Собирающие персональные данные компании Казахстана могут оштрафовать на 20 млн евро

Максимальный штраф для казахстанских компаний, продолжающих собирать персональные данные при работе на территории Европейского союза после 25 мая текущего года, составит 20 млн евро. Такое взыскание предусматривает вступивший в силу в ЕС Общий регламент по защите данных (General Data Protection Regulation, GDPR). Об этом рассказала на Astana Finance Days Кристина Боровикова, представитель KPMG Russia, передает «Курсив».

«Допустим через ваш сервис можно заказать некую услугу, анализ поведения либо кредитоспособности, либо заказать какой-то товар, тогда надо полностью приводить весь веб-ресурс и все процессы в соответствие с требованием по обработке персональных данных. Персональные данные — это любая информация, которая прямо или косвенно относится к субъекту — имя, фамилия, паспортные данные, IP-адреса, cookie, информация об активности. Если у вас есть веб-ресурс вы, как минимум, собираете IP-адреса и cookie. Если у вас нет некоего согласия на сбор IP-адресов и cookie, то это будет нарушением принципа обработки персональных данных, что может повлечь максимальный штраф в 20 млн евро или 4% от глобального оборота», — сказала она.

Новый регламент имеет экстерриториальный характер, он распространяется на всех субъектов, которые находятся на территории Европейского союза в момент сбора и хранения данных.

«То есть, это могут быть граждане Европейского союза, можем быть мы с вами, когда путешествуем в Европу — любой субъект, который находится на территории ЕС, становится объектом права. Вы должны соответствовать требованиям оператора, потому что регламент имеет прямое действие на него. В случае нарушения или утечки с вас могут тоже взыскать штраф, и может быть возбуждено некое разбирательство в европейском суде», — дополнила Кристина Боровикова.