25 мая 2018 года Положение об общей защите данных Европейского союза (GDPR) вступило в стадию обязательного исполнения. Что повлекло за собой принятие нового закона и на кого он распространяется?
Содержание:
GDPR — что это?
GDPR, или Общее правило защиты данных, является новым законом о неприкосновенности частной жизни граждан Европейского союза, который подразумевает обновление и ужесточение требований к защите данных. Среди изменений в новых правилах было расширено определение персональных данных, а также сфера охвата закона.
В соответствии с GDPR, требования документа распространяются на любую компанию, которая продает продукты и предоставляет услуги лицам, проживающим в ЕС, даже если она не находится там территориально.
Определение того, какие именно компании попадают под действие Общего регламента защиты данных, является сложной темой. Многие эксперты немного запутались при исследовании применимости в соответствии с монументальным регулированием. Зачастую публикуется противоречивая информация о том, влияют ли положения GDPR на работу конкретной компании.
Что требует GDPR
Хотя Директива по защите данных применяется только к контроллерам данных, GDPR теперь применяется и к процессорам. Каждый из них обязан соблюдать определенные требования. Например, контроллеры данных теперь должны проводить оценки воздействия на данные (DPIA) и добавлять более тщательные методы получения согласия на сбор информации. Обработчики данных должны делать соответствующие записи, увеличивать меры безопасности для их защиты и уведомлять контроллеров о любых нарушениях, которые происходят. В некоторых случаях может потребоваться назначение сотрудника по защите данных (DPO) для контроля над стратегией обеспечения безопасности данных и соответствия требованиям регламента. Проще говоря, GDPR требует, чтобы пользователям была предоставлена полная информация о том, как обрабатываются их персональные данные.
Какие сайты должны соблюдать GDPR, а какие нет
Прежде чем перейти к требованиям, важно отметить, что приведенные ниже критерии применимы к организациям, даже если обработка персональных данных происходит за пределами ЕС.
Критерий 1: Если ваша компания, которая предлагает товары или услуги, независимо от того, требуется ли оплата субъекта данных, находится в ЕС.
Определение «предложение товаров и услуг» не является особо специфичным, если ссылаться на статью 3. В целом веб-сайты доступны по всему миру. Итак, будет ли это означать, что ваш бизнес по умолчанию предлагает товары и услуги гражданам ЕС? В одном из уточнений описывается представление о том, как это определение можно интерпретировать в соответствии с регламентом: веб-сайт, который просто доступен глобальной аудитории сам по себе, не является предложением товаров и услуг гражданам ЕС. Следовательно, сфера GDPR не распространяется на него. Однако существуют и дополнительные аспекты для рассмотрения.
Организации могут продемонстрировать «намерение предлагать товары и услуги» гражданам ЕС при следующих обстоятельствах:
- организация предоставляет возможность взаимодействовать с веб-сайтом на родном языке и валютой государства-члена ЕС;
- организация рекламирует своих клиентов или пользователей (т. е. размещает отзывы), которые основаны в союзе с целью обращения к другим пользователям в одной и той же местности.
Ниже представлена наглядная схема для определения, какие компании и сайты попадают под сферу деятельности GDPR, принятого 25.05.2018:
GDPR: политика конфиденциальности
В начале лета текущего года пользователи различных приложений и программ начали массово получать сообщения об изменении политики конфиденциальности. Это происходит в рамках принятия GDPR.
Важно помнить, что, в соответствии с GDPR, необходимо сообщать клиентам о проводимых процедурах сбора и обработки данных таким образом, чтобы информация была краткой, прозрачной и максимально понятной.
Имея информативную, подробную и удобную для пользователя политику конфиденциальности и систему уведомлений о конфиденциальности, можно легко удовлетворять требованиям GDPR.
Проще говоря, политика конфиденциальности — это то, где вы сообщаете своим пользователям:
- какую личную информацию вы собираете;
- как и почему вы ее собираете;
- как вы ее используете;
- как вы обеспечиваете ее безопасность;
- какие третьи стороны могут иметь к ней доступ;
- если вы используете файлы cookie;
- как пользователи могут контролировать любые аспекты этого процесса.
Обычно политика конфиденциальности — это длинные юридические соглашения с подробной информацией. Очень редко пользователи дочитывают их до конца. GDPR требует того, чтобы такой документ был максимально простым, кратким и понятным.
Почему многие компании прекратили работу из-за GDPR
Несмотря на то что закон был принят совсем недавно, руководство некоторых компаний решило, что соответствовать всем требованиям положений будет крайне сложно. Они просто прекратили свою деятельность. К таковым относятся сайты онлайн-игр Super Monday Night Combat и Loadout. Прежде всего, администрацию компаний напугали предстоящие затраты на изменение проекта для приведения его в соответствие с требованиями нового регламента.
Однако не только порталы компьютерных онлайн-игр попали под удар. Закрылись и сайты, предназначенные для хранения данных пользователей, такие как сервис проверки биографических данных PICOPS.
Серьезно пострадали и рекламные биржи, размещающие онлайн-рекламу по технологии программатик. Крупные компании, такие как Google, ограничили инструментарий для размещения пользователями платформы рекламы.
Источник: