Что нужно знать о новом регламенте GDPR по защите данных в Европе

 
5 (Количество голосов: 18)

Уже 25 мая 2018 года граждане и жители Евросоюза получат контроль над персональными данными. Это произойдет благодаря введению General Data Protection Regulation — общего регламента по защите данных. Стоит отметить, что штрафы за несоблюдение GDPR могут нанести ощутимый удар по бюджету практически любой, даже очень крупной компании или корпорации. Теперь нарушитель будет обязан выплатить большую из двух сумм: 20 миллионов евро или же 4% годового оборота компании. Но не стоит сразу впадать в панику, ведь в этой статье мы поделимся наиболее важными с нашей точки зрения моментами, которые помогут избежать штрафов и убедиться в соответствии новым стандартам GDPR.

Что такое персональные данные в GDPR

Начнем с того, что нет конкретного перечня, который бы давал четкое определение персональным данным. По сути, это любые данные, которые прямо или косвенно помогут определить конкретного человека: имя, фамилия, данные о местоположении, фото, видео, IP-адрес, и так далее.

Бывают ситуации, в которых одни и те же данные могут быть персональными и не персональными. К примеру, вы владелец элитного ювелирного магазина, который должен быть под надежной охраной. Поэтому по всему магазину размещены камеры, которые снимают каждого посетителя в целях соблюдения безопасности. А теперь представим, что к каждой камере подключена система распознавания лиц, чтобы потом делать клиентам точечную рекламную рассылку. И вот перед нами персональные данные и очевидное нарушение GDPR. Если, конечно, на входе в магазин посетители не дают добровольное согласие на съемку в коммерческих целях.

Как теперь получать согласие пользователей на обработку персональных данных

В новом регламенте закреплены два важных пункта: privacy by default и privacy by design — неприкосновенность конфиденциальной информации по умолчанию и по дизайну. Это значит, что больше не будет никаких заранее проставленных галочек напротив пункта «согласен на обработку персональных данных», а сам этот пункт должен стать намного очевидней. Кроме того, у пользователей теперь появилась возможность отзывать согласие в следующих случаях:

  • Когда согласие было предоставлено пользователем вынужденно.
  • Когда у пользователя было запрошено больше данных, чем, по мнению пользователя, требовалось для обработки данных.
  • Когда компания запрашивает согласие на передачу данных третьим лицам без четкого объяснения целей и будущих действий с персональными данными.

Но и это еще не все. Согласно GDPR, пользователь должен иметь возможность отозвать свое согласие в любой момент, даже если цели и будущие действия с персональными данными были объяснены доступно и понятно, а согласие было получено добровольно.

Форма, в которой изложена политика обработки данных также должна быть в простой и понятной форме без лишней юридической терминологии и кучи страниц сложных пользователю пояснений. Ведь большинство пользователей просто смело пролистывают подобные документы до конца и ставят галочку, соглашаясь на то, в чем не уверены наверняка.

По сути, GDPR требует информировать пользователей о сборе и обработке данных в максимально простой, понятной и краткой форме. Само же согласие должно теперь выражаться в каком-то активном действии, а интерфейс, в котором будет происходит это действие, должен стать более простым и продуманным. Например, если вы планируете отправлять какие-либо промоматериалы по email и телефону, вам понадобится запросить два отдельных согласия на каждый из пунктов. А если вы, например, планируете использовать сегментацию по географическому признаку, то вам отдельно нужно будет согласие на сбор демографических данных о пользователях.

И еще кое-что — с 25 мая 2018 года cookies нельзя будет использовать в целях рекламы и аналитики, если на это нет законных оснований, например, требования контракта или полученное пользовательское согласие. И не помогут даже уведомление пользователей в стиле «посещая сайт, вы принимаете условия использования cookies», ведь первое посещение сайта пользователем не является согласием на обработку персональных данных.

Новые роли в GDPR

GDPR подразумевает две новых роли в обработке данных: data controller — управляющий персональными данными и data processor — обработчик персональных данных. Управляющий данными в этом случае несет большую ответственность, чем обработчик. Чтобы было понятнее, представим, что ваша компания пользуется Google Cloud Platform для работы. Там же хранятся и персональные данные клиентов. В таком случае, GCP выполняет роль обработчика данных, а ваша компания — управляющий данными, так как именно вы решаете, что дальше делать с данными клиентов.

Также, в соответствии с GDPR, появится новая обязательная должность в компаниях, которые занимаются обработкой данных или мониторингом пользователей. Это data protection officer — сотрудник, отвечающий за защиту данных. Такой человек будет отвечать за законность и защищенность обработки данных. В его обязанности будет входить проверка новых технологий в бизнесе, которые так или иначе связаны с обработкой данных.

Новые права пользователя согласно GDPR

Наиболее интересным и новым можно назвать right to be forgotten — право на забвение. Теперь любой пользователь может официально попросить исправить или удалить свои персональные данные, а также прекратить их использование. Исключение составляют ситуации, в которых данные пользователя собираются с определенной целью, например, для соблюдения безопасности. В таком случае, пользователь должен быть уведомлен о сборе данных в целях безопасности, а также о том, какой дальнейшей обработке подвергаются эти данные и кому они могут быть переданы.

Также появилось right to restrict processing — право на ограничение или прекращение обработки персональных данных. Если пользователь против обработки данных, или данные собираются и обрабатываются незаконно, любая компания должна прекратить процесс обработки. Право действует и в случае, если обработка данных более не нужна для целей, на которые давал согласие пользователь. Кстати, с этой целью Google Analytics даже выпустили специальное расширение для отключения Google Analytics.

Right to data portability — это право на портативность данных, еще одно новое понятие в GDPR. Суть его заключается в том, что пользователь теперь не должен заново вводить свои данные при переходе от одного управляющего данными к другому. Чтобы было понятней, приведем пример. Представьте, что клиент ранее всегда покупал компьютерную технику в другом интернет-магазине, и решил теперь покупать в вашем интернет-магазина из-за более низких цен. В таком случае другой магазин должен собрать данные клиента в максимально доступном формате для машинной обработки, и предоставить их вашей компании, чтобы клиенту не пришлось это делать вручную и, к примеру, заново вводить контактные данные и информацию о своих предпочтениях в технике. Звучит вполне удобно, по крайней мере, для клиентов. Но пока неясно, как именно это будет осуществляться с технической точки зрения.

Есть еще один важный момент в GDPR, который скорее представляет обязанность бизнеса, чем право пользователей. Это уведомление о взломе персональных данных — data breach notification. Согласно новым правилам, если персональные данные пользователя были поставлены под удар в результате взлома, компания, которая обрабатывала и хранила эти данные, обязана сообщить об этом необходимой инстанции (например, отделу полиции) и самому пользователю в течение 72 часов после того, как об этом стало известно самой компании.

На кого распространяется действие GDPR

Если коротко, то на всех, кто так или иначе занимается обработкой данных и мониторингом поведения жителей и граждан Евросоюза. И не важно, где именно находится офис вашей компании. Если среди ваших клиентов точно есть жители Евросоюза, чьи персональные данные вы так или иначе обрабатываете, GDPR будет применим ко всей вашей компании, даже если с европейскими клиентами работает лишь один отдел или вообще один человек.

Но как быть, если среди ваших клиентов случайно оказался житель Евросоюза? GDPR гласит, что в таком случае новые правила обработки информации все равно применимы к вашей компании. И возникает логичный вопрос: а как я узнаю, что среди моих клиентов есть жители Евросоюза? Ответа на этот вопрос нет, так как в регламенте пока не дается инструкция по отслеживанию таких клиентов.

Что делать бизнесу

Учитывая все вышеперечисленное, компаниям, связанным с обработкой и мониторингом данных, предстоит принять следующие меры:

  • Оценить все методы сбора, обработки и мониторинга данных пользователей, чтобы соответствовать стандартам GDPR.
  • Зашифровать все персональные данные клиентов.
  • Обновить политику конфиденциальности и положения об обработке персональных данных в пользовательских соглашениях своих сервисов для европейских пользователей.
  • Назначить DPO (сотрудника, ответственного за защищенность и законность обработки данных).
  • Обучить новым правилам персонал, связанный с обработкой и мониторингом персональных данных.
  • Подготовиться к возможным запросам со стороны европейских регулирующих органов.
  • Показать ценность новых стандартов GDPR своим пользователям.

На эти же меры ориентировалась и наша компания OWOX BI. На данный момент мы делаем финальные шаги по внедрению новых стандартов GDPR: обновляем сайт, политику конфиденциальности и интерфейс наших продуктов. Следите за обновлениями и рассылками, чтобы быть в курсе.

Вывод

GDPR — серьезный шаг вперед в плане защиты данных пользователей, который влечет за собой новые стандарты безопасности не только в Европе, но и по всему миру. Вполне вероятно, что пользователи будут больше доверять именно тем компаниям, которые заявят полное соответствие GDPR. Именно поэтому стоит уже сейчас ответственно подойти ко внедрению новых правил обработки и мониторинга данных, чтобы в будущем избежать внушительных штрафов и серьезных утечек.

Вас также могут заинтересовать