Стоит ли бояться GDPR. Что стало известно о регламенте спустя месяц

Print Friendly, PDF & Email

27 апреля 2016 года Европейский парламент и Европейский совет приняли «Общий регламент по защите персональных данных» (англ.: General Data Protection Resolution). Обязательным к исполнению он стал в мае 2018 года. Крупные IT-компании начали массово рассылать уведомления об изменении политики конфиденциальности, а в интернете появилось много страшилок о GDPR.

Правовой консультант GeniusMarketing Глеб Манжура написал на своей Facebook-странице пост, в котором рассказал все, что нужно знать о регламенте: на кого распространяется его действие, в чем суть новых правил и как бизнесу адаптироваться под них. Публикуем материал с разрешения автора.

На кого распространяется действие GDPR?

Действие GDPR распространяется на все компании, которые работают с персональными данными граждан Европейского союза. Даже если сама компания учреждена за его пределами.

Новый регламент вступил в силу еще в мае 2016 года, но его применение началось только в мае этого года. Так бывает с любым нормативным актом.

Глеб Манжура, правовой консультант GeniusMarketing

Глеб Манжура, правовой консультант GeniusMarketing

Западная пресса начала писать о GDPR еще в 2015 году. Поэтому все, кого касается регламент, уже успели принять необходимые меры. Это крупные компании, которые работают с гражданами Евросоюза: интернет-компании, операторы связи, провайдеры, банки и перевозчики.

Если вы узнали о GDPR только сейчас – вероятнее всего, вас регламент не коснется

В чем суть новых правил?

GDPR регулирует сбор, обработку, хранение, передачу и защиту персональных данных граждан Европейского союза.

Согласно регламенту, персональными данными считаются сведения о человеке, которые позволяют его идентифицировать: имя, местоположение, контакты, предпочтения и онлайн-идентификаторы (cookie, IP).

Есть группа конфиденциальных данных, которые можно собирать, но нужно особо тщательно защищать: генетические и биометрические показатели, расовое и этническое происхождение, сексуальные предпочтения, политические, религиозные и философские взгляды.

GDPR значительно расширил права человека, данные которого собирают. У пользователя есть право знать, какую информацию о нем собирают, кто имеет к ней доступ, как долго и где она будет храниться. Также он может в любой момент потребовать ее удалить.

GDPR

Текст GDPR на сайте Евросоюза

Регламент обязывает собирать только те данные, которые необходимы в соответствии с заявленной целью. Например, интернет-магазину чайников не нужно знать политические взгляды и дату рождения клиента.

Теперь человек вправе требовать от того, кто владеет его данными, передать их третьей стороне («Принцип переносимости данных» в регламенте – ред.). Это что-то вроде предоставления приложению доступа к профилю соцсети для упрощенной авторизации.

Компании должны обеспечивать максимальную защиту персональных данных, а также уведомлять надзорные органы об их утечке в течение 72 часов.

GDPR – не угроза, а повод задуматься об уровне культуры и пересмотреть отношение к персональным данным

Регламент четко определяет процедуру получения письменного согласия пользователя на обработку данных. Если у человека не было возможности отказаться, это не считается согласием – уберите галочки по умолчанию под формами сбора данных.

Согласие ребенка на обработку его персональных данных должно сопровождаться одобрением родителей – добавьте в форму дополнительную галочку о том, что пользователь старше 16 лет.

В каких случаях можно ничего не делать?

Можете не думать о GDPR, если:

  • Ваша компания учреждена не в ЕС;
  • Вы не предлагаете товары и услуги жителям ЕС и не собираете их данные;
  • Ваш сайт не размещен в доменах первого уровня стран ЕС (вот список доменов – ред.);
  • Ваш сайт не содержит явное предложение жителям ЕС на их языке.

А если случайно попадется пара клиентов из ЕС?

Ничего страшного. GDPR регулирует только целенаправленный и систематический сбор информации. Если украинский, российский или казахский интернет-магазин получит персональные данные нескольких жителей ЕС, это не приведет к штрафу в 10 млн евро.

Что делать, если мою компанию это все же касается?

Следуйте принципам GDPR, находите уполномоченное частное лицо или фирму по защите персональных данных в Евросоюзе, которая несет солидарную ответственность за нарушения, обращайтесь к специалистам – проводите полный аудит процесса сбора, обработки и хранения персональной информации, вводите внутренние политики и главное – выполняйте их.

Отдельно взятая бумажка, составленная юристом, и новая политика конфиденциальности проблему не решат.

Чем грозит нарушение регламента?

В зависимости от серьезности нарушения, надзорный орган может применить разные наказания: от предупреждения и выговора до запрета на сбор и передачу персональных данных и штраф 10-20 млн евро (или 2-4% от глобального дохода компании).

Кто и как штрафует?

Пока это не очень понятно. Государства-участники ЕС должны изменить национальное законодательство и гармонизировать его с GDPR, а также разработать механизмы привлечения нарушителей к ответственности. Каждая страна учреждает надзорный орган, который следит за выполнением регламента и накладывает взыскание.

Страны, которые не входят в ЕС, должны принять дополнительные меры к обеспечению безопасности персональных данных. Но это очень долгий процесс.

Насколько реально получить штраф?

Вероятность получить штраф Роскомнадзора за отсутствие политики конфиденциальности на сайте гораздо выше, чем взыскание за нарушение GDPR.

Сложно представить, как именно можно исполнить в странах СНГ решение надзорного органа страны ЕС.

Гораздо проще признать любую страну СНГ «третьей страной, которая не обеспечивает надлежащей безопасности персональных данных», с последующим запретом передачи данных жителей ЕС в это государство.


Остались вопросы? Задавайте их в комментариях – постараемся на все ответить!

Недавно мы публиковали материал с советами руководителя Bigl.ua Андрея Здора о том, как продавать больше, чем конкуренты – прочитайте статью.

Кстати, совсем скоро у нас стартует мощнейший курс по комплексному Интернет маркетингу, где мы будем обучать как маркетологов, так и владельцев бизнесов, которые хотят разобраться в digital-маркетинге. Все подробности ниже, кликайте: