GDPR — что это, зачем это и почему оно важно для Вас

25 мая 2018 года в силу вступили новые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Последствия этих изменений пользователи могли ощутить на протяжении нескольких последних месяцев, но критической точки события достигло именно на этой неделе – почтовые сервисы еще никогда не были так сильно загружены работой.

А все потому что если компания не будет придерживаться правил GDPR, то не сможет работать с европейскими пользователями. Чем это отразится для компаний, а чем для обычных пользователей читайте дальше.

General Data Protection Regulation

6 принципов обработки данных по GDPR

Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:

Законность, справедливость и прозрачность. Личные данные пользователей (к которым относят все, в том числе и имя, фамилию, место нахождения) должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
Минимизация данных. Нельзя собирать больше личных данных, чем это необходимо для целей обработки.
Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Как это отразится на компаниях?

Главное и основное, что нужно знать компаниям, которые собираются игнорировать GDPR и продолжат обрабатывать личные данные пользователей ЕС: штрафы за несоблюдение законов огромные.

20 миллионов евро или 4% от годового дохода за нарушение: ключевых положений Регламента, прав субъектов ПД, нормативов передачи личных данных и др.
10 миллионов евро или 2% от годового дохода за нарушения процедуры получения согласия на хранение и обработку ПД несовершеннолетних, за несоблюдение технических норм работы с ПД, за отсутствие представителя в ЕС и др.

Все, что требуется от компаний сейчас, это изменить собственные правила сбора и обработки данных пользователей. Именно поэтому многим пользователям уже до боли в глазах открывать сообщения, где их просят согласится на обработку личных данных по новому образцу, но при этом такие изменения только к лучшему.

GDPR

Что изменится из-за GDPR для пользователей

Если компании несколько потерпают от новых правил, то для пользователей это приносит только выгоду. GDPR значительно расширили права пользователей. Теперь информацию о своих данных компании обязаны излагать в простой и доступной форме, чтобы пользователь понимал, какие данные и для чего компания использует.
Можно запретить использовать персональные данные, исправить неверную инфомарцию или же полностью удалить ее из сети.
Многие пользователи довольно беззаботно относятся к своим данным, но новые правила исправят эту ситуацию.

Особо важные статьи Регламента:

наличие представителя компании на территории Евросоюза, главная роль которого — выражать ее интересы в процессе взаимодействия с соответствующим регулятором.
наличие официального согласия на обработку ПД: изменения коснулись условий оформления документа на обработку ПД. Первое: у субъектов ПД появилась возможность забрать свое согласие на использование личных данных. И второе: под каждую отдельную цель использования ПД должно существовать отдельное согласие. Общие документы признаются недействительными.
согласие несовершеннолетних должно подкрепляться согласием родителей.
своевременный доклад о взломе/компрометации ПД: на организации накладывается обязательство сообщать регулятору о случаях взлома. Уведомление должно поступить не позднее 72 часов с момента появления информации о компрометации данных.
обязательное назначение ответственного за работу с ПД лица, оценка рисков влияния манипуляций с личными данными на их носителей, учет всех пунктов работы с ПД.
расширенные права субъектов ПД: право в любой момент запросить копии ПД; потребовать объяснение целей обработки либо полного забвения ПД.

Некоторые компании приостанавливают работу с пользователями из Европы. К таким компаниям относится Pinterest и его новостное приложение Instapaper. Но приостановка работы временная, компания обещает все исправить и возобновить работу.

GDPR

Что же делать пользователям?

Группа активистов Privacy International советует пользователям, чтобы быстро разобраться в огромном количестве новых писем об изменении условий, искать внутри ключевые слова:

«Дата-провайдеры» (Data providers)

Эта фраза может упоминаться в разделе о том, какую информацию собирают и как именно. Пользователям советуют внимательно читать подробности того, какие их личные данные будут собираться третьими сторонами.

«Данные о местонахождении» (Location data)

Новый закон четко определяет, что данные места, которые пользователь посещает или посещал в прошлом — это его личная информация.

Поэтому сервисы обязаны сообщать, как они собираются такую информацию использовать, в частности, для идентификации конкретных юзеров.

«Акт подтверждения» (Affirmative act)

В случае, если требуется согласие — его следует дать через четкое, однозначное действие.

Теперь нельзя автоматически вносить пользователей в рассылки, потому что они не сняли нужную галочку.

«Контроллер» (Controller)

Юзерам за пределами ЕС следует проверить, где находится онлайн-сервис, которым они пользуются. Facebook недавно перевел миллионы своих пользователей из-под контроля своего ирландского офиса, что означает, что они больше не будут защищены новыми правилами ЕС.