GDPR. Закон о защите персональных данных в Евросоюзе.
25 мая 2018 года в ЕС вступил в силу новый регламент защиты персональных данных – GDPR (General Data Protection Regulation). Что же это такое простыми словами?
Что такое GDPR?
GDPR – это постановление, которое призвано улучшить и привести к единообразию защиту персональных данных в Евросоюзе. Оно было принято ещё 27 апреля 2016 года, но ввиду того, что на подготовку требуется немало времени, вступило в силу лишь сегодня, 25 мая 2018 года. GDPR обязательно для исполнения во всех 28 странах Европейского союза, а также ему должны подчиняться абсолютно все компании, которые занимаются сбором данных в Европе. И тут важно отметить, что даже подписка по e-mail относится к GDPR, так как Вы, если являетесь, скажем, владельцем сайта, собираете персональные данные пользователей (e-mail) для последующей рассылки. Но о том, что такое персональные данные – чуть позже.
Требования GDPR
Перейдём к самому главному – к шести принципам, которых необходимо придерживаться при сборе персональных данных граждан Евросоюза…
- Законность, справедливость и прозрачность обработки информации. Любые компании, которые собирают данные, должны чётко объяснить пользователю, зачем они это делают и как они этими данными в дальнейшем планируют распоряжаться.
- Ограничение сбора данных исходя из цели. Если цели сбора данных изменились, но всё те же данные продолжают собираться, то это нарушение. Так делать нельзя.
- Минимальный набор данных. Компании могут собирать лишь те данные, которые необходимы им для достижения конкретных целей, которые были объявлены пользователю. Сбор любых данных, которые не нужны для достижения этих целей, то есть лишних данных, запрещён.
- Управление данными пользователем. Интернет пользователь имеет некоторые права, касающиеся его персональных данных. Так, например, он может запросить у компании копию всей личной информации, которая имеется в наличии. Её необходимо предоставить в течение 30 дней. Помимо этого, пользователь имеет право запросить удаление персональных данных о нём без права восстановления.
- Хранение персональных данных ограничено. Их нельзя хранить после достижения конкретной цели. Если данные собирались для какого-то процесса, то после его завершения необходимо удалить все персональных данные, а не хранить и использовать их при необходимости по другому назначению, как это очень любят делать некоторые товарищи.
- Защита данных. Необходимо обеспечить защиту от несанкционированной или незаконной обработки, уничтожения и повреждения информации. В случае утечки компания обязана уведомить пользователя в течение трёх дней.
Что такое «персональные данные» в GDPR?
К персональным данным относится любая информация, по которой можно определить человека прямо или косвенно – имя, адрес, сведения о состоянии здоровья, логин, электронная почта, ip-адрес, религиозная принадлежность, финансовое состояние, психическое здоровье и многое другое. Это практически любые сведения о конкретном человеке.
Что с GDPR на практике?
Все организации и компании, будь то социальная сеть, банк, университет или интернет-магазин, собирающие персональные данные, обязаны соблюдать требования GDPR. При этом, пользователь в любой момент может отозвать право на получение своих персональных данных. Компаниям необходимо очень доходчиво объяснять пользователям, какие данные о них собираются, как они используются, кому будут передаваться и зачем.
Помимо этого, есть несколько интересных особенностей, которые теперь прописаны юридически:
- Право на забвение. Пользователь имеет право запросить удаление всех персональных данных о себе без права восстановления – чтобы компания не хранила их и не могла, соответственно, обрабатывать.
- Право не перенос данных. Если пользователь хочет, чтобы его персональные данные попали в другую компанию, например, сервис-конкурент, то он имеет право потребовать от компании, которая занималась сбором его данных, отправить копию этих данных в другую компанию. И это требование должно быть выполнено, при чём бесплатно.
- Извещение о краже данных. Если данные были украдены, то компании обязаны предупредить регулятора и всех пользователей, которые при этой краже пострадали. Сделать это необходимо в течение 72 часов, то есть трёх суток.
- Офицер GDPR. Компании обязаны назначить ответственно за соблюдение всех правил и требований GDPR, а также за защиту персональных данных пользователей.
- Особая защита детский персональных данных. Согласие на сбор и обработку персональных данных малолетних детей может быть дано только родителями. Пользователи социальных сетей, например, Facebook в возрасте от 13 до 15 лет должны указывать своих родителей или опекунов, которые уже, в свою очередь, смогут дать согласие на обработку персональных данных. Пользоваться мессенджерами, например, WhatsApp, может будет только при достижении 16 лет.
Кого коснётся GDPR?
GDPR защищает всех граждан Евросоюза, а это около 512 миллионов человек. Соблюдать правила GDPR должны все, кто занимается сбором и обработкой персональных данных этих людей, вне зависимости от того, где располагается компания. Касается это всех – и гигантов вроде Facebook, Google, Amazon, и мелких компаний.
Штрафы за несоблюдение GDPR
Если кто-то решит не подчиниться закону, то его ждёт приличный штраф. Очень приличный. Несоблюдение принципов GDPR наказывается штрафом в размере от 10 до 20 миллионов евро или от 2% до 4% годового оборота компании.
Коснётся ли GDPR России?
Да, если жители Евросоюза будут пользоваться услугами компаний, которые собирают персональные данные. А это примерно треть крупных компаний из России. Это будут компании из финансовой сферы, сферы телекоммуникаций и поставщиков услуг связи, компании топливно-энергетического комплекс, компании, занимающиеся перевозкой пассажиров, социальные сети, поисковые системы и множество других компаний.
Всем этим компаниям необходимо либо соответствовать GDPR, на что может уйти миллионы рублей, либо прекратить сбор, хранение и обработку персональных данных граждан Евросоюза. Так, например, сделала корейская компания Gravity, которая решила с 25 мая блокировать доступ жителям Евросоюза к своим игровым серверам по ip.
