Все пользователи почтовых сервисов от компании Google недавно получили важное системное сообщение, в котором идет речь об изменении политики конфиденциальности. С чего вдруг? Вы тоже получаете непонятные письма об изменении политики данных от популярных сайтов и сервисов? Постоянно видите аббревиатуру GDPR в новостях, но не знаете, что она означает? Мы расскажем обо всем.
Содержание
- Что такое GDPR?
- Изменения коснутся только сайтов?
- Как изменения касаются уже действующих документов по защите личных данных?
- Что такое обезличивание данных и как оно будет работать с 25 мая?
- Какие права субъектов персональных данных теперь зафиксированы документом?
- Коснется ли действие GDPR украинских компаний?
- Что же делать обычным пользователям?
С 25 мая начал действовать новый европейский регламент по защите персональных данных GDPR (General Data Protection Regulation). Согласно новым правилам, обрабатывать персональные данные компании смогут только с согласия пользователей, причем об этом необходимо сообщать не в лицензионном соглашении, а отдельно.
Данный регламент только вступил в действие, а уже породил много слухов и домыслов. Его введение привело к ряду неожиданных последствий для всей технологической индустрии. Давайте вкратце попробуем разобраться, чем этот регламент осложнит, а может и облегчит, нашу жизнь.
Что такое GDPR?
GDPR (General Data Protection Regulation) — набор новых правил относительно того, как можно (или нельзя) обрабатывать персональные данные клиентов вашего бизнеса или пользователей вашего сайта. Касается он граждан с ЕС, а вот распространяется на все сайты в мире (даже если эти сайты находятся за пределами ЕС, но ими пользуются граждане Союза). Поскольку отфильтровать или заблокировать доступ гражданам ЕС у вас вряд ли получится (как и у любого из собственников и администраторов интернет-сервисов), GDPR касается всех.
Изменения коснутся только сайтов?
На самом деле, все немного сложнее. Персональные данные — это не только файлы cookies, логины или пароли. Данные кредитных карт в онлайн и оффлайн-магазинах, анкетные данные при заселении в отель, паспортные данные в каршеринговом или прокатном сервисе, регистрационные данные в приложения для онлайн-знакомств — все они подпадают под определение данных. Таким образом, даже если к вам заселился один турист из Германии или на сайте что-то купил житель Польши — вам тоже придется оптимизировать свои услуги и сайты под GDPR.
В GDPR говорится, что персональные данные — любые данные, в которых прямо или косвенно можно узнать личность человека. Это значит, что такой информацией считается не только имя, фамилия, банковские данные или почта человека, а даже cookie-файлы и данные систем интернет-статистики. Любая компания, которая предоставляет свои услуги на территории ЕС, должна подчиняться этим правилам. За нарушение регламента компаниям грозит штраф в €20 млн или в размере 4% от глобальной выручки. Если у вас нет времени и сил вычитать 99 статей и 150+ пунктов преамбулы — просто поверьте, игнорировать это предписание рискованно для вашего бизнеса.
В основном под закон попадают не небольшие сайты, на которые практически не заходят европейские пользователи, а крупные технологические компании, дейтинговые сервисы и интернет-магазины. Им придется привести в норму процесс обработки персональных данных, или закрыть доступ европейским пользователям.
Каждый человек сможет скачать данные о себе, которые собирает та или иная компания, а также потребовать удалить их.
Как изменения касаются уже действующих документов по защите личных данных?
Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.
Определение «персональных данных» при этом существенно не скорректированы. Однако появляется понятие «идентификатор». Являет собой совокупность данных, с помощью которых субъект данных может быть идентифицирован. Сюда входят различные виды информации — от имени к геоинформационным данным.
Давайте немного разберемся с действием понятия «идентификатор» по условиям Европейского регламента по защите персональных данных GDPR. Итак, по новым условиям, для идентификации параллельно используються услуги 2 видов субъектов. Именно они будут обрабатывать персональные данные. Этоконтроллеры и процессоры:
- Контроллер (controller) — определение целей и средств обработки персональных данных
- Оператор (processor) — осуществление обработки персональных данных от имени контроллера
На примере это выглядит так:
- Форма сбора адресов от сервиса рассылок — это инструмент.
- Ваш сайт, на котором вы являетесь администратором, и где размещена форма — это контролирующее лицо.
- Компания, которой принадлежит инструмент сбора рассылок — это оператор собранных персональных данных.
Теперь сайты без вашего разрешения и согласия не имеют права заниматься рассылкой, а тем более передавать ваши личные данные третьим лицам.
Что такое обезличивание данных и как оно будет работать с 25 мая?
Новое законодательство ЕС требует непосредственно обезличивать данные, которые вы собираете и сохраняете. Директива 1995 таких жестких требований не предъявляла. Теперь надо назначать ответственное лицо. Все компании, которые являются контроллерами или операторами и находятся за пределами ЕС, должны назначать Data Protection Officer (DPO). Именно DPO привлекает к ответственности в случае, если контроллер нарушает требования GDPR. Однако этого «офицера» не надо назначать, если обработка данных ведется вашим бизнесом эпизодически или в малых объемах.
Какие права субъектов персональных данных теперь зафиксированы документом?
Кроме права «на забвение» и «на обезличивание», введено также право на ограничение обработки данных и на способность переносить данные. Субъект предоставления услуг имеет право:
- получить копию своих персональных данных
- беспрепятственно перенести свои данные от одного контроллера к другому
- хранить свои персональные данные на личном устройстве и прочее
Проще говоря, теперь именно вы решаете, что будет с вашими личными данными. Можете в любой момент потребовать их удаления или переноса от одного контроллера к другому. Никто не имеет права без вашего согласия передавать персональные данные, которые вы храните на личном устройстве.
Коснется ли действие GDPR украинских компаний?
Стоит заметить, что регламент касается абсолютно всех компаний, которые так или иначе обрабатывают данные лиц, находящихся в Европейском Союзе. То есть если компании поставляют свои товары либо услуги физическим лицам на территории ЕС, то они обязаны соблюдать европейский регламент по защите персональных данных. А таковыми могут быть те компании, которые ведут онлайн-продажи, туроператоры, транспортные компании. Они хоть и находятся в Украине, но обрабатывают данные резидентов ЕС. Также под действие GDPR подпадают компании, которые проводят различные маркетинговые исследования, охватывающие потребителей из Европы.
Введение экстерриториального принципа действия Регламента объясняется тем, что иначе невозможно защитить персональные данные физических лиц, которые находятся на территории Евросоюза.
Что же делать обычным пользователям?
Конечно же, у большинства пользователей возник вопрос, что же теперь делать им, как себя вести. Группа активистов Privacy International советует пользователям, чтобы быстро разобраться в огромном количестве новых писем об изменении условий, искать в них ключевые слова:
«Дата-провайдеры» (Data providers)
Данная фраза может упоминаться в разделе о том, какую информацию о вас собирают и как. Мы советуем пользователям более внимательно читать подробности того, какие их личные данные будут собираться третьими сторонами и, главное, для чего.
«Данные о местонахождении» (Location data)
В новом законе четко определено, что данные места, которые пользователь посещает или посещал в прошлом — это его личная информация и не может передаваться третьим лицам, а тем более для рекламы. Поэтому сервисы обязаны сообщать, как они собираются такую информацию использовать, в частности, для идентификации конкретных пользователей.
«Акт подтверждения» (Affirmative act)
Времена, когда сервисы автоматически вносили пользователей в свою рассылку, если те не сняли галочку в нужном месте, подошли к концу. Но стоит все же проверить, как давалось согласие на тот или иной сервис, чтобы избежать неприятных последствий.
«Контроллер» (Controller)
Пользователям за пределами ЕС следует проверить, где находится онлайн-сервис, которым они пользуются. Facebook недавно перевел миллионы своих пользователей из-под контроля своего ирландского офиса, что означает, что эти пользователи больше не будут защищаться новыми правилами ЕС.
«Цели» и «Получатели» (Purposes and Recipients)
Эти термины обычно обозначают, кто именно будет пользоваться вашими данными и с кем будут ими делиться.
Ну и самое главное, помните, что только от вас зависит то, что о вас знает сервис, какую информацию он о вас получил. Именно ваша внимательность и бдительность поможет сохранить ваши персональные данные.
Если же вы сами хотите более детально ознакомиться с европейским регламентом по защите персональных данных GDPR (General Data Protection Regulation), то вы можете это сделать, кликнув по ссылке.
А если у меня обычный информационный русскоязычный сайт, то ничего можно не делать? Просто Google Adsense об этом пишет в аккаунте.