDPR работают не только для европейских организаций, но и для иностранных компаний, которые имеют дело с персональными данными граждан ЕС или лиц, находящихся в ЕС.
Чтобы деятельность структуры была нацелена на ЕС, достаточно, чтобы на ее сайте было предусмотрено использование национального языка и валюты государства — члена Евросоюза, либо содержалось упоминание о потребителях или пользователях из этого региона.
Даже если сайт компании не содержит подобных упоминаний, достаточно того, что она может отслеживать активность любых пользователей и собирать эту информацию в своих целях. Важно, что GDPR применяется только при использовании персональных данных для маркетинговых целей и при мониторинге поведения пользователей в Европе. К примеру, на сайте организации может работать «Яндекс.Метрика» или Google Analytics, соответственно, он подпадает под действие GDPR. В 2018 году журналист «Медузы» (признана иноагентом в России) Султан Сулейманов, живущий в Латвии, воспользовался GDPR, чтобы запросить у «Яндекса» информацию о себе. Ответ пришел через два с половиной месяца после запроса. Он содержал ссылки на «Яндекс.Диск» с архивом копий данных, инструкции о том, как выгрузить письма из «Яндекс.Почты» и все файлы с «Яндекс.Диска». Архив включал текстовые документы в машиночитаемом виде по папкам в соответствии с сервисами «Яндекса»: «Карты», «Такси», «Кинопоиск», «Поиск» и др. Никаких пояснений к данным не было.
Организация обязана назначить себе представителя в ЕС при хотя бы одном из условий:
Представителем компании может стать физическое или юридическое лицо, которое должно находиться в той же стране ЕС, что и субъекты данных. Оно взаимодействует с органами власти и несет ответственность за нарушения.
Кто отвечает за обработку данных
Процесс обработки информации включает субъекта персональных данных, а также контролера и процессора. В соответствии с GDPR контролер — это физические или юридические лица, которые определяют, с какой целью и какими средствами обрабатываются данные. На них ложится вся ответственность за выполнение требований по обработке и защите ПД. Процессор или обработчик — это физические или юридические лица, которые занимаются обработкой персональных данных по поручению контролера. Таким образом, обработка ПД становится возможной только от имени контролирующей организации. Контролер может сам выступать процессором, либо поручать эту работу сторонней компании.
GDPR и ФЗ «О персональных данных». Сходства и различия
Согласно статье 3 российского Федерального закона «О персональных данных», персональные данные — это любая информация, прямо или косвенно позволяющая определить физическое лицо. В GDРR имеется аналогичное определение, но вместо слова «определить» в нем используется «идентифицировать».
В европейском законе более подробно описывается информация, относящаяся к персональным данным:
В российском ФЗ содержится понятие «обезличенных данных». Это анонимизированные персональные данные. Их гражданско-правовой оборот допускается для коммерческих целей и продажи третьим лицам. В законе прописано, что при статистических, исследовательских и аналитических целях согласие субъекта на их обработку не требуется. Однако формулировка статьи предполагает, что такие данные могут использоваться свободно и без получения согласия, даже если впоследствии возможно их соотнесение с личностью.
Понятие согласия возникает при обработке персональных данных, несовместимой с целями их сбора. Однако и в этом случае обработка информации без согласия субъекта допускается при его участии в судопроизводстве, для исполнения полномочий власти, исполнения договора, для защиты жизни, здоровья или иных жизненно важных интересов субъекта, прав и законных интересов оператора или третьих лиц.
И российский ФЗ, и GDPR описывают согласие субъекта на обработку его данных. В обоих случаях документы подчеркивают принципы конкретности, информированности и сознательности. Но GDPR обязывает, чтобы согласие было вынесено отдельно от других условий и соглашений и включало все цели обработки. Процесс отзыва согласия должен быть простым, а запрос на обработку данных — обоснованным. Например, можно оспорить ситуацию, когда сервис по редактированию фотографий запрашивает согласие на обработку геолокаций.
