25 травня 2018 року в силу вступили нові правила обробки персональних даних, встановлені Загальним регламентом щодо захисту даних (Регламент ЄС 2016/679 від 27 квітня 2016 року або GDPR — General Data Protection Regulation). Наслідки цих змін користувачі могли відчути на протязі декількох останніх місяців, але критичної точки події досягли саме на цьому тижні — поштові сервіси ще ніколи не були так сильно завантажені роботою.
А все тому що якщо компанія не буде дотримуватися правил GDPR, то не зможе працювати з європейськими користувачами. Чим це відрізняється для компаній, а чим для звичайних користувачів читайте далі.
General Data Protection Regulation
6 принципів обробки даних по GDPR
Загальний підхід європейців до обробки персональних даних сформульовано у вигляді 6 основних принципів:
- Законність, справедливість і прозорість. Особисті дані користувачів (до яких відносять все, в тому числі й ім’я, прізвище, місце знаходження) повинні оброблятися законно, справедливо і прозоро. Будь-яку інформацію про цілі, методи та обсяги обробки персональних даних слід викладати максимально доступно і просто.
- Обмеження мети. Дані повинні збиратися і використовуватися виключно в тих цілях, які заявлені компанією (онлайн-сервісом).
- Мінімізація даних. Не можна збирати більше особистих даних, ніж це необхідно для цілей обробки.
- Точність. Особисті дані, які є неточними, повинні бути видалені або виправлені (на вимогу користувача).
- Обмеження зберігання. Особисті дані повинні зберігатися в формі, яка дозволяє ідентифікувати суб’єктів даних на термін не більше, ніж це необхідно для цілей обробки.
- Цілісність і конфіденційність. При обробці даних користувачів компанії зобов’язані забезпечити захист персональних даних від несанкціонованої або незаконної обробки, знищення та пошкодження.
GDPR
Як це відіб’ється на компаніях?
Головне і основне, що потрібно знати компаніям, які збираються ігнорувати GDPR і продовжать обробляти особисті дані користувачів ЄС: штрафи за недотримання законів величезні.
- 20 мільйонів євро або 4% від річного доходу за порушення: ключових положень Регламенту, прав суб’єктів ПД, нормативів передачі особистих даних і ін.
- 10 мільйонів євро або 2% від річного доходу за порушення процедури отримання згоди на зберігання та обробку ПД неповнолітніх, за недотримання технічних норм роботи з ПД, за відсутності представника в ЄС і ін.
Все, що вимагається від компаній зараз, це змінити власні правила збору і обробки даних користувачів. Саме тому багатьом користувачам вже до болю в очах відкривати повідомлення, де їх просять погодиться на обробку особистих даних за новим зразком, але при цьому такі зміни тільки на краще.
Що зміниться через GDPR для користувачів
- Якщо компанії декілька потерпають від нових правил, то для користувачів це приносить тільки користь. GDPR значно розширили права користувачів. Тепер інформацію про своїх даних компанії зобов’язані викладати в простій і доступній формі, щоб користувач розумів, які дані і для чого компанія використовує.
- Можна заборонити використовувати персональні дані, виправити невірну інфомарцію або ж повністю видалити її з мережі.
- Багато користувачів досить безтурботно ставляться до своїх даних, але нові правила виправлять цю ситуацію.
Особливо важливі статті Регламенту:
- наявність представника компанії на території Євросоюзу, головна роль якого — висловлювати її інтереси в процесі взаємодії з відповідним регулятором.
- наявність офіційної згоди на обробку ПД: зміни торкнулися умов оформлення документа на обробку ПД. Перше: у суб’єктів ПД з’явилася можливість забрати свою згоду на використання особистих даних. І друге: під кожну окрему мету використання ПД має існувати окрема згода. Загальні документи визнаються недійсними.
- згода неповнолітніх має підкріплюватися згодою батьків.
своєчасний доповідь про злом / компрометації ПД: на організації накладається зобов’язання повідомляти регулятору про випадки злому. Повідомлення має надійти не пізніше 72 годин з моменту появи інформації про компрометацію даних.
обов’язкове призначення відповідального за роботу з ПД особи, оцінка ризиків впливу маніпуляцій з особистими даними на їх носіїв, облік всіх пунктів роботи з ПД. - розширені права суб’єктів ПД: право в будь-який момент запросити копії ПД; зажадати пояснення цілей обробки або повного забуття ПД.
Деякі компанії призупиняють роботу з користувачами з Європи. До таких компаній належить Pinterest і його новинний додаток Instapaper. Але припинення роботи тимчасове, компанія обіцяє все виправити і відновити роботу.
GDPR
Що ж робити користувачам?
Група активістів Privacy International радить користувачам, щоб швидко розібратися у величезній кількості нових листів про зміну умов, шукати всередині ключові слова:
“Дата-провайдери” (Data providers)
Ця фраза може згадуватися в розділі про те, яку інформацію збирають і як саме. Користувачам радять уважно читати подробиці того, які їх особисті дані будуть збиратися третіми сторонами.
“Дані про місцезнаходження” (Location data)
Новий закон чітко визначає, що дані місця, які користувач відвідує або відвідував в минулому — це його особиста інформація.
Тому послуги повинні повідомляти, як вони збираються таку інформацію використовувати, зокрема, для ідентифікації конкретних користувачів.
“Акт підтвердження” (Affirmative act)
У разі, якщо потрібна згода — його слід дати через чітку, однозначну дію.
Тепер не можна автоматично вносити користувачів в розсилки, бо вони не зняли потрібну галочку.
“Контролер” (Controller)
Користувачам за межами ЄС слід перевірити, де знаходиться онлайн-сервіс, яким вони користуються. Facebook нещодавно переклав мільйони своїх користувачів з-під контролю свого ірландського офісу, що означає, що вони більше не будуть захищені новими правилами ЄС.
“Цілі” та “Одержувачі” (Purposes and Recipients)
Ці терміни зазвичай позначають, хто саме буде користуватися вашими даними і з ким вони будуть ними ділитися.
