Ведущий партнер адвокатского бюро Ellex Raidla и член совета Инспекции по защите данных Антс Нымпер пояснил, что GDPR касается всех людей, предприятий, учреждений и организаций, сталкивающихся с персональными данными, поскольку содержит нормы прямого действия в отношении обработки таких данных в Европейском союзе. Наряду с внутригосударственными правоприменительными актами Эстонии он заменит нынешний Закон о защите персональных данных.
Эстония, впрочем, не полностью готова к внедрению GDPR: на сегодняшний день некоторые законы еще не приведены в соответствие с основными принципами GDPR. "Хотя Рийгикогу, вероятно, примет новый соответствующий принципам GDPR Закон о защите персональных данных 30 мая, и в июне он вступит в силу, предприятия и организации страны должны соблюдать требования GDPR уже с 25 мая", - сказал Нымпер.
Рийгикогу также должен принять Закон о применении Закона о защите персональных данных, который внесет изменения еще примерно в сотню действующих в Эстонии правовых актов, затрагивающих тему защиты персональных данных. Закон о применении Закона о защите персональных данных еще только разрабатывается, и Рийгикогу, предположительно, примет его предстоящим летом.
По словам Нымпера, аналогичная ситуация сложилась также в Латвии и Литве, где местные законы о защите персональных данных находятся в разработке и, вероятно, будут приняты до Иванова дня.
Адвокат пояснил, что в связи с GDPR следует помнить, что установленные постановлением правила являются не рекомендацией, а требованием, за нарушение которого на предприятие может быть наложен крупный денежный штраф.
"Соблюдение GDPR обязательно для всех предприятий, которые каким-либо образом работают с персональными данными, в том числе с персональными данными своих работников. Причем недостаточно, если предприятие просто устанавливает формальные требования обработки персональных данных - следует обеспечить активное соблюдение GDPR. Это значит, что компания должна обладать полным обзором всего, что происходит в нем в связи с обработкой персональных данных. К исполнению требований GDPR следует отнестись со всей серьезностью: потенциальный размер штрафа может достигать 20 миллионов евро или до 4% оборота допустившего нарушение предприятия, хотя назначение максимальных штрафов и маловероятно", - рассказал Нымпер.
Советник Ellex Raidla Энекен Тикк добавила, что в любом случае с 25 мая предприятиям и учреждениям следует быть готовым к тому, чтобы по требованию людей выдавать им информацию о составе их обрабатываемых персональных данных, целях обработки и об их точном содержании. Кроме того, можно предполагать, что будут осуществляться запросы в отношении политик конфиденциальности и условий использования сайтов, приведенных в соответствие GDPR. "Хотя реагировать на такие запросы следует без необоснованных задержек, GDPR позволяет отвечать на запросы в течение месяца. За это время опоздавшие с внедрением GDPR учреждения могут пополнить необходимую документацию. GDPR требует, чтобы получившие запрос предприятия или организации помогали лицу в реализации его прав. Поэтому важно, чтобы обслуживающий клиентов персонал, пресс-секретари и руководители были готовы принимать ходатайства субъектов персональных данных и предоставлять начальную информацию об обработке таких данных. Даже если полное решение в связи с GDPR еще находится в разработке, на сегодняшний день обязательно должны быть выполнены основные задачи", - рассказала Тикк.
Для обычных людей вступление GDPR в силу означает, что предприятия Европейского союза больше не могут рассылать прямую рекламу и предложения по электронной почте и SMS тем, кто явным образом не предоставил на это согласие. Юридическим и физическим лицам также должна быть предоставлена возможность в любое время отказаться от получения материалов прямого маркетинга. Запрещены все потребительские игры, в ходе которых у участников спрашивают, например, контактные данные друзей. Обработка данных частных лиц допускается только, если предприятие в простой и понятной форме запрашивает на это разрешение.
Крупные обрабатывающие персональные данные предприятия и государственные учреждения должны были к 25 мая 2018 года назначить специалистов по защите данных (на англ. Data Protection Officer), задачей которых является обеспечение соблюдения требований GDPR. Специалистом по защите данных может быть собственный работник предприятия или внешний консультант.