Major lawsuits filed against Facebook, Google, Instagram and WhatsApp on first day of GDPR era
From midnight on May 25, all data operators that work with information about European citizens must comply with the new rules, known as the GDPR (General Data Protection Regulation). Facebook, Google, Instagram and WhatsApp have already received their first multi-billion dollar lawsuits for not following the new rules.
A few days before the new rules came into force, large social networks began to notify their users about this and asked to confirm their agreement with GDPR. In connection with this requirement on the first day of the rules four complaints were submitted - against Google and their Android operating system, social networks Facebook and Instagram, as well as the WhatsApp messenger. The reason is the so-called "forced consent", reports the European organization Noyb.
In fact, companies did not allow users to understand what the essence of the changes was, or simply issued new GDPR rules for changing the internal rules of a particular network. The amount of claims to Google is € 3.7 billion, and to the other three companies - € 1.3 billion each.
Any business, regardless of jurisdiction, must perform GDPR if it uses the data of residents of the European Union in its work, and it has direct effect in 28 participating countries. In particular, Russian companies that have subsidiaries, online stores, airline sites that allow purchases from the EU, mobile operators and banks fall under the jurisdiction of the GDPR.
As Natalia Belomestnova, Advisor to Dispute Resolution and Intellectual Property Practice at Bryan Cave Leighton Paisner (Russia) LLP, told us, an important feature of the GDPR is that the regulation does not use the concept of “citizenship” and protects the personal data of all persons located in the EU in including Russians. "Therefore," under the distribution ", most likely, Russian banks will receive information about transactions of customers on vacation or business trips to the EU, as well as mobile operators that track the movements of subscribers in roaming," the expert explained.
According to the meaning of GDPR, these companies, despite their location outside the EU, must comply with the GDPR requirements in full, and also appoint an authorized responsible representative in the EU who will respond to all requests from regulatory authorities. "However, there is still no complete clarity on how the mechanisms for holding accountable foreign companies that are not in the EU and have not appointed their authorized responsible representative," Belomestnova says. According to her, at present "not many Russian companies" are concerned about the issue of fulfilling GDPR requirements, but they expect a surge of interest in this topic after the start of the formation of law enforcement practice.
The expert expects the regulatory authorities to initiate "several demonstration processes" in relation to foreign companies in order to demonstrate the seriousness of their intentions to enforce GDPR rules outside the EU.
From midnight on May 25, all data operators that work with information about European citizens must comply with the new rules, known as the GDPR (General Data Protection Regulation). Facebook, Google, Instagram and WhatsApp have already received their first multi-billion dollar lawsuits for not following the new rules.
A few days before the new rules came into force, large social networks began to notify their users about this and asked to confirm their agreement with GDPR. In connection with this requirement on the first day of the rules four complaints were submitted - against Google and their Android operating system, social networks Facebook and Instagram, as well as the WhatsApp messenger. The reason is the so-called "forced consent", reports the European organization Noyb.
In fact, companies did not allow users to understand what the essence of the changes was, or simply issued new GDPR rules for changing the internal rules of a particular network. The amount of claims to Google is € 3.7 billion, and to the other three companies - € 1.3 billion each.
Any business, regardless of jurisdiction, must perform GDPR if it uses the data of residents of the European Union in its work, and it has direct effect in 28 participating countries. In particular, Russian companies that have subsidiaries, online stores, airline sites that allow purchases from the EU, mobile operators and banks fall under the jurisdiction of the GDPR.
As Natalia Belomestnova, Advisor to Dispute Resolution and Intellectual Property Practice at Bryan Cave Leighton Paisner (Russia) LLP, told us, an important feature of the GDPR is that the regulation does not use the concept of “citizenship” and protects the personal data of all persons located in the EU in including Russians. "Therefore," under the distribution ", most likely, Russian banks will receive information about transactions of customers on vacation or business trips to the EU, as well as mobile operators that track the movements of subscribers in roaming," the expert explained.
According to the meaning of GDPR, these companies, despite their location outside the EU, must comply with the GDPR requirements in full, and also appoint an authorized responsible representative in the EU who will respond to all requests from regulatory authorities. "However, there is still no complete clarity on how the mechanisms for holding accountable foreign companies that are not in the EU and have not appointed their authorized responsible representative," Belomestnova says. According to her, at present "not many Russian companies" are concerned about the issue of fulfilling GDPR requirements, but they expect a surge of interest in this topic after the start of the formation of law enforcement practice.
The expert expects the regulatory authorities to initiate "several demonstration processes" in relation to foreign companies in order to demonstrate the seriousness of their intentions to enforce GDPR rules outside the EU.
- Maxim Varaksin
Original message
В первый день "эпохи GDPR" против Facebook, Google, Instagram и WhatsApp подали крупные иски
С полночи 25 мая все операторы данных, которые работают с информацией о гражданах Европы, должны выполнять новые правила, известные как GDPR (General Data Protection Regulation). Facebook, Google, Instagram и WhatsApp уже получили первые многомиллиардные иски за неисполнение новых правил.
За несколько дней до вступления новых правил в силу крупные социальные сети начали уведомлять своих пользователей об этом и попросили подтвердить согласие с GDPR. В связи с этим требованием в первый день действия правил было подано четыре жалобы – на Google и их операционную систему Android, соцсети Facebook и Instagram, а также на мессенджер WhatsApp. Причина – так называемое "принудительное согласие", сообщает европейская организация Noyb.