Закон о персональных данных РФ содержит семь принципов обработки данных, а GDPR — шесть. В отличие от российского ФЗ, в GDPR важным является принцип прозрачности и оповещения о действиях, связанных с обработкой данных пользователей. Закон гласит, что информация должна быть легко доступной и ясной для субъекта. В мае 2021 года власти Германии запретили WhatsApp обрабатывать пользовательские данные жителей страны и отправлять их в рекламную сеть Facebook. Местный регулятор настаивает, что новые положения политики WhatsApp непрозрачны, сбивают с толку, вводят в заблуждение и противоречат сами себе, из-за чего пользователям трудно осознать последствия их согласия с новыми условиями.
Условия правомерной обработки ПД в России и ЕС сопоставимы, но GDPR позволяет государствам вводить свои дополнительные требования. Европейский закон также устанавливает особые правила для дачи согласия несовершеннолетним. За детей, не достигших 16 лет, согласие должно давать лицо, осуществляющее функции родителя или опекуна.
В обоих документах присутствует право субъекта получить свои данные и информацию о том, как они обрабатываются, исправлять и удалять сведения о себе (право на забвение). Но есть отличие именно в составе этих данных. Если в российском ФЗ говорится, что человек может получить все обработанные данные по запросу, то в GDPR — только информацию об обработке в момент получения персональных данных.
Кроме того, в европейском законе выделено положение о праве на перенос своих данных. Компания должна предоставлять эти данные в структурированном и
машиночитаемом формате и передавать другой организации по запросу субъекта.
Схема действий при утечке данных прописана только в GDPR. Компания обязана проинформировать о ней надзорные органы и субъектов, иначе на нее будет наложен штраф. Надзорный орган назначается в каждой стране ЕС, а их руководители образуют Европейский совет по защите данных. В 2020 году комиссия по защите данных Ирландии оштрафовала Twitter за утечку данных пользователей, которая обнаружилась еще в январе 2019 года. Из-за ошибки приложение отключило параметр «Защитить ваши твиты» для некоторых пользователей, которые изменяли настройки своего аккаунта. Соцсеть должна была уведомить комиссию в течение 72 часов с момента обнаружения неисправности, но не сделала этого. В итоге сумма штрафа составила €450 тыс.
GDPR вводит штрафы за любые нарушения. Их размеры доходят до 4% годового оборота компании (до €20 млн). Нематериальные санкции могут включать запрет со стороны надзорного органа на обработку персональных данных или их передачу контрагенту до момента устранения нарушений. Однако сначала надзорный орган выносит предупреждение и дает время на устранение нарушения. Компаниям выписывают крупные штрафы только при повторяющихся нарушениях. В 2019 году Французская национальная комиссия по информационным технологиям и правам человека (CNIL) оштрафовала Google на €57 млн за нарушение правил прозрачности при получении согласия на обработку и использование персональной информации пользователей.
В российском законе не прописан механизм, в соответствии с которым операторы-нарушители должны нести ответственность. Кроме того, в нем не предусмотрено конкретных санкций для случаев нарушений или игнорирования требований регуляторов. В ФЗ сказано лишь, что субъект персональных данных может требовать компенсации материального и морального вреда, а также убытков. В начале июля 2021 года суд Москвы по требованию Роскомнадзора признал незаконной деятельность «клона» Telegram-бота «Глаз Бога», где можно было пробивать данные людей. Администрация Telegram позднее удалила сам бот. Тем, чьи данные могли фигурировать в базе данных, не выплатили никаких компенсаций. Главным аргументом основателя «Глаза Бога» стало то, что бот агрегирует данные людей из открытых источников в интернете.
В марте 2021 года Роскомнадзор предложил обязать операторов персональных данных компенсировать моральный вред жертвам интернет-мошенничеств, если они связаны с утечками по вине операторов. Предложение пока рассматривают.
