В мае 2018 года на территории Евросоюза вступят в силу обновлённые правила обработки персональных данных, установленные «Общим регламентом по защите данных» (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation).
Данный регламент заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям-перевозчикам следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.
Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании.
Это означает, что компании, осуществляющие перевозку европейцев и обрабатывающие их персональные данные в России при реализации онлайн-продаж своих услуг (например, РЖД, авиакомпании, компании-перевозчики и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.
Аналитики центра кибербезопасности ФГУП «ЗащитаИнфоТранс» предупреждают, что GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами.
Если компания входит в зону действия GDPR или планирует расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR.
Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).