Сьогодні, 25 травня, набуває чинності GDPR — Європейський регламент Про захист персональних даних. Саме тому поштові скриньки переповнені повідомленнями із заголовком Про «зміни в політиці приватності». Що відтепер зміниться для інтернет-користувачів і компаній — читайте.
У 2016 році Євросоюз вирішив уніфікувати норми у сфері захисту персональних даних. Крім цього-посилити контроль громадян ЄС над тим, хто, чому і як розпоряджається їх персональними даними. А ще, розширити сам перелік того, що можна вважати ПД.
Так з’явився загальний регламент Про захист персональних даних, він же General Data Protection Regulation (GDPR). Він набув чинності не відразу. Бізнесу дали два роки, щоб підготуватися до впровадження та дотримання норм закону. Наприклад, змінити внутрішні політики компаній, Політики конфіденційності та користувацькі угоди. Також слід було проінструктувати співробітників про те, як збирати і зберігати Персональні дані законно і безпечно.
День Х настав — 25 травня GDPR вступає в силу.
Але співвітчизники все ще дивуються, яке відношення до них має закон Євросоюзу. Давайте розберемося.
Хто під загрозою
Закон виділяє три категорії «жертв».
До першої відносяться організації, безпосередньо засновані в ЄС і збирають персональні дані європейців. Тут все просто. Компанії, засновані в ЄС (незалежно від того, де фактично розташований їх офіс), збираючи персональні дані громадян Співдружності, зобов’язані дотримуватися GDPR. Хто з українців потрапив у цю категорію? Ті, хто заснував бізнес в одній з країн Євросоюзу. Впевнена, таких чимало.
У другій категорії-організації, що продають товари і послуги громадянам ЄС. Бізнес може не бути заснований в ЄС, але обслуговувати європейських громадян. Напевно, серед читачів знайдеться чимало тих, хто володіє, скажімо, онлайн-магазином. Якщо клієнт-громадянин ЄС, ваша компанія зобов’язана дотримуватися норм GDPR. Сюди також відносяться онлайн-сервіси, які приймають в якості оплати Євро, підтримують одну з офіційних мов Євросоюзу або мають домен держави-члена ЄС.
Третя категорія-організації, які здійснюють моніторинг поведінки громадян ЄС. Це дата-центри, що вивчають переваги для відбору потенційних покупців.
Таким чином, якщо ваш бізнес:
- Запускає таргетовану рекламу;
- Реалізує товари та послуги громадянам ЄС;
- Приймає оплату в Євро;
- Моніторить переваги потенційних покупців з ЄС;
- Зареєстрований в одній з юрисдикцій Євросоюзу.
У всіх цих випадках, ваш прямий обов’язок — дотримуватися GDPR.
Як все влаштовано
Напевно, багато хто за останні дні отримували email-повідомлення від сервісів, в яких зареєстровані. Twitter, Instagram, Uber, Google та інші попереджають користувачів про зміни політики конфіденційності.
Для громадян це означає більший захист їхніх персональних даних. Для онлайн-платформ-посилення відповідальності за незаконну обробку даних або неотримання згоди громадян на таку обробку.
Згода в даному випадку-та сама галочка, яку ставить користувач, коли дає дозвіл на обробку даних. Існує одне «але»: загальної згоди тепер недостатньо. Відтепер власник платформи зобов’язаний отримувати згоду особи для кожної мети збору та обробки даних. Якщо особа передумає-має право таку згоду відкликати. В такому випадку його дані повинні бути видалені з системи. GDPR також встановлює право особи запросити інформацію про те, хто, з якою метою, на який термін і як збирає його персональні дані.
Ще GDPR ввів новий суб’єкт захисту ПД — так званих обробників даних (data processors). Раніше під дію Закону підпадали тільки data controllers, тобто організації, які розпоряджаються тим, які дані і для чого можуть бути зібрані. Це і власники онлайн-майданчиків, і дата-центри, і організації, що займаються збором і аналізом інформації.
Тепер же до відповідальності за порушення закону будуть залучати не тільки керівництво, але технічних фахівців, які безпосередньо проводять збір і зберігання ПД. Іншими словами, це співробітники бізнесу-IT-відділ, бухгалтерія, відділ кадрів і т.Д. Ось чому важливо не тільки проінструктувати працівників, а й переконатися, що дані, які вони збирають, обробляються законно і надійно.
Чому це небезпечно
Впевнена, ви чули про скандал навколо Cambridge Analytica. Ця приватна британська компанія займалася тим, що збирала дані користувачів, аналізувала їх і передавала для використання у виборчих компаніях. Їх дані незаконно (тобто, без їх згоди) зібрали і застосували для передвиборної кампанії Дональда Трампа. Іншими словами, Cambridge Analytica проаналізувала поведінку і переваги громадян і визначила потенційних виборців президента США.
Facebook зажадав від Cambridge Analytica видалити відомості. Проігнорувавши вимогу (вірніше, збрехавши про видалення), компанія разом з Facebook, який допустив розміщення такого тесту у себе на платформі, порушила закон і права на захист персональних даних. Згодом Марк Цукерберг звітував перед обома Палатами американського парламенту і Європарламентом, пообіцявши посилити правила збору даних користувача.
Приклад показує, як важливо іноземним онлайн-майданчикам дотримуватися закону ЄС. По суті, найбільша світова соцмережа стала жертвою власної необережності. Тепер таку помилку не повинні допустити ви.
Чим загрожують порушення
Новий закон страшний санкціями і передбачає дві категорії штрафів.
За порушення основних принципів міжнародної передачі персональних даних, наказів національних регуляторів держав-членів ЄС, передбачений штраф в 20 млн євро або 4% від глобального обороту компанії. На жаль, це означає, що порушник заплатить ту суму, яка в підсумку буде більше.
За більш «дрібні» порушення-санкції легше. А саме, 10 млн євро або 2% від глобального обороту. Заплатити доведеться, наприклад, за неотримання згоди дітей на обробку ПД (таку згоду За осіб молодше 13 років дають батьки), невжиття заходів для захисту даних або непризначення в ЄС так званого DPO. Data protection officer-громадянин ЄС, який повинен представляти вашу організацію в Євросоюзі і бути сполучною ланкою між бізнесом і наглядовими органами ЄС. Його призначення-обов’язкова умова Закону.