В июне 2021 года в РФ был принят закон, который обяжет зарубежные ИТ-компании с ежедневной российской аудиторией от 500 тыс. человек открывать в стране филиалы, представительства или назначать уполномоченных юрлиц для взаимодействия с госорганами и регуляторами. Если эти требования не будут выполнены, то компаниям могут запретить распространение рекламы и сбор персональных данных российских пользователей. Под действие закона потенциально попадают Facebook, Instagram, Twitter, TikTok, Google AdWords, YouTube, WhatsApp, Viber, Telegram, Steam, WorldOfTanks и другие.
Что в других странах
В 2018 году, после принятия GDPR, в американском штате Калифорния разработали собственный закон, регулирующий правила работы с персональными данными.
California Consumer Privacy Act, или CCPA, вступил в силу 1 января 2020 года.
Теперь у интернет-пользователей в Калифорнии появилось право требовать у компании информацию, которую она о них собирает, и список третьих лиц, которые ее получают. Они также могут подавать в суд на организацию, которая неправомерно воспользовалась персданными и игнорирует запросы.
Отличие ССРА от GDPR заключается в том, что компания должна обрабатывать запросы, поступающие от пользователей. Компании не обязаны раскрывать какие-либо факты нарушений, если они не получили соответствующего запроса.
Данный закон также запрещает компаниям дискриминировать пользователей, отказавшихся предоставить свои персональные данные, но разрешает вводить системы поощрений для тех, кто согласился на это.
В Казахстане в ноябре 2020 года вступил в силу приказ Министерства цифрового развития, инноваций и аэрокосмической промышленности «Об утверждении правил сбора, обработки персональных данных». Согласно документу, сбор и обработка собственником или оператором персональных данных допускается в объеме, определенном перечнем. Субъект ПД имеет право требовать от оператора изменения и дополнения своих данных при наличии оснований, а также имеет право знать о наличии персональной информации и путях ее получения.
GDPR очень хорошо защищает ваши персональные данные, но только если вы находитесь в Европе
Сравнение подходов и практики защиты персональных данных в России и ЕС
Фактически при любом действии совершаемым пользователем в интернете, происходит в той или иной форме манипуляции персональными данными пользователя.
Мы не платим за многие услуги, которые получаем в интернете: за поиск информации, за электронную почту, за хранение наших данных в облаке, за общение в социальных сетях и т. д. Однако эти услуги лишь условно бесплатны: мы расплачиваемся за них своими данными, которые эти компании затем превращают в деньги, главным образом с помощью рекламы.
В настоящее время данные о поле, возрасте и месте жительства, история поиска —
основа для индустрии рекламы в интернете, объем которой исчисляется миллиардами долларов и евро. Т.е с юридической точки зрения персональные данные это материалы для ведения бизнеса. Соответственно компании прилагают огромные усилия и тратят немалые средства для получения и обработки персональных данных. Опросы, проведенные в 2018 году, показывают, что пользователи, понимая ценность своих персональных данных все более и более недовольны тем, как компании обходятся с их персональными данными.
Регулирование в сегменте использования данных пользователей еще не сложилось и отстает от развития технологий не только в России, но и во всем мире, поэтому баланс интересов потребителей и компаний в модели «деньги – услуга – данные – деньги» выстраивается сегодня как Регуляторами так и негласными договоренностями между обществом и компаниями. Регуляторы ограничивают возможности IT-компаний и расширяют права пользователей: вводят новые законы, которые дают пользователям больший контроль над предоставляемой ими информацией.
