В первый день “эпохи GDPR” против Facebook, Google, Instagram и WhatsApp подали крупные иски

С полночи 25 мая все операторы данных, которые работают с информацией о гражданах Европы, должны выполнять новые правила, известные как GDPR (General Data Protection Regulation). Facebook, Google, Instagram и WhatsApp уже получили первые многомиллиардные иски за неисполнение новых правил.

За несколько дней до вступления новых правил в силу крупные социальные сети начали уведомлять своих пользователей об этом и попросили подтвердить согласие с GDPR. В связи с этим требованием в первый день действия правил было подано четыре жалобы – на Google и их операционную систему Android, соцсети Facebook и Instagram, а также на мессенджер WhatsApp. Причина – так называемое “принудительное согласие”.

По сути, компании не давали пользователям толком понять, в чем заключается суть изменений, или просто выдавали новые правила GDPR за изменение внутренних правил конкретной сети. Сумма требований к Google составляет €3,7 млрд, а к трем остальным компаниям – по €1,3 млрд. 

Исполнять GDPR должен любой бизнес, вне зависимости от юрисдикции, в случае, если в работе он использует данные жителей Евросоюза, а прямое действие он имеет в 28 странах-участницах. В частности, под юрисдикцию GDPR попадают и украинские компании, которые имеют в Евросоюзе дочерние общества, интернет-магазины, сайты авиакомпаний, которые позволяют осуществлять покупки с территории ЕС, сотовые операторы и банки. 

Важная особенность GDPR заключается в том, что регламент не оперирует понятием “гражданство” и защищает персональные данные всех лиц, находящихся на территории ЕС, в том числе и украинцев. “Поэтому “под раздачу”, скорее всего, попадут украинские банки, которым приходит информация о транзакциях клиентов, находящихся в отпуске или командировке в ЕС, а также сотовые операторы, которые отслеживают перемещения абонентов в роуминге”, – пояснилаНаталия Беломестнова, советник практики разрешения споров и интеллектуальной собственности Bryan Cave Leighton Paisner LLP.

По смыслу GDPR, эти компании, несмотря на их нахождение за пределами ЕС, должны соблюдать требования GDPR в полном объеме, а также назначить уполномоченного ответственного представителя на территории ЕС, который будет отвечать на все запросы контролирующих органов. “Однако до сих пор нет полной ясности относительно того, как будут работать механизмы привлечения к ответственности иностранных компаний, которые в ЕС не находятся и не назначили своего уполномоченного ответственного представителя”, – говорит Беломестнова. По ее словам, в настоящее время “не многие компании” озабочены вопросом исполнения требований GDPR, но они ожидают всплеск интереса к этой теме после начала формирования правоприменительной практики.

Эксперт ожидает, что контролирующие органы инициируют “несколько показательных процессов” в отношении иностранных компаний, чтобы продемонстрировать серьезность намерений добиваться исполнения правил GDPR и за пределами Евросоюза.

Максим Вараксин