Nikita Zhurlov
Лера, можете написать мне в любых соцсетях (ссылки в профиле) или Телеграм https://t.me/nzhurlov
Мне кажется, у ТикТок всё же получится оспорить штраф и Нидерланды будут менее тоталитарными :)
Роспотребнадзор даже специально памятку потребителям сделал на эту тему
Если есть возможность расторгнуть договор и отказаться от подписки, но продолжают списывать деньги - это незаконно. На самом деле, надо смотреть договор, чтобы сказать конкретно по Вашей ситуации.
То есть, сервис уже запущен? Клиники из кауих стран уже есть?
Не совсем так.
Максимум риска - это наложение штрафа (до 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год), а также применение блокировок, эмбарго. Вопрос только в том, что такой практики ещё не было по отношении к проектам из других государств :)
Но могу сказать, что РФ не входит в перечень стран, обеспечивающих адекватную защиту персональных данных с точки зрения Европейской комиссии, поэтому контрагенты из ЕС должны самостоятельно проверять на соответствие продавца требованиям GDPR, когда делают у него заказ. И если происходит трансграничная передача для ЕС, то вся ответственность ляжет на этого контрагента, а потом будет как в случае с Mailchimp - "показательная порка".
Лучше смотреть риски в контексте именно Вашего продукта и сегмента рынка, чтобы не быть голословным. К примеру, если это b2b рынок, то можно подставить своего пользователя (клиента) из ЕС.
К тому же, если у продукт нацелен на аудиторию ЕС, то соответствие их нормам как минимум поднимет лояльность, так как отношение к персональным данным и законам более тщательное.
В целом, если правообладатель (продавец) сам находится в РФ, то достаточно соответствовать основным принципам GDPR и подстроить бизнес-процессы под него.
По правоприменению GDPR в отношении проектов из других стран, наверное вот самые известные:
1) AggregateIQ Data Services Ltd из Канады, в отношении которого в 2018 года надзорный орган Великобритании (ICO) выдавало предписания (ссылки ниже);
2) Mailchimp из США, в отношении которого по жалобе гражданина Германии надзорный орган начал проверку, что компания использовала этот онлайн-сервис, который не соответствует нормам GDPR. В результате, был суд и надзорный орган выдал настоятельную рекомендацию не пользоваться сервисом Mailchimp. Ссылка yf сайт Европейской комиссии по защите данных: https://edpb.europa.eu/news/national-news/2021/bavarian-dpa-baylda-calls-german-company-cease-use-mailchimp-tool_en
Максим, если компания нацелена на рынок ЕС и обрабатывает данные граждан стран ЕС, то да - GDPR в таком случае распространяется на эту компанию, то есть необходимо соответствовать требованиям.
Правильно, именно только законы и то как они применяются в реальности - дают возможность анализировать и понимать риски.
Но руководствоваться только практикой в РФ тоже нельзя:
В российском законодательстве есть много "спящих" норм, которые внесены и 5-7 лет их никто не использует, никто не применяет и вообще о них забыли, без них строится практика... А потом раз и какой-нибудь юрист найдёт эту норму, скажет о ней в суде. Суд примет решение, потом сделает обзор практики за период, это дойдет до Верховного Суда и он включит в свой обзор.
И теперь этим должны руководствоваться все. Так практика меняется вообще с ног голову, хотя нормы остались те же.
Согласен, вопрос интересный и его надо будет рассмотреть в среде персональных данных ЕС.
Хорошая идея, записал в планы и тему про правоприменение!
В дальнейшем будет ещё обзор по другим странам, куда войдут США, Канада, страны Латинской Америки и Азии.
Пожалуйста! :)