В 2016 году Европейский Союз решил унифицировать нормы в сфере защиты персональных данных, в том числе усилить контроль граждан ЕС над тем, кто, почему и как распоряжается их персональными данными (ПД), а также расширить сам перечень того, что можно считать ПД.
Так появился Общий регламент о защите персональных данных, он же General Data Protection Regulation (GDPR). Он вступил в силу не сразу. Бизнесу дали два года, чтобы подготовиться к внедрению и соблюдению норм закона. Например, изменить внутренние политики компаний, политики конфиденциальности и пользовательские соглашения. Также следовало проинструктировать сотрудников о том, как собирать и хранить персональные данные законно и безопасно, поясняет адвокат Кристина Немчинова для AIN.ua.
Читайте:
"Бизнес" силовиков: что творится на штрафстоянках Киева
Три категории "жертв"
К первой категории относятся организации, непосредственно учрежденные в ЕС и собирающие персональные данные европейцев. Здесь все просто. Компании, основанные в ЕС (независимо от того, где фактически расположен их офис), собирая персональные данные граждан содружества, обязаны соблюдать GDPR. Кто из украинцев попал в эту категорию? Те, кто учредил бизнес в одной из стран Евросоюза.
Во второй категории — организации, продающие товары и услуги гражданам ЕС. Бизнес может не быть учрежден в ЕС, но обслуживать европейских граждан (например, онлайн-магазины). Если клиент – гражданин ЕС, ваша компания обязана соблюдать нормы GDPR. Сюда также относятся онлайн-сервисы, которые принимают в качестве оплаты евро, поддерживают один из официальных языков Евросоюза либо имеют домен государства-члена ЕС.
Третья категория — организации, которые осуществляют мониторинг поведения граждан ЕС. Это дата-центры, изучающие предпочтения для отбора потенциальных покупателей.
Таким образом, если ваш бизнес:
- запускает таргетированную рекламу;
- реализует товары и услуги гражданам ЕС;
- принимает оплату в евро;
- мониторит предпочтения потенциальных покупателей из ЕС;
- зарегистрирован в одной из юрисдикций Евросоюза.
Во всех этих случаях, ваша прямая обязанность — соблюдать GDPR.
Читайте:
"Опять обвинят бизнес": Южанина раскритиковала заявелние Минфина
Как все устроено
Многие за последние дни получали email-уведомления от сервисов, в которых зарегистрированы. Twitter, Instagram, Uber, Google и прочие предупреждают пользователей об изменениях политики конфиденциальности.
Для граждан это означает большую защиту их персональных данных. Для онлайн-платформ — усиление ответственности за незаконную обработку данных либо неполучение согласия граждан на такую обработку.
Согласие в данном случае — та самая галочка, которую ставит пользователь, когда дает разрешение на обработку данных. Существует одно "но": общего согласия теперь недостаточно. Отныне владелец платформы обязан получать согласие лица для каждой цели сбора и обработки данных. Если лицо передумает – имеет право такое согласие отозвать. В таком случае его данные должны быть удалены из системы. GDPR также устанавливает право лица запросить информацию о том, кто, с какой целью, на какой срок и как собирает его персональные данные.
Еще GDPR ввел новый субъект защиты ПД – так называемых обработчиков данных (data processors). Ранее под действие закона подпадали только data controllers, то есть организации, распоряжающиеся тем, какие данные и для чего могут быть собраны. Это и владельцы онлайн-площадок, и дата-центры, и организации, занимающиеся сбором и анализом информации.
Теперь же к ответственности за нарушение закона будут привлекать не только руководство, но технических специалистов, которые непосредственно проводят сбор и хранение ПД. Иными словами, это сотрудники бизнеса – IT-отдел, бухгалтерия, отдел кадров и т.д. Вот почему важно не только проинструктировать работников, но и убедиться, что данные, которые они собирают, обрабатываются законно и надежно.
Почему это опасно
Все слышали о скандале вокруг Cambridge Analytica, частной британской компании, которая занималась тем, что собирала данные пользователей, анализировала их и передавала для использования в избирательных компаниях. Их данные незаконно (то есть без их согласия) собрали и применили для предвыборной кампании Дональда Трампа.
Facebook потребовал от Cambridge Analytica удалить сведения. Проигнорировав требование (вернее, солгав об удалении), компания вместе с Facebook, который допустил размещение такого теста у себя на платформе, нарушила закон и права на защиту персональных данных. Впоследствии Марк Цукерберг отчитывался перед обеими Палатами американского парламента и Европарламентом, пообещав ужесточить правила сбора пользовательских данных.
Пример показывает, как важно иностранным онлайн-площадкам соблюдать закон ЕС. По сути, крупнейшая мировая соцсеть стала жертвой собственной неосторожности. Теперь такую ошибку не должны допустить вы.
Читайте:
Украинцы будут оплачивать штрафы прямо на границе
Чем грозят нарушения
Новый закон страшен санкциями и предусматривает две категории штрафов.
Так, за нарушение основных принципов международной передачи персональных данных, приказов национальных регуляторов государств-членов ЕС, предусмотрен штраф в 20 млн евро либо 4% от глобального оборота компании. Это означает, что нарушитель заплатит ту сумму, которая в итоге будет больше.
За более мелкие нарушения — 10 млн евро либо 2% от глобального оборота. Заплатить придется, например, за неполучение согласия детей на обработку ПД (такое согласие за лиц младше 13 лет дают родители), непринятие мер для защиты данных или неназначение в ЕС так называемого DPO. Data protection officer — гражданин ЕС, который должен представлять вашу организацию в Евросоюзе и быть связующим звеном между бизнесом и надзорными органами ЕС. Его назначение — обязательное условие закона.
Ранее объяснял, как новые правила GDPR запретили фотографировать людей на улицах.