25 мая 2018 года в Европе были приняты обновленные правила обработки персональных данных — GDPR (General Data Protection Regulation). Регламент имеет экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если их услуги ориентированы на европейский или международный рынок. Филиалы, представительства российских организаций на территории ЕС тоже должны будут соответствовать новым требованиям.
Чтобы обезопасить отечественные компании от многомиллионных штрафов участники рабочей группы по GDPR подготовили White Paper 2018 — документ, в котором описаны механизмы реагирования на новые правила, иллюстрирующие применимость закона к компаниям, ведущим деятельность на международном рынке. Также в нем прописаны основания для законной работы с данными, общая последовательность действий для соответствия Регламенту и основные отличия требований GDPR и Закона РФ «О персональных данных».
По результатам опроса рекламодателей об осведомленности брендов о Регламенте, 83,3% отметили, что провели консультации с юридическим департаментом компании по вопросам соответствия Регламенту. Также бренды в равной степени обращаются за помощью к сторонним консультантам, обновляют политику конфиденциальности на сайте и выделяют ресурсы на проведение внутреннего аудита и аудита партнеров в области работы с данными, — 33,3% от всех опрошенных. Наименее популярными ответами стали — аудит CRM — базы на наличие в ней данных, собранных по гражданам ЕС и определение законного основания для работы с данными. Про назначение DPO (Data Protection Officer) не упомянули ни один из респондентов.
Эксперты отмечают, что Регламент разделяет организации, работающие с данными, на две категории: контроллер (он же оператор) и процессор (он же обработчик): контроллер определяет цели и средства обработки персональных данных, тогда как процессор технически осуществляет сбор и обработку данных в интересах контроллера и согласно обозначенным контроллером целям. При этом бизнес может выступать и контроллером и процессором в разных случаях. К примеру, технологический вендор, обрабатывая данные клиентов, выступает в качестве процессора, тогда как при работе с собственной базой данных — в качестве контроллера.
В White Paper представлены кейсы, иллюстрирующие применимость Регламента в России для паблишеров, технологических вендоров, технологических провайдеров, владельцев единого сервиса авторизации и международных рекламодателей.