Что такое GDPR: основные принципы, каким требованиям защиты данных должен отвечать бизнес

12.06.2023

Дарья Картавченко

С постоянным развитием цифровых технологий и увеличением объемов сбора и обработки персональных данных возникают серьезные вопросы по конфиденциальности и защите личной информации пользователей. Чтобы ответить на эти вызовы, в 2018 году был введен Общий регламент о защите персональных данных (General Data Protection Regulation, GDPR). Если ваша организация продает товары или предоставляет услуги гражданам ЕС, вам необходимо соблюдать требований GDPR.

! Важно: правила GDPR распространяются на все компании, интернет-сайты, коммерческие и некоммерческие организации, прорабатывающие личную информацию граждан Евросоюза, независимо от места пребывания и проживания.

Кому важен General Data Protection Regulation уже сейчас?

Быстрый переход на работу в соответствии с регламентом GDPR требуется:

• софтверным компаниям, продающим программные продукты заказчикам из Европы;
• компаниям-субподрядчикам по обслуживанию европейских компьютерных систем и баз данных;
• продуктовым IT-компаниям, в том числе разработчикам мобильных приложений и игр;
• маркетплейсам и интернет-магазинам;
• коммерческим организациям, обслуживающим граждан ЕС: гостиницы, ресторанные комплексы и туристические компании;
• финансовым организациям, обслуживающим граждан Евросоюза (банки, венчурные фонды, валютные биржи);
• клиникам, медицинским центрам и лабораториям;
• логистическим и транспортным компаниям, предоставляющим услуги резидентам ЕС и т.д.

Что подразумевает регламент GDPR: какие данные защищает и как он влияет на защиту личных данных?

GDPR (General Data Protection Regulation) – это 99 статей, гарантирующих защиту данных граждан Евросоюза и предназначенных для компаний и организаций, занимающихся сбором и обработкой персональной информации.

В первую очередь следует отметить, что с новой системой защиты существенно расширилась трактовка понятия персональных данных.

Теперь персональные данные – это любая информация, касающаяся идентифицированного физического лица (субъекта данных), по которому прямо или косвенно можно его определить. К такой информации относится имя, онлайн-идентификатор и факторы, характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п.1 ст.4). Также к персональным данным относятся сведения, собранные автоматически: геолокация, IP-адрес, веб-браузер, тип устройства, поисковые запросы, сведения о посещаемых сайтах и публикации в соцсетях.

Кроме этого, представителям бизнеса следует разобраться еще в двух терминах – контроллер данных (data controller) и оператор данных (data processor). Различить их несложно – если ваша организация определяет цели хранения или обработки персональных данных, она является контроллером. Если организация сохраняет или обрабатывает эти данные от имени другой организации, она подпадает под определение «оператора данных». При этом одна компания может выступать в обеих ролях одновременно.

Следует также понимать, что GDPR регулирует также и осуществление компаниями мониторинга поведения субъектов данных. Например, отслеживание резидента ЕС в сети (в том числе использование cookies) или использование методов обработки данных для профилирования отдельных лиц, их поведения или отношения к чему-либо.

Основные принципы GDPR и их влияние на пользователей и компании:

• Законность и прозрачность

GDPR отмечает необходимость законности, справедливости и прозрачности обработки персональных данных. Это означает, что компании должны иметь законные основания для сбора и обработки данных, сообщать пользователям о целях обработки и собирать только необходимое количество данных.

• Ограничение целей обработки данных

Компании должны собирать персональные данные только для указанных целей. То есть компании не могут использовать данные, собранные для определенного задания, для другой цели без согласия пользователя. Этот принцип дает пользователям больший контроль над тем, как их данные используются.

• Минимизация обработки данных

Этот принцип означает, что компании должны обрабатывать необходимый объем персональных данных для выполнения определенных целей. То есть вы должны оценивать, какие данные необходимы для достижения цели и ограничивать сбор и сохранение излишней и ненужной информации. Для пользователей это уменьшает риск нарушения конфиденциальности и злоупотребления данными.

• Точность и актуальность данных

Компании должны обеспечить, чтобы данные были точными и обновлялись при необходимости. Благодаря этому пользователи имеют право на исправление неточных данных и могут потребовать обновления своих персональных данных в случае необходимости.

• Ограничение хранения данных

Этот принцип несколько связан с предыдущим, однако здесь говорится, что GDPR устанавливает ограничения по длительности хранения персональных данных. По регламенту компании не должны хранить данные дольше, чем это необходимо для достижения определенных целей. По истечении срока хранения данные должны быть удалены или анонимизированы.

• Конфиденциальность данных

Компании обязаны обеспечивать надлежащий уровень защиты персональных данных от несанкционированного доступа, потери или повреждения. Для этого используют, в частности, шифрование и анонимизацию данных.

Больше о требованиях GDPR – найдете по ссылке.

Какие права получает субъект данных в соответствии с регламентом GDPR?

Относительно своих персональных данных клиенты, сотрудники, деловые партнеры, подрядчики, учащиеся, поставщики и т.п. имеют следующие права:

• получать информацию об использовании своих данных;
• получать доступ к своим данным : необходимо предоставить физическим лицам доступ к хранящимся данным (например, предоставив доступ к учетной записи или другим ручным способом);
• требовать исправления своих данных : физические лица могут попросить вас исправить неточные данные;
• требовать удаления своих данных;
• требовать ограничения обработки данных: субъект данных может попросить вас скрыть свои данные или ограничить доступ к ним. Однако это право применяется только в отдельных случаях, например, если пользователь был неправильно проинформирован о целях сбора данных;
• просить о переносе своих данных: физическое лицо может попросить вас передать свои данные другой организации;
• отрицать : пользователь может запретить использование своих данