Регламент GDPR (General Data Protection Regulation) вступил в силу в мае 2018 года, что вызвало небывалый ажиотаж во всех сферах бизнеса, так или иначе сталкивающихся с персональными данными. Впрочем, большинство паникёров «слышат звон, да не знают, где он» и слабо знакомы с содержанием закона. Мы изучили нововведение и отвечаем на самые популярные вопросы, связанные с новым регламентом по защите данных в ЕС.
Что такое GDPR?
Регламент, ограничивающий сбор, хранение и использование личных данных пользователей в сети Интернет.
Для чего нужен GDPR?
Для того, чтобы граждане ЕС могли контролировать использование своих личных данных в Интернете и управлять ими. Согласно регламенту, каждый пользователь имеет право знать, какая информация о нем есть у той или иной компании; как и с какой целью данные используются; кто имеет к ним доступ; как они были собраны; используется ли информация для составления аватара пользователя (к примеру, для персональной рекламы).
Любой человек теперь может сделать запрос на получение информации об использовании его данных. Ответ компания обязана дать в течение трех месяцев в удобной для пользователя форме.
Кого затрагивает закон?
Точного и конкретного ответа на этот вопрос нет. Да, и такое бывает. Формулировка Регламента GDPR позволяет трактовать его по-разному. Одни правозащитники утверждают, что под действие закона попадают все граждане ЕС вне зависимости от того, в какой части мира они находятся. Другие – что регламент действует на всех пользователей, находящихся на территории ЕС, будь то гражданин или не гражданин Евросоюза. Разъяснить вопрос юристы смогут не ранее, чем через несколько месяцев, когда накопится правоприменительная практика.
Попадает ли ваша компания под действие правил GDPR?
Да, если среди ваших клиентов есть граждане ЕС или вы имеете представительства своей фирмы на территории Евросоюза.
Принципиальные нововведения
- Компания обязана четко уведомить клиента о том, что его данные будут сохраняться и анализироваться. При этом, следует разъяснить, с какой целью ведется сбор и какой именно информации.
- Пользователь имеет право не соглашаться на обработку своих данных и в любой момент отозвать свое согласие.
- Пользователь может воспользоваться правом на забвение и потребовать от компании удалить все данные о нем.
- По требованию пользователя компания обязана предоставить копии всех имеющихся личных данных в электронном виде для передачи их другой компании.
Как это работает: к примеру, если человек пользуется одним сервисом по вызову такси и хочет пользоваться другим сервисом, то для экономии времени он имеет право скопировать свои данные из одной компании в другую. - Компаниям запрещено собирать информацию о расовой и этнической принадлежности, состоянии здоровья, религии и политических предпочтениях клиентов.
- Компаниям запрещено собирать и обрабатывать информацию, которая напрямую не относится к их задачам и бизнесу. Собранные данные должны быть минимально необходимыми.
Что делать компаниям, чтобы работать в рамках GDPR?
Компании обязаны легально собирать информацию о своих клиентах и запрашивать согласие на сбор и обработку личных данных. Наш сервис поможет это сделать с помощью Форм подписки, в которых можно включить «Опцию согласия с правилами и условиями». Заполняя такую форму, пользователь официально соглашается с политикой сервиса и доверяет вам свои данные.
Использовать бесплатные Формы могут пользователи, зарегистрированные в сервисе Mobizon. Подробнее об использовании форм можно прочесть здесь.
Что будет, если не соблюдать регламент?
Штрафы, прописанные за несоблюдение регламента, впечатляют. За нарушение правил безопасности персональных данных - до 10 млн евро или 2% от годового дохода. За нарушение основных прав пользователей, принципов обработки и передачи персональной информации – до 20 млн евро или 4% от годового дохода. Впрочем, это не значит, что владельцам небольшого бизнеса придется платить такие огромные суммы. Выписка штрафов – крайняя мера, которой предшествуют предупреждения и требования удалить данные.
Особые правила для детской аудитории
Согласно GDPR на использование личных данных детей до 16 лет согласие должны давать их родители. Для того, чтобы подтвердить разрешение взрослых, регламент предлагает «прилагать разумные усилия с учетом имеющихся технологий». Как именно это делать – неясно. Если ваша целевая аудитория – подростки, без юридической консультации не обойтись.
Кто следит за соблюдением закона?
В каждой стране Евросоюза есть национальные регуляторы в области персональных данных – правозащитные организации, в которые может обратиться любой гражданин ЕС, если считает, что его права были ущемлены. Кроме того, есть и «верховный суд» - Европейский совет по защите данных (European Data Protection Board — EDPB).
Регуляторы служат посредниками между пользователями и компаниями, использующими их данные. В случае, если у пользователя есть претензии, от его имени решать вопрос будут национальные регуляторы или Европейский совет по защите данных.