Интересно сравнение подходов регуляторов в Европейских странах и России. В России основные нормативные акты, регулирующие обращение с персональными данными это Федеральный закон о защите персональных данных (152-ФЗ) плюс Кодекс об административных правонарушениях, который непосредственно устанавливает конкретный размер штрафов за нарушение порядка обращения с персональными данными. Административные штрафы с 1 июля 2017 года существенно увеличились. При этом установили новые размеры штрафов в зависимости от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб. Причем привлекать в ответственности могут по разным составам правонарушений. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов. Но ответственность предусмотрена именно за несоблюдение формальных требований, например, если отсутствуют необходимые бумаги. С реальной защитой информации это не всегда напрямую связано. Например, сама по себе утечка не является основанием для штрафных санкций, если не нарушены другие законы. Что интересно, значительное число выявленных нарушений в области обращения с персональными данными, содержат состав, предусмотренный статьей 19.7 КоАП РФ: «Непредставление или несвоевременное представление в государственный орган(Роскомнадзор) — сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности..». Интересно, что гораздо большая ответственность предусмотрена не за нарушение порядка обращения с персональными данными(как указывалось выше это в среднем 30-50 тыс. руб.), а именно за не предоставление (задержку, неполное представление) информации о порядке обращения с персональными данными в Роскомнадзор полагается штраф до 200.000 руб. Т.е. в законодательстве России и в практике его применения превалирует тенденция «главное что бы костюмчик сидел» и были удовлетворены потребности гос. органов в различных отчетах. Реальные права пользователей и безопасность их личных данных в интернете защищены плохо. Тот же размер штрафов никак не коррелируется с размером выгод, получаемых некоторыми компаниями при нарушении обращения с персональными данными в интернете и не стимулирует соблюдать эти правила.
В ЕС несколько другая картина. С мая 2018 года в Европе работа с персональными данными регулируется правилами обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Регламент, имеет прямое действие во всех 28 странах ЕС. Регламент предоставляет резидентам ЕС возможность полного контроля над своими персональными данными. В соответствии с GDPR значительно граждане и резиденты ЕС имеют очень широкие права по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.
С мая 2018 года Ответственность в виде штрафов за нарушение правил обработки персональных данных: по GDPR штраф достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании.
Самое главное что все это работает, компании нарушающие права пользователей привлекают к ответственности и очень серьезной. Так например 21 января 2019 года Национальная комиссия по информатике и гражданским правам Франции (CNIL) вынесла решение оштрафовать американскую компанию GOOGLE LLC на 50 миллионов евро за нарушение GDPR. Сумма штрафа очень большая. Это наглядно показывает, чем грозит несоответствие требованиям GDPR. За что наказали? Французская комиссия определила, что при начальной конфигурации мобильного устройства на операционной системе Android (Google) пользователь не получает полной информации о том, что Google делает с его персональными данными. Компания не выполнила обязательства по обеспечению прозрачности обработки персональных данных и информирования субъектов (статьи 12 и 13 GDPR). Сроки хранения пользовательских данных регламентируются неточно. У компании отсутствовала необходимая юридическая основа для проводимой обработки данных (статья 6 GDPR). Google так же обвинялась, что ненадлежащим образом получила согласие пользователей на обработку их данных для персонализации рекламы.
Другие примеры: штраф со стороны Немецкого регулятора LfDI чат-приложению для знакомств Knuddels – 20.000 евро, Португальскую больницу Barreiro Hospital обвинили в неправильном управлении доступом к критичным персональным данным (штраф 300 тысяч евро) и нарушении обеспечения безопасности и целостности данных (еще 100 тысяч евро). Уполномоченные органы Великобритании вынесли предупреждение канадской компании, которая занимается аналитическими исследованиями. Компанию обязали прекратить обработку персональных данных граждан, в противном случае ей грозит штраф в размере 20 млн. Евро. Канадской компании AggregateIQ, которая занимается цифровым маркетингом и разработкой программного обеспечения вменили штраф в размере 17000000 фунтов стерлингов. Кафе в Австрии оштрафовали на 5280 евро за незаконное видеонаблюдение (камера захватывала часть тротуара). Т.е. любая организация, на которую распространяется действие GDPR, не должна ограничиваться, по отечественной традиции, лишь разработкой нормативной документации.
Кстати особенность GDPR в том, что ее действие применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании, поэтому российские компании должны внимательно отнестись к данному Регламенту, если их услуги ориентированы на европейский рынок