Завтра все изменится: Обезличенные данные, высокие штрафы, новые правила управления персональными данными
  • Главная
  • Блог
  • Завтра все изменится: Обезличенные данные, высокие штрафы, новые правила управления персональными данными
Завтра все изменится: Обезличенные данные, высокие штрафы, новые правила управления персональными данными

Данный материал посвящается всем, кто в последние 3-4 недели не читая правил быстро кликал “Я согласен” и “I agree”, лишь бы поскорее получить доступ в мессенджер, онлайн-сервис или почту, а потом все же решил ознакомиться с правилами.

25 мая 2018 в силу вступает новый Общий регламент по защите данных, или  GDPR (General Data Protection Regulation), которые касается не только всей Европы, но без исключения каждого сервиса, работающего с персональными данными граждан Евросоюза. Может показаться, что шумиха вокруг защиты персональных данных — прямое последствие скандала с Cambridge Analytica и незаконным использованием персональных данных из Facebook 50 миллионов американцев. Но это лишь от части правда. Принятие этого регламента было запланировано еще до того, как скандал с Cambridge Analytica запылал красным пламенем. 

 
Вам может показаться, что Регламент не коснется вашего бизнеса. Но если вы, например, бар или отель, который примет к оплате карты европейских гостей финала Лиги Чемпионов 24-27 мая, тогда точно касается.

До введения GDPR действовала директива, принятая еще в 1995 году. С тех пор не только много воды утекло, но и персональных данных слилось достаточно.

Полный текст нового регламента GDPR включает преамбулу на 150 пунктов, а основные положения документа изложены в 99 статьях. Даже разработчики поняли, что мало кто станет читать полный текст регламента и создали краткую выжимку на официальном ресурсе. Но так  GDPR вступает в действие уже завтра, а с нововведениями люди знакомятся в последний момент — ресурс благополучно лег и  не думает подниматься. И здесь на помощь спешим мы. 

САМЫЕ ВАЖНЫЕ ОТЛИЧИЯ НОВЫХ ПРАВИЛ: КОРОТКО И ПО СУТИ 

  1. Само понятие персональных данных получило новое прочтение. В тексте документа используется слово «идентификатор» — то есть любой тип данных, при помощи которых можно прямо или косвенно идентифицировать личность. К идентификатору могут относиться не только имя и местоположение, но и физические, физиологические, экономические, генетические, ментальные, культурные, социальные факторы, определяющие личность.

  2. Процессоры и контроллеры — две категории субъектов, принимающих участие в обработке персональных данных. Контроллеры — это те, кто ставит цели и определяет средства обработки данных. Процессоры — кто непосредственно собирает, обрабатывает данные. Раньше вся ответственность лежала на контроллере, теперь она в равной мере лежит на обоих участниках процесса. Например, в нашумевшей истории с Cambridge Analytica Фейсбук был лишь процессором. По новому закону, он несет полную ответственность и будет виновен.

  3. Действие нового регламента будет распространяться далеко за пределы ЕС и коснется КАЖДОЙ мировой организации, которая в той или иной мере получает и обрабатывает личные данные граждан ЕС в связи с продажей товаров и услуг, либо осуществляет наблюдение за поведением граждан.

  4. Очень высокие штрафы за нарушение Регламента. В зависимости от типа нарушения правил GDPR, компанию могут оштрафовать до 20 миллионов евро или до 4% от оборота всей компании.

  5. Введено понятие “обезличенные данные”, и маркетологи могут выдохнуть. Когда вы собираете данные о своей ЦА и ее общих характеристиках — это обезличенные данные. Обезличивание данных дает определенную свободу согласно новому регламенту (по старым правилам разницы между обезличенными и персональными данными не было).

  6. Если вы как контроллер или процессор не находитесь на территории ЕС, вам необходимо назначить на территории Евросоюза ответственное лицо — Data Protection Officer (DPO). Исключение из этого правила — если вы не обрабатываете специальные категории данных, изучаете данные эпизодически и в малых объемах.

  7. Оценка воздействия (Impact Assessment) — новая обязанность для компаний, которые хотят внедрить или опробовать новый способ обработка персональных данных.

  8. GDPR достаточно детально прописывает права субъектов персональных данных:  детализирован перечень информации, которую субъект (например, пользователь Фейсбука) может запросить; расширен список оснований для требования удалить часть персональных данных; описаны случаи, когда пользователь может ограничить обработку своих данных; он также может потребовать копию своих данных, передать их от одного контроллера к другому, а также сохранить на собственном устройстве.


ЧТО ДЕЛАТЬ ПРЯМО СЕЙЧАС
Компаниям, которые попадают под действие GDPR, следует как можно скорее ознакомиться со всеми нововведениям и подготовить письма клиентам с предложением принять новые правила. По хорошему, этим надо было заняться еще месяц назад, но и сегодня вы еще успеваете.

Сейчас можно найти консультантов, которые помогут вашему бизнесу быстрее адаптироваться к новым условиям. Также на некоторых ресурсах можно найти шаблоны новых пользовательских соглашений в соответствии с GDPR. Как говорится, если немного опоздать, можно оказаться первым.

ЗАКАЗАТЬ ВЫБРАННЫЕ УСЛУГИ
Выбранные услуги: