В первый день «эпохи GDPR» против Facebook, Google, Instagram и WhatsApp подали крупные иски

С полночи 25 мая все операторы данных, которые работают с информацией о гражданах Европы, должны выполнять новые правила, известные как GDPR (General Data Protection Regulation). Facebook, Google, Instagram и WhatsApp уже получили первые многомиллиардные иски за неисполнение новых правил.

За несколько дней до вступления новых правил в силу крупные социальные сети начали уведомлять своих пользователей об этом и попросили подтвердить согласие с GDPR. В связи с этим требованием в первый день действия правил было подано четыре жалобы – на Google и их операционную систему Android, соцсети Facebook и Instagram, а также на мессенджер WhatsApp. Причина – так называемое «принудительное согласие».

По сути, компании не давали пользователям толком понять, в чем заключается суть изменений, или просто выдавали новые правила GDPR за изменение внутренних правил конкретной сети. Сумма требований к Google составляет €3,7 млрд, а к трем остальным компаниям – по €1,3 млрд. 

Company Authority Maximum Penalty
Complaint
Google (Android) CNIL(France) € 3.7 Mrd PDF
Instagram DPA(Belgium) € 1.3 Mrd PDF
WhatsApp HmbBfDI(Hamburg) € 1.3 Mrd PDF
Facebook DSB (Austria) € 1.3 Mrd PDF

Исполнять GDPR должен любой бизнес, вне зависимости от юрисдикции, в случае, если в работе он использует данные жителей Евросоюза, а прямое действие он имеет в 28 странах-участницах. В частности, под юрисдикцию GDPR попадают и украинские компании, которые имеют в Евросоюзе дочерние общества, интернет-магазины, сайты авиакомпаний, которые позволяют осуществлять покупки с территории ЕС, сотовые операторы и банки. 

Важная особенность GDPR заключается в том, что регламент не оперирует понятием «гражданство» и защищает персональные данные всех лиц, находящихся на территории ЕС, в том числе и украинцев. «Поэтому «под раздачу», скорее всего, попадут украинские банки, которым приходит информация о транзакциях клиентов, находящихся в отпуске или командировке в ЕС, а также сотовые операторы, которые отслеживают перемещения абонентов в роуминге», – пояснилаНаталия Беломестнова, советник практики разрешения споров и интеллектуальной собственности Bryan Cave Leighton Paisner LLP.

По смыслу GDPR, эти компании, несмотря на их нахождение за пределами ЕС, должны соблюдать требования GDPR в полном объеме, а также назначить уполномоченного ответственного представителя на территории ЕС, который будет отвечать на все запросы контролирующих органов. «Однако до сих пор нет полной ясности относительно того, как будут работать механизмы привлечения к ответственности иностранных компаний, которые в ЕС не находятся и не назначили своего уполномоченного ответственного представителя», – говорит Беломестнова. По ее словам, в настоящее время «не многие компании» озабочены вопросом исполнения требований GDPR, но они ожидают всплеск интереса к этой теме после начала формирования правоприменительной практики.

Эксперт ожидает, что контролирующие органы инициируют «несколько показательных процессов» в отношении иностранных компаний, чтобы продемонстрировать серьезность намерений добиваться исполнения правил GDPR и за пределами Евросоюза.

Максим Вараксин