По сути, компании не давали пользователям толком понять, в чем заключается суть изменений, или просто выдавали новые правила GDPR за изменение внутренних правил конкретной сети. Сумма требований к Google составляет €3,7 млрд, а к трем остальным компаниям – по €1,3 млрд.
Исполнять GDPR должен любой бизнес, вне зависимости от юрисдикции, в случае, если в работе он использует данные жителей Евросоюза, а прямое действие он имеет в 28 странах-участницах. В частности, под юрисдикцию GDPR попадают и российские компании, которые имеют в Евросоюзе дочерние общества, интернет-магазины, сайты авиакомпаний, которые позволяют осуществлять покупки с территории ЕС, сотовые операторы и банки.
Как рассказала нам Наталия Беломестнова, советник практики разрешения споров и интеллектуальной собственности Bryan Cave Leighton Paisner (Russia) LLP, важная особенность GDPR заключается в том, что регламент не оперирует понятием "гражданство" и защищает персональные данные всех лиц, находящихся на территории ЕС, в том числе и россиян. "Поэтому "под раздачу", скорее всего, попадут российские банки, которым приходит информация о транзакциях клиентов, находящихся в отпуске или командировке в ЕС, а также сотовые операторы, которые отслеживают перемещения абонентов в роуминге", – пояснила эксперт.
По смыслу GDPR, эти компании, несмотря на их нахождение за пределами ЕС, должны соблюдать требования GDPR в полном объеме, а также назначить уполномоченного ответственного представителя на территории ЕС, который будет отвечать на все запросы контролирующих органов. "Однако до сих пор нет полной ясности относительно того, как будут работать механизмы привлечения к ответственности иностранных компаний, которые в ЕС не находятся и не назначили своего уполномоченного ответственного представителя", – говорит Беломестнова. По ее словам, в настоящее время "не многие российские компании" озабочены вопросом исполнения требований GDPR, но они ожидают всплеск интереса к этой теме после начала формирования правоприменительной практики.
Эксперт ожидает, что контролирующие органы инициируют "несколько показательных процессов" в отношении иностранных компаний, чтобы продемонстрировать серьезность намерений добиваться исполнения правил GDPR и за пределами Евросоюза.
С полночи 25 мая все операторы данных, которые работают с информацией о гражданах Европы, должны выполнять новые правила, известные как GDPR (General Data Protection Regulation). Facebook, Google, Instagram и WhatsApp уже получили первые многомиллиардные иски за неисполнение новых правил.
За несколько дней до вступления новых правил в силу крупные социальные сети начали уведомлять своих пользователей об этом и попросили подтвердить согласие с GDPR. В связи с этим требованием в первый день действия правил было подано четыре жалобы – на Google и их операционную систему Android, соцсети Facebook и Instagram, а также на мессенджер WhatsApp. Причина – так называемое "принудительное согласие", сообщает европейская организация Noyb.
По сути, компании не давали пользователям толком понять, в чем заключается суть изменений, или просто выдавали новые правила GDPR за изменение внутренних правил конкретной сети. Сумма требований к Google составляет €3,7 млрд, а к трем остальным компаниям – по €1,3 млрд.
Исполнять GDPR должен любой бизнес, вне зависимости от юрисдикции, в случае, если в работе он использует данные жителей Евросоюза, а прямое действие он имеет в 28 странах-участницах. В частности, под юрисдикцию GDPR попадают и российские компании, которые имеют в Евросоюзе дочерние общества, интернет-магазины, сайты авиакомпаний, которые позволяют осуществлять покупки с территории ЕС, сотовые операторы и банки.
Как рассказала нам Наталия Беломестнова, советник практики разрешения споров и интеллектуальной собственности Bryan Cave Leighton Paisner (Russia) LLP, важная особенность GDPR заключается в том, что регламент не оперирует понятием "гражданство" и защищает персональные данные всех лиц, находящихся на территории ЕС, в том числе и россиян. "Поэтому "под раздачу", скорее всего, попадут российские банки, которым приходит информация о транзакциях клиентов, находящихся в отпуске или командировке в ЕС, а также сотовые операторы, которые отслеживают перемещения абонентов в роуминге", – пояснила эксперт.
По смыслу GDPR, эти компании, несмотря на их нахождение за пределами ЕС, должны соблюдать требования GDPR в полном объеме, а также назначить уполномоченного ответственного представителя на территории ЕС, который будет отвечать на все запросы контролирующих органов. "Однако до сих пор нет полной ясности относительно того, как будут работать механизмы привлечения к ответственности иностранных компаний, которые в ЕС не находятся и не назначили своего уполномоченного ответственного представителя", – говорит Беломестнова. По ее словам, в настоящее время "не многие российские компании" озабочены вопросом исполнения требований GDPR, но они ожидают всплеск интереса к этой теме после начала формирования правоприменительной практики.
Эксперт ожидает, что контролирующие органы инициируют "несколько показательных процессов" в отношении иностранных компаний, чтобы продемонстрировать серьезность намерений добиваться исполнения правил GDPR и за пределами Евросоюза.
- Максим Вараксин