Обсуждение вопроса началось в разных странах около 40 лет назад. В мире драйверами процессов по усилению законодательства в области защиты персональных данных стали ЕС, США, Индия. Последние притормозили. А вот та же Россия в этом вопросе на передовой прогресса юридической мысли. Как и Евросоюз. Кстати, российский 152ФЗ по сути и духу очень похож на GDPR. Писали параллельно, исходя из одинаковых вводных.
GDPR имеет отношение к тем, кто так или иначе взаимодействует с физическими лицами на территории ЕС — в тч не только для продажи товаров, но для сбора геоданных на территории ЕС мобильными приложениями.
Важно, что под действие законодательства GDPR подпадают не только граждане ЕС, но любые физические лица, которые переступили границу ЕС. В том числе, под закон попадает использование баз данных потребителей из ЕС.
Для сугубо российских сервисов: Если гражданин ЕС приехал в Россию, скачал мобильное приложение, то это НЕ будет попаданием под GDPR. Это рассматривается как случайное использование и не расценивается как нарушение GDPR. Неслучайным будет — если вы станете целенаправленно собирать данные именно жителей ЕС и делать на них таргетированную рекламу. Другое дело, что законоприменительной и судебной практики почти нет, поэтому все подобные умозаключения остаются сугубо экспертным мнением.
Privacy policy должно быть на языке простом и понятном для любого пользователя. Соответственно, для голландца правила должны быть на голландском языке, причем без канцеляризмов, сложных юридических и специализированных терминов.
Штрафы очень высоки (4% от оборота или до 20 млн евро), но направлены не на уничтожение бизнеса, а на мотивацию к предотвращению нарушений. Размер назначается исходя из размера бизнеса. Соответственно, штраф в 20 млн евро не назначат компании с выручкой 5 млн в год.
Под персональные данные подпадают любые куки и даже временные id. Другое дело, что такие данные будут приниматься как подпадающие под закон GDPR только если компания собирает их целенаправленно, систематически, массово и для использования в бизнес-процессах. Очень важный момент — целенаправленность сбора и сохранения персональных данных.
Ранее собранные большие данные в обезличенном виде могут ли продаваться или передаваться третьим лицам для НИОКР и проч? Только если предварительно было получено разрешение (галочка) на эту возможность в будущем.
Хранить персональные данные физических лиц по GDPR можно и вне ЕС, если компания, предоставляющая серверные услуги, условно соответствует требованиям (по сути, формальные признаки — не однодневка, наличие сайта, специализация на этих услугах). И DPO — data protection officer — можно аутсорсить, таких услуг уже много.
Общий вывод — бояться GDPR не стоит, тем более это не причина отказываться от европейского бизнеса, если в нем с коммерческой точки зрения есть толк.