Закон о защите данных. Что такое GDPR?

25 мая 2018 года в ЕС в силу вступили новые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation).

Это означает, что если компания не будет придерживаться правил GDPR, то не сможет работать с европейскими пользователями. Как это повлияет на компании, а как на обычных пользователей – читайте дальше.

6 принципов обработки данных по GDPR

Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:

1) Законность, справедливость и прозрачность. Личные данные пользователей (к которым относят все, в том числе и имя, фамилию, место нахождения) должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.

2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).

3) Минимизация данных. Нельзя собирать больше личных данных, чем это необходимо для целей обработки.

4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).

5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.

6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Как это отразится на компаниях?

Главное и основное, что нужно знать компаниям, которые собираются игнорировать GDPR и продолжат обрабатывать личные данные пользователей ЕС: штрафы за несоблюдение законов огромные.

20 миллионов евро или 4% от годового дохода за нарушение: ключевых положений Регламента, прав субъектов ПД, нормативов передачи личных данных и др.

10 миллионов евро или 2% от годового дохода за нарушения процедуры получения согласия на хранение и обработку ПД несовершеннолетних, за несоблюдение технических норм работы с ПД, за отсутствие представителя в ЕС и др.

Все, что требуется от компаний сейчас, это изменить собственные правила сбора и обработки данных пользователей.

Что изменится из-за GDPR для пользователей

Если новые правила приносят компаниям некоторые ограничения, то пользователям это приносит только выгоду. GDPR значительно расширили права пользователей. Теперь информацию о своих данных компании обязаны излагать в простой и доступной форме, чтобы пользователь понимал, какие данные и для чего компания использует.

Можно запретить использовать персональные данные, исправить неверную информарцию или же полностью удалить ее из сети.

Многие пользователи довольно беззаботно относятся к своим данным, но новые правила исправят эту ситуацию.

Особо важные статьи Регламента:

– наличие представителя компании на территории Евросоюза, главная роль которого — выражать ее интересы в процессе взаимодействия с соответствующим регулятором.

– наличие официального согласия на обработку ПД: изменения коснулись условий оформления документа на обработку ПД. Первое: у субъектов ПД появилась возможность забрать свое согласие на использование личных данных. И второе: под каждую отдельную цель использования ПД должно существовать отдельное согласие. Общие документы признаются недействительными.

– согласие несовершеннолетних должно подкрепляться согласием родителей.

– своевременный доклад о взломе/компрометации ПД: на организации накладывается обязательство сообщать регулятору о случаях взлома. Уведомление должно поступить не позднее 72 часов с момента появления информации о компрометации данных.

– обязательное назначение ответственного за работу с ПД лица, оценка рисков влияния манипуляций с личными данными на их носителей, учет всех пунктов работы с ПД.

– расширенные права субъектов ПД: право в любой момент запросить копии ПД; потребовать объяснение целей обработки либо полного забвения ПД.

Некоторые компании приостанавливают работу с пользователями из Европы. К таким компаниям относится Pinterest и его новостное приложение Instapaper. Но приостановка работы временная, компания обещает все исправить и возобновить работу.

Что же делать пользователям?

Группа активистов Privacy International советует пользователям, желающим быстро разобраться в огромном количестве новых писем об изменении условий, искать внутри ключевые слова:

«Дата-провайдеры» (Data providers)

Эта фраза может упоминаться в разделе о том, какую информацию собирают и как именно. Пользователям советуют внимательно читать подробности того, какие их личные данные будут собираться третьими сторонами.

«Данные о местонахождении» (Location data)

Новый закон четко определяет, что данные места, которые пользователь посещает или посещал в прошлом — это его личная информация.

Поэтому сервисы обязаны сообщать, как они собираются такую информацию использовать, в частности, для идентификации конкретных юзеров.

«Акт подтверждения» (Affirmative act)

В случае, если требуется согласие — его следует дать через четкое, однозначное действие.

Теперь нельзя автоматически вносить пользователей в рассылки, потому что они не сняли нужную галочку.

«Контроллер» (Controller)

Юзерам за пределами ЕС следует проверить, где находится онлайн-сервис, которым они пользуются. Facebook недавно перевел миллионы своих пользователей из-под контроля своего ирландского офиса, что означает, что они больше не будут защищены новыми правилами ЕС.

«Цели» и «Получатели» (Purposes and Recipients)

Эти термины обычно обозначают, кто именно будет пользоваться вашими данными и с кем они будут ими делиться.

GDPR, Whois и Украина

Для всх .UA доменов, которые обслуживает компания “Хостмастер” из Whois исключены сведения о контактах, рассматриваемых как персональные. Доступ к ним возможен только на уровне регистраторов и правоохранительных структур по особому запросу.

Вместо этого, данные о регистраторе расширены abuse-контактами (email, телефон, почтовый адрес), на которые можно направлять жалобы и предложения относительно конкретных доменов.

Источник: marketer