Защита персональных данных в Европе⁠⁠

Одним из самых главных нормативных актов, которые должен знать IT-юрист работающий на иностранные компании, является General Data Protection Regulation. В универе на первом курсе это был по сути основной предмет, а экзамен по нему был очень суров и сложен.

Почему GDPR так важен? Потому что приватность это базовое право, предусмотренное статьёй 8 Европейской конвенции о правах человека КОНСКИЕ ШТРАФЫ. Совсем недавно (считающаяся в России экстремистской организацией) Meta была оштрафована на рекордные 1,2 миллиарда евро за нарушение правил трансграничной передачи персональных данных в США.

Да, кстати, европейцы считают, что в США не обеспечивается должная защита их персональных данных из-за всемогущих американских спецслужб, которые могут получить к ним доступ по щелчку пальцев. Как-нибудь напишу об этом поподробнее.

Итак штрафы. Они могут составлять до 20 миллионов евро или до 4% от общего годового мирового оборота за предыдущий финансовый год. Штрафы грозят не только компаниям, зарегистрированным в ЕС, но и вообще всем, кто собирает и обрабатывает данные жителей Европы. Так что стартапы в США, ОАЭ, да даже в Китае, если они хотят выходить на европейский рынок или привлекать европейскую аудиторию, должны соблюдать требования GDPR.

В крупных компаниях обязательно есть data protection officer (иногда даже в составе целого отдела) - сотрудник, который следит за соблюдением GDPR, общается с регуляторами, отвечает на запросы граждан и так далее. Обычно у него есть юридический бэкграунд, хотя конкретных требований к образованию нет. Стартапы чаще всего отдельных специалистов по защите данных себе позволить не могут, поэтому либо (торжественно) возлагают эти функции на юриста, либо пользуются услугами специалистов на аутсорсе.

Источник: https://t.me/ImlawIT