25 мая 2018 года в силу вступили новые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Последствия этих изменений пользователи могли ощутить на протяжении нескольких последних месяцев, но критической точки события достигло именно на этой неделе – почтовые сервисы еще никогда не были так сильно загружены работой.
А все потому что если компания не будет придерживаться правил GDPR, то не сможет работать с европейскими пользователями. Чем это отразится для компаний, а чем для обычных пользователей читайте дальше.
6 принципов обработки данных по GDPR
Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:
- Законность, справедливость и прозрачность. Личные данные пользователей (к которым относят все, в том числе и имя, фамилию, место нахождения) должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
- Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
- Минимизация данных. Нельзя собирать больше личных данных, чем это необходимо для целей обработки.
- Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
- Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
- Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Как это отразится на компаниях?
Главное и основное, что нужно знать компаниям, которые собираются игнорировать GDPR и продолжат обрабатывать личные данные пользователей ЕС: штрафы за несоблюдение законов огромные.
- 20 миллионов евро или 4% от годового дохода за нарушение: ключевых положений Регламента, прав субъектов ПД, нормативов передачи личных данных и др.
- 10 миллионов евро или 2% от годового дохода за нарушения процедуры получения согласия на хранение и обработку ПД несовершеннолетних, за несоблюдение технических норм работы с ПД, за отсутствие представителя в ЕС и др.
Все, что требуется от компаний сейчас, это изменить собственные правила сбора и обработки данных пользователей. Именно поэтому многим пользователям уже до боли в глазах открывать сообщения, где их просят согласится на обработку личных данных по новому образцу, но при этом такие изменения только к лучшему.
Что изменится из-за GDPR для пользователей
- Если компании несколько потерпают от новых правил, то для пользователей это приносит только выгоду. GDPR значительно расширили права пользователей. Теперь информацию о своих данных компании обязаны излагать в простой и доступной форме, чтобы пользователь понимал, какие данные и для чего компания использует.
- Можно запретить использовать персональные данные, исправить неверную инфомарцию или же полностью удалить ее из сети.
- Многие пользователи довольно беззаботно относятся к своим данным, но новые правила исправят эту ситуацию.
Особо важные статьи Регламента:
- наличие представителя компании на территории Евросоюза, главная роль которого — выражать ее интересы в процессе взаимодействия с соответствующим регулятором.
- наличие официального согласия на обработку ПД: изменения коснулись условий оформления документа на обработку ПД. Первое: у субъектов ПД появилась возможность забрать свое согласие на использование личных данных. И второе: под каждую отдельную цель использования ПД должно существовать отдельное согласие. Общие документы признаются недействительными.
- согласие несовершеннолетних должно подкрепляться согласием родителей.
- своевременный доклад о взломе/компрометации ПД: на организации накладывается обязательство сообщать регулятору о случаях взлома. Уведомление должно поступить не позднее 72 часов с момента появления информации о компрометации данных.
- обязательное назначение ответственного за работу с ПД лица, оценка рисков влияния манипуляций с личными данными на их носителей, учет всех пунктов работы с ПД.
- расширенные права субъектов ПД: право в любой момент запросить копии ПД; потребовать объяснение целей обработки либо полного забвения ПД.
Некоторые компании приостанавливают работу с пользователями из Европы. К таким компаниям относится Pinterest и его новостное приложение Instapaper. Но приостановка работы временная, компания обещает все исправить и возобновить работу.
Что же делать пользователям?
Группа активистов Privacy International советует пользователям, чтобы быстро разобраться в огромном количестве новых писем об изменении условий, искать внутри ключевые слова:
«Дата-провайдеры» (Data providers)
Эта фраза может упоминаться в разделе о том, какую информацию собирают и как именно. Пользователям советуют внимательно читать подробности того, какие их личные данные будут собираться третьими сторонами.
«Данные о местонахождении» (Location data)
Новый закон четко определяет, что данные места, которые пользователь посещает или посещал в прошлом — это его личная информация.
Поэтому сервисы обязаны сообщать, как они собираются такую информацию использовать, в частности, для идентификации конкретных юзеров.
«Акт подтверждения» (Affirmative act)
В случае, если требуется согласие — его следует дать через четкое, однозначное действие.
Теперь нельзя автоматически вносить пользователей в рассылки, потому что они не сняли нужную галочку.
«Контроллер» (Controller)
Юзерам за пределами ЕС следует проверить, где находится онлайн-сервис, которым они пользуются. Facebook недавно перевел миллионы своих пользователей из-под контроля своего ирландского офиса, что означает, что они больше не будут защищены новыми правилами ЕС.
«Цели» и «Получатели» (Purposes and Recipients)
Эти термины обычно обозначают, кто именно будет пользоваться вашими данными и с кем они будут ими делиться.