Чи варто боятися GDPR? Що стало відомо про регламент через місяць

Print Friendly, PDF & Email

27 квітня 2016 року Європарламент та Європейська рада ухвалили Загальний регламент(и) про захист даних : General Data Protection Resolution). Вона стала обов'язковою у травні 2018. Великі ІТ-компанії почали відправляти повідомлення про зміни в політиці конфіденційності, і є багато історій жахів про GDPR в Інтернеті.

Юридичний консультант GeniusMarketing Гліб Манжура написав на своїй сторінці у Facebook пост, в якому розповів про регулювання все, що потрібно знати: до кого воно застосовується, в чому суть нових правил і як бізнес може підлаштуватися під них. Ми публікуємо матеріал з дозволом автора.

Хто покриває GDPR?

GDPR застосовується до всіх компаній, які працюють з персональними даними громадян Європейського Союзу. Навіть якщо сама компанія створена за її межами.

Новий регламент набув чинності 2016 травня, але його застосування почалося лише в травні цього року. Це стосується будь-якого Регламенту.

Гліб Мандюра, юридичний консультант, Геніумаркетинг

Гліб Мандюра, юридичний консультант, Геніумаркетинг

Західна преса почала писати про GDPR ще в 2015. Тому всі, хто стосується Регламенту, вже вжили необхідних заходів. Це великі компанії, які працюють з громадянами ЄС: Інтернет-компанії, оператори зв'язку, постачальники, банки та перевізники.

Якщо ви тільки знаєте про GDPR зараз, ви, імовірно, не вплине на правила

Які нові правила?

GDPR регулює збір, обробку, зберігання, передачу та захист персональних даних громадян Європейського Союзу.

Згідно з положеннями, персональні дані вважаються інформацією про особу, яка дозволяє йому ідентифікувати: ім'я, місцезнаходження, контакти, уподобання та онлайн-ідентифікатори (cookie, IP).

Існує Група конфіденційних даних, які можуть бути зібрані, але повинні бути захищені дуже ретельно: генетичні та Біометричні індикатори, расових і етнічних верств, сексуальні уподобання, політичні, релігійні та філософські погляди.

GDPR значно розширив права людини, яку він збирає. Користувач має право знати, яку інформацію про нього збирає, хто має доступ до нього, як довго і де він буде зберігатися. Він також може вимагати, щоб він був видалений в будь-який час.

GDPR

Текст GDPR на веб-сайті ЄС

Положення зобов'язує збирати тільки ті дані, які необхідні відповідно до заявленої мети. Наприклад, Інтернет-магазин чайник не потрібно знати політичні погляди і дату народження клієнта.

Тепер людина має право вимагати від того, хто володіє його даними, передати їх третій особі («Принцип переносимості даних» в нормативних актах – ред.). Це трохи спосіб надання програмі доступу до профілю в соціальній мережі для спрощеного авторизації.

Компанії повинні забезпечувати максимальний захист персональних даних, а також повідомляти керівників їх витоку протягом 72 годин.

GDPR не є загрозою, а привід думати про рівень культури і переглянути відношення до персональних даних

Положення чітко визначає порядок отримання письмової згоди користувача на обробку даних. Якщо людина не мала можливості відмовити, вона не вважається згодою-зніміть за замовчуванням кліщі під форми збору даних.

Згода дитини на обробку своїх персональних даних повинна супроводжуватися затвердженням батьками-додати у форму додатковий галочку, що користувачеві більше 16 років.

Коли я можу нічого не робити?

Ви не повинні думати про GDPR, якщо:

  • Ваша компанія не створена в ЄС;
  • Ви не пропонуєте товари та послуги жителям ЄС або не збираєте їх даних;
  • Ваш сайт не розміщений в доменах першого рівня країн ЄС (ось список доменів – ред.);
  • Ваш сайт не містить явних пропозицій для жителів ЄС на їх мові.

Що робити, якщо пара клієнтів ЄС трапиться зустріти?

Це не велика справа. GDPR регулює тільки цілеспрямовану і систематичну збір інформації. Якщо Український, російський або Казахський Інтернет-магазин отримує особисті дані декількох жителів ЄС, це не призведе до штрафу в 10 000 000 євро.

Що робити, якщо моя компанія все ще стурбований?

Дотримуйтеся принципів GDPR, знайдіть уповноваженого індивідуального або фірми з захисту даних у Європейському Союзі, який є відповідальним за порушення, контактні спеціалісти-проводять повний аудит збору, процесу обробки та Зберігайте особисту інформацію, вводимо внутрішню політику і найголовніше-Слідуйте за ними.

Окремий документ, складений адвокатом і новою політикою конфіденційності, не вирішить проблему.

Що таке ризик порушення правил?

Залежно від серйозності порушення Наглядовий орган може застосовувати різні штрафи: від попередження і догану до заборони на збір та передачу персональних даних і штраф у розмірі 10-20 млн євро (або 2-4% від глобального доходу компанії).

Хто і як штрафи?

Це ще не дуже ясно. Держави-члени ЄС мають змінювати національне законодавство та гармонізувати її з GDPR, а також розробляти механізми, що мають порушникам правосуддя. Кожна країна встановлює орган нагляду, який контролює дотримання нормативних актів і накладає штрафи.

Країни, які не є членами ЄС, повинні вжити додаткових заходів для забезпечення безпеки персональних даних. Але це дуже довгий процес.

Наскільки реалістичним є те, щоб отримати штраф?

Роскомнадзор набагато більше шансів отримати штраф за відсутність політики конфіденційності на сайті, ніж штраф за порушення GDPR.

Важко уявити, як рішення контролюючого органу країни ЄС можна реалізувати в країнах СНД.

Це набагато легше визнати будь-яку країну СНД як «третю країну, яка не забезпечує адекватної безпеки персональних даних», після чого заборона на передачу даних мешканців ЄС до цієї держави.


Чи залишилися питання? Розпитайте їх у коментарях – ми постараємося відповісти на все!

Нещодавно ми опублікували статтю з порадами глави Bigl.ua Андрія Здора про те, як продати більше конкурентів – читайте в статті.

До речі, зовсім скоро ми розпочнемо потужний курс з інтегрованого інтернет-маркетингу, де будемо навчати і маркетологів, і власників бізнесу, які хочуть розібратися в цифровому маркетингу. Всі подробиці нижче, натисніть: