ВВП объяснил просто
Подробное руководство по GDPR, объясненное просто.
Что такое GDPR?
Общий регламент по защите данных (GDPR) — это комплексный закон о конфиденциальности данных, принятый Европейским Союзом (ЕС) и вступивший в силу 25 мая 2018 года. Он широко считается одним из самых жестких законов о конфиденциальности и безопасности в мире.
По своей сути GDPR призван предоставить физическим лицам (называемым «субъектами данных») больший контроль над своими личными данными и упростить нормативную среду для международного бизнеса за счет унификации регулирования в ЕС.
Почему был создан GDPR?
До появления GDPR Европа полагалась на Директиву о защите данных 1995 года. Однако быстрое развитие технологий и взрывной рост Интернета привели к тому, что огромные объемы персональных данных собирались, распространялись и монетизировались способами, которые старая директива не могла эффективно регулировать.
GDPR был введен для решения этих современных проблем, устанавливая четкие правила того, как организации должны обращаться с личной информацией, обеспечивая прозрачность и предусматривая строгие наказания за несоблюдение.
На кого распространяется GDPR?
Одним из наиболее важных аспектов GDPR является его экстерриториальный охват. Это касается не только предприятий, расположенных на территории ЕС. Это применимо к любой организации в любой точке мира, которая обрабатывает персональные данные физических лиц, проживающих в ЕС, при условии, что обработка связана с:
- Предложение товаров или услуг гражданам ЕС (даже если оплата не требуется).
- Мониторинг поведения граждан ЕС (например, посредством веб-отслеживания или профилирования).
Это означает, что компания, базирующаяся в Калифорнии или Токио, должна соблюдать GDPR, если она нацелена на европейских клиентов.
Ключевые принципы GDPR
Организации должны придерживаться семи основных принципов при обработке персональных данных:
- Законность, справедливость и прозрачность: Данные должны обрабатываться законно, справедливо и прозрачно по отношению к субъекту данных.
- Ограничение по целям: Данные должны собираться только для определенных, явных и законных целей и не подлежат дальнейшей обработке способом, несовместимым с этими целями.
- Минимизация данных: следует собирать только те данные, которые строго необходимы для достижения намеченной цели.
- Точность. Данные должны быть точными и актуальными. Неточные данные должны быть удалены или исправлены без промедления.
- Ограничение хранения: Данные следует хранить столько, сколько необходимо для достижения их цели.
- Целостность и конфиденциальность (Безопасность): Данные должны обрабатываться таким образом, чтобы обеспечить соответствующую безопасность, защищая от несанкционированного доступа, потери или повреждения.
- Подотчетность: Контроллер данных несет ответственность за соблюдение всех этих принципов.
Права физических лиц (субъектов данных)
GDPR предоставляет людям новые широкие права в отношении их личных данных:
- Право на информацию. Люди имеют право знать, какие данные собираются, почему они собираются и как долго они будут храниться.
- Право доступа. Физические лица могут запросить копию своих личных данных, хранящихся в организации.
- Право на исправление. Физические лица могут исправить неточные или неполные данные.
- Право на удаление («Право на забвение»): При определенных обстоятельствах отдельные лица могут потребовать удаления своих данных.
- Право на ограничение обработки. Физические лица могут потребовать, чтобы организация приостановила обработку их данных.
- Право на переносимость данных. Физические лица могут запросить свои данные в структурированном, широко используемом формате, чтобы передать их другому поставщику услуг.
- Право на возражение. Физические лица могут возражать против обработки их данных для конкретных целей, например для прямого маркетинга.
Согласие в соответствии с GDPR
GDPR значительно поднял планку получения согласия. Прошли те времена, когда заранее отмечались флажки или принудительные согласия были похоронены глубоко в 50-страничном документе с Условиями обслуживания.
Согласно GDPR, согласие должно быть:
- Дано бесплатно. У человека должен быть реальный выбор.
- Конкретно. Согласие должно быть дано для конкретной цели.
- Информирован. Человек должен знать, на что он соглашается.
- Однозначно: оно должно подразумевать четкие позитивные действия (например, активную постановку галочки).
Более того, люди должны иметь возможность отозвать свое согласие так же легко, как они его дали.
Цена несоблюдения требований
GDPR требует соблюдения существенных финансовых санкций. Организации, нарушающие правила, могут быть оштрафованы на сумму до 20 миллионов евро или 4% от их глобального годового оборота (дохода) за предыдущий финансовый год, в зависимости от того, какая сумма больше. Эти высокие штрафы подчеркивают серьезность, с которой ЕС подходит к конфиденциальности данных.
Заключение
GDPR представляет собой масштабный сдвиг в сфере конфиденциальности данных. Он возвращает власть в руки потребителей, требуя прозрачности и подотчетности от организаций, которые собирают и обрабатывают личную информацию. Несмотря на то, что соблюдение требований может быть сложным для бизнеса, GDPR установил глобальный стандарт, стимулируя принятие аналогичного законодательства во всем мире и выдвигая конфиденциальность на передний план цифровой экономики.