Основной целью указанного документа является предоставление жителям ЕС больше возможностей для контроля за использованием их персональных данных, с одной стороны, а с другой – повышение уровня ответственности компаний, по поручению и в пользу которых происходит сбор указанных персональных данных, перед жителями ЕС.
Под охрану в рамках GDPR попадают любые данные, которые могут каким-либо образом идентифицировать индивида и затрагивают любого рода экономические, физиологические, социальные и иные признаки лица.
В сферу влияния GDPR входят все компании, которые реально или потенциально могут иметь дело с персональными данными резидентов ЕС. Так, в случае если компания ведет деятельность, которая предположительно направлена на европейский рынок потребительских товаров или услуг, она обязана соблюдать нормы GDPR. Подтверждением такой деятельности в Европе могут служить использование домена европейских стран на сайте компании, предлагающей товары или услуги, или использование при расчетах валюты стран ЕС.
Кроме того, GDPR различают компании, которые относятся к числу dataprocessor (то есть лиц, фактически занятых сбором и обработкой персональных данных) и datacontroller (лиц, в пользу которых такой сбор осуществляется). Очевидно, что datacontroller в большей степени ответственен за персональные данные, ввиду того, что именно он определяет цели их дальнейшего использования.
На данный момент вступление в силу GDPR означает для большинства компаний необходимость официального признания факта использования персональных данных резидентов ЕС и, как следствие, принятие на себя большей ответственности. Тем не менее, такие осознанное усиление ответственности на самом деле сейчас лишь формально. Фактически же процедура была запущена гораздо раньше, и как следствие, в настоящий момент лишь требуется подтвердить целенаправленный характер деятельности в отношении жителей ЕС.
Штрафы за несоблюдение положений GDPR могут достигать 4% от мирового дохода компании или 20 миллионов евро. Данный размер штрафа является максимальным и применяется в отношении наиболее серьезных нарушений (к примеру, неполучение необходимого согласия клиента на обработку данных или нарушение основополагающих положений по конфиденциальности). Применение штрафов основывается на многоуровневом подходе.К примеру, за нарушение компанией норм о хранении персональных данных на нее налагается штраф в размере 2%, равно как и для случая несообщения вышестоящим органам и субъекту данных о факте нарушения или несоблюдения положений по охране данных. Штрафы применяются как в отношении компаний, являющихся dataprocessor, так и в отношении компаний из числа datacontroller.