Собирающие персональные данные компании Казахстана могут оштрафовать на 20 млн евро

Опубликовано
Старший корреспондент отдела Business News
Если у компании нет некоего согласия на сбор IP-адресов и cookie, то это будет нарушением принципа обработки персональных данных

Максимальный штраф для казахстанских компаний, продолжающих собирать персональные данные при работе на территории Европейского союза после 25 мая текущего года, составит 20 млн евро, сообщила представитель KPMG Russia Кристина Боровикова.

«Допустим через ваш сервис можно заказать некую услугу, анализ поведения либо кредитоспособности, либо заказать какой-то товар, тогда надо полностью приводить весь веб-ресурс и все процессы в соответствие с требованием по обработке персональных данных. Персональные данные – это любая информация, которая прямо или косвенно относится к субъекту, то есть это имя, фамилия, паспортные данные, IP-адреса, cookie, информация об активности. Если у вас есть веб-ресурс вы, как минимум, собираете IP-адреса и cookie», — сказала она на Astana Finance Days 3 июля.

«Если у вас нет некоего согласия на сбор IP-адресов и cookie, то это будет нарушением принципа обработки персональных данных, что может повлечь максимальный штраф в 20 млн евро или 4% от глобального оборота», — добавила она.

В Европейском союзе ранее действовала директива по защите персональных данных. С 25 мая она была заменена регламентом Евросоюза GDPR.

«Директива имела непрямое распространение на страны Европейского союза и поэтому страны Евросоюза имели право разрабатывать свои локальные нормативно-правовые акты, которые регулировали взаимоотношения по обработке и защите персональных данных. Таким образом, получилось, что в Европейском союзе была неравномерная структура», — сказала Боровикова.

Таким образом появился регламент Европейского союза, в котором собраны все требования по защите и обработке персональных данных граждан и субъектов, которые расположены на территории Европейского союза. Регламент является обязательным для всех членов Европейского союза, в том числе в исполнение регламента страны-члены Европейского союза должны разработать свои локальные нормативные акты.

«Этот регламент имеет экстерриториальный характер, то есть он распространяется на всех субъектов, которые находятся на территории Европейского союза в момент сбора, хранения данных. То есть это могут быть граждане Европейского союза, можем быть мы с вами, когда путешествуем в Европу в рамках туризма или деловых поездок. То есть любой субъект, который находится на территории Европейского союза, становится объектом права», — сказала она.

Если организация находится на территории Казахстана и при этом получает персональные данные от какой-нибудь европейской организации для обработки, то эта организация на территории Казахстана подпадает под требования GDPR. «Вы должны соответствовать требованиям оператора, потому что регламент имеет прямое действие на него. В случае нарушения или утечки с вас могут тоже взять штраф, и может быть возбуждено некое разбирательство в европейском суде», — резюмировала Боровикова.

Фото: Аскар АХМЕТУЛЛИН

Читайте также