Персональные данные называют «золотом двадцать первого века». Компании охотятся за любой информацией, предоставляемой пользователями. Делается это с целью собрать, обработать, сохранить и продать данные. Потребители онлайн-услуг оказались в ситуации, когда они вынуждены беспрекословно предоставлять информацию о себе. Однако такое положение дел в Европе не устраивало борцов за потребительские права, потому они инициировали принятие нового законодательного акта — Общего регламента о защите данных от 25 мая 2018 года. Что представляет собой законопроект и как он повлияет на простых пользователей?
Что такое персональные данные?
Это любая информация, которая позволяет идентифицировать человека. Это может быть его изображение, адрес, телефон, биометрические данные, этническая принадлежность, религиозные или даже философские убеждения.
Что такое GDPR?
Общий регламент о защите данных или General Data Protection Regulation (GDPR) — это постановление Европейского союза, разработанное и одобренное Европарламентом с целью защитить персональные данные всех граждан европейских стран. Регламент вступил в силу 25 мая 2018 года
Особенностью GDPR является экстерриториальность: его действие не ограничено только Европой. А потому учитывать принципы Регламента обязаны фактически все компании, предоставляющие онлайн-услуги и собирающие персональные данные своих пользователей. Ведь в любой момент их клиентом может стать гражданин одной из 28 стран Евросоюза.
Каковы основные принципы GDPR?
Общий регламент о защите данных строится на семи принципах, которые определяют права пользователя и обязанности компании, собирающей персональные данные. Вот они:
- Законность, справедливость и прозрачность. Пользователь должен понимать, для какой цели он или она предоставляет свои данные. В обязанности компании входит подробно и максимально доходчиво объяснить, зачем собираются данные, где они будут храниться, для чего использоваться. Предоставить данную информацию необходимо не маленьким шрифтом, а непосредственно объяснив пользователю что, где и как.
- Конкретные и ограниченные цели. Компании теперь не могут собирать данные «просто так, а вдруг пригодится». Если компания интересуется, например, адресом, полом, IP-адресом или же мировоззрением пользователя, то ее представители должны доходчиво объяснить, зачем им необходима эта информация. Этот принцип безоговорочно утверждает — конкретные данные собираются под конкретные цели.
- Минимум информации. Можно сказать, что данный принцип дополняет предыдущий. С целью маркетинговых исследований или в других корыстных интересах компания может постараться «вытянуть» из пользователя максимальный объем данных. Но, в соответствии с принятым регламентом, компания не имеет право собирать «излишки» информации. Например, если вы покупаете билет на поезд, то нет нужды предоставлять информацию о вашей семье, религиозных убеждениях, степени образованности и как-то иначе содействовать маркетинговым исследованиям перевозчика. Данных непосредственно удостоверяющих вашу личность должно быть достаточно.
- Точность. Определенные требования регламент выдвигает и в отношении пользователя. Данные должны быть представлены таким образом, чтобы они трактовались только однозначно. Нельзя, например, на вопрос женаты вы или нет отвечать «не признаем светские устои и вступили в космический брак».
- Ограничение сроков хранения данных. Как мы уже писали, информацию и данные иногда называют «золотом двадцать первого века». По этой причине компании стараются как можно дольше сохранять базы данных своих клиентов. В соответствии с GDPR данные могут храниться только с определенной целью. Как только цель достигнута, данные должны быть удалены, если с пользователем не оговорены другие условия хранения персональных данных. Например, если вы купили билет и совершили поездку, то компания перевозчик может предложить вам сохранить персональные идентифицирующие данные. Чтобы, например, упростить регистрацию в случае следующей поездки. Но вы имеете полное право отказаться. Тогда компания должна удалить все ваши данные из своих базы.
- Целостность и конфиденциальность безопасности. Компания несет полную ответственность за сохранение данных. Данные не могут быть переданы третьим лицам. В случае потери или кражи данных в течение 72 часов компания обязана уведомить клиента. Пользователи имеют право получить полную информацию обо всех мерах, применяемых для защиты их данных. И сами решить — доверять компании информацию о себе или нет.
- Подотчетность. Конечно же за выполнением всех этих принципов должен кто-то следить. Так что на рынке труда появится новая ответственная и высокооплачиваемая должность контролера данных или data protection officer. В его обязанности входит не только взаимодействие с клиентами, но и информирование специального органа о любых несоблюдениях регламента.
За нарушение положений Регламента компания должна будет заплатить штраф в размере от 10 млн евро до 4% годового оборота
Что еще интересного предлагает GDPR?
Регламент является фундаментальным соглашением по защите данных пользователей, сравнимый по своему статусу с конституцией. Разработчики старались учесть все положения и возможные спорные ситуации. Получилось ли это — покажет время, но уже сейчас мы можем отметить некоторые «необычные» места. Например, «возраст ответственности», достигая которого человек получает право предоставлять свои персональные данные. Тут разработчики предложили решать каждому государству самостоятельно, задав условную планку в 13-16 лет. Непонятно, как при таком диапазоне действовать компаниям, учитывая экстерриториальный характер регламента. Пока очевидно только, что дети до 13 лет не имеют право предоставлять свои персональные данные.
Кстати, GDPR наделяет пользователей новыми правами. Например, правом на забвение (right to be forgotten) и правом на переносимость данных (right to data portability). Право на забвение непосредственно связано с принципом ограничения сроков хранения данных. Так, в случае отказа от услуг компании пользователь может потребовать удаления всех персональных данных и это требование должно быть моментально выполнено.
Право на переносимость данных также должно упростить жизнь пользователя. Оно предполагает, что компания обязана по запросу предоставить своему клиенту бесплатную электронную копию его или ее персональных данных. Зачем это нужно? Например, чтобы воспользоваться услугами другой компании. Мы можем просто запросить электронную копию своих данных и переслать ее, сэкономив тем самым время.
Как введение GDPR отразится на пользователях не из ЕС?
Как мы уже отмечали, Регламент является экстерриториальным. Так как до предоставления персональных данных компания не будет знать, является пользователь гражданином Евросоюза или нет, то разумным будет включить принципы GDPR в работу с любым клиентом. Кроме того, Регламент задает марку новым законодательным инициативам, касающимся персональных данных. Вполне возможно, что в скором времени многие государства пересмотрят свой правовой подход в данной области. Например, разные страны могут разрабатывать свои новые законы о персональных данных с ориентиром на GDPR. Так что, если вы пользуетесь услугами крупных компаний, которые ориентированы на мировой рынок и которым есть, что терять — будьте уверены, GDPR будет защищать и ваши интересы.