Регламент GDPR (General Data Protection Regulation) вступив в силу в травні 2018 року, що викликало небувалий ажіотаж у всіх сферах бізнесу, які так чи інакше стикаються з персональними даними. Втім, більшість панікерів «чують дзвін, та не знають, де він» і не дуже ознайомлені зі змістом закону. Ми вивчили нововведення і відповідаємо на найпопулярніші питання, пов'язані з новим регламентом щодо захисту даних в ЄС.
Що таке GDPR?
Регламент, що обмежує збір, зберігання і використання особистих даних користувачів в мережі Інтернет.
Для чого потрібен GDPR?
Для того, щоб громадяни ЄС могли контролювати використання своїх особистих даних в Інтернеті й управляти ними. Згідно з регламентом, кожен користувач має право знати, яка інформація про нього є у тій чи іншій компанії; як і з якою метою дані використовуються; хто має до них доступ; як вони були зібрані; чи використовується інформація для складання аватара користувача (наприклад, для персональної реклами).
Будь-яка людина тепер може зробити запит на отримання інформації про використання його даних. Відповідь компанія зобов'язана дати протягом трьох місяців в зручній для користувача формі.
Кого стосується закон?
Точної і конкретної відповіді на це питання немає. Так, і таке буває. Формулювання Регламенту GDPR дозволяє трактувати його по-різному. Одні правозахисники стверджують, що під дію закону потрапляють всі громадяни ЄС незалежно від того, в якій частині світу вони знаходяться. Інші – що регламент діє на всіх користувачів, що знаходяться на території ЄС, будь то громадянин або не громадянин Євросоюзу. Роз'яснити питання юристи зможуть не раніше, ніж через кілька місяців, коли накопичиться правозастосовна практика.
Чи потрапляє ваша компанія під дію правил GDPR?
Так, якщо серед ваших клієнтів є громадяни ЄС або ви маєте представництва своєї фірми на території Євросоюзу.
Принципові нововведення
- Компанія зобов'язана чітко повідомити клієнта про те, що його дані будуть зберігатися і аналізуватися. При цьому, слід роз'яснити, з якою метою ведеться збір та якої саме інформації.
- Користувач має право не погоджуватися на обробку своїх даних і в будь-який момент відкликати свою згоду.
- Користувач може скористатися правом на забуття і вимагати від компанії видалити всі дані про нього.
- На вимогу користувача компанія зобов'язана надати копії всіх наявних особистих даних в електронному вигляді для передачі їх іншій компанії.
Як це працює: наприклад, якщо людина користується одним сервісом по виклику таксі і хоче користуватися іншим сервісом, то для економії часу вона має право скопіювати свої дані з однієї компанії в іншу. - Компаніям заборонено збирати інформацію про расову та етнічну приналежність, стан здоров'я, релігію та політичні уподобання клієнтів.
- Компаніям заборонено збирати і обробляти інформацію, яка безпосередньо не стосується їх завданням і бізнесу. Зібрані дані повинні бути мінімально необхідними.
Що робити компаніям, щоб працювати в рамках GDPR?
Компанії зобов'язані легально збирати інформацію про своїх клієнтів і запитувати згоду на збір і обробку персональних даних. Наш сервіс допоможе це зробити за допомогою Форм підписки, в яких можна ввімкнути «Опцію згоди з правилами і умовами». Заповнюючи таку форму, користувач офіційно погоджується з політикою сервісу і довіряє вам свої дані.
Використовувати безкоштовні Форми можуть користувачі, зареєстровані в сервісі Mobizon. Детальніше про використання форм можна прочитати тут.
Що буде, якщо не дотримуватися регламенту?
Штрафи, прописані за недотримання регламенту, вражають. За порушення правил безпеки персональних даних - до 10 млн євро або 2% від річного доходу. За порушення основних прав користувачів, принципів обробки і передачі персональної інформації - до 20 млн євро або 4% від річного доходу. Втім, це не означає, що власникам невеликого бізнесу доведеться платити такі величезні суми. Виписка штрафів - крайній захід, якому передують попередження і вимоги видалити дані.
Особливі правила для дитячої аудиторії
Згідно GDPR на використання особистих даних дітей до 16 років згоду повинні давати їх батьки. Для того, щоб підтвердити дозвіл дорослих, регламент пропонує «докладати розумні зусилля з урахуванням наявних технологій». Як саме це робити - неясно. Якщо ваша цільова аудиторія - підлітки, без юридичної консультації не обійтися.
Хто стежить за дотриманням закону?
У кожній країні Євросоюзу є національні регулятори в області персональних даних – правозахисні організації, в які може звернутися будь-який громадянин ЄС, якщо вважає, що його права були ущемлені. Крім того, є і «верховний суд» - Європейська рада із захисту даних (European Data Protection Board — EDPB).
Регулятори служать посередниками між користувачами і компаніями, що використовують їх дані. У разі, якщо у користувача є претензії, від його імені вирішувати питання будуть національні регулятори або Європейська рада із захисту даних.
