GDPR-загальний регламент по захисту даних (General Data Protection Regulation), вступає в силу з 25 травня. Документ надає резидентам ЄС можливість управляти персональними даними: запитувати про цілі обробки, місце їх зберігання, а при необхідності видалити.
Які дані захищає GDPR? Персональні дані-будь-яка інформація про людину, за якою вона ідентифікується: стать, вік, місце проживання, розумова, культурна, економічна, соціальна ідентичність.
Принципи GDPR
-
Прозорість і законність. Компанії повинні зрозуміло пояснити, для чого вони збирають дані і як планують використовувати їх надалі.
-
Обмеження мети. Якщо цілі збору даних змінилися, але вони і далі продовжують використовуватися-це порушення.
-
Мінімум інформації. Дані потрібні тільки в обсязі, необхідному для досягнення конкретних цілей, не можна запитувати зайве.
-
Управління даними. Користувач може запросити копію всієї особистої інформації — яка у вас є по ньому-будьте готові надати її протягом 30 днів. Також користувач може зажадати видалити дані про нього без права відновлення.
-
Обмеження зберігання. Термін зберігання даних повинен перетинатися з терміном досягнення цілей. Як тільки мета досягнута-дані видаляються.
-
Безпека зберігання. Не можна передавати дані третім особам. У разі витоку повідомляти про це протягом трьох днів.
Кого торкнеться
GDPR має екстериторіальну дію. Нові правила поширяться на всіх, хто працює з даними громадян ЄС. Неважливо, чи є у вас філії в Європі, де зареєстрована компанія і де вона обробляє дані. Головна умова-робота з даними європейців, отриманими на території Євросоюзу (в тому числі через Інтернет). Географія покриття документа-28 країн.
Що загрожує тим, хто не виконує вимоги
За недотримання принципів накладається штраф у розмірі від 10 до 20 мільйонів рублів або від 2 до 4% від річного обороту компанії.
Практика виконання рішень ЄС в РФ розвинена не дуже добре, тому навіть якщо Комісія ЄС накладе штраф на російську компанію, існує дуже маленька ймовірність реального виконання такого рішення. Але на території ЄС робота буде ускладнена. Подібне рішення може стати підставою для проведення щодо компанії перевірки вже російськими органами.
Що потрібно зробити прямо зараз
Компанії, що працюють з персональними даними, повинні максимально детально описати у себе на сайті, яку саме інформацію вони збирають про відвідувачів, для чого вони це роблять і як використовують надалі. Потрібно зробити більш явною форму дачі згоди. В поле для галочки» Я даю згоду на обробку своїх персональних даних » уточнити, на обробку яких персональних даних користувач дає свою згоду, зробити різні форми його дачі. Наприклад, в реєстраційній формі залишити згоду на обробку Пошти, номера телефону і т.Д., А згоду на обробку місця розташування зробити окремим спливаючим повідомленням.
Для вже наявних у вас клієнтських баз найкращим варіантом буде розсилка листів з проханням заново дати свою згоду на обробку залишених ними раніше персональних даних.
Де почитати більше по темі
Якщо у вас залишилися питання або ви хочете самостійно розібратися в темі — ми підготували кілька посилань з корисним матеріалом.
З офіційним текстом регламенту щодо захисту персональних даних можна ознайомитися тут . На сайті Єврокомісії також можна знайти цікаву інформацію про те, чому так важливо було розробити новий регламент: чим це добре для громадян ЄС, які вигоди отримає бізнес, і як нові правила допоможуть компаніям заощадити гроші, використовуючи єдиний закон у всіх країнах ЄС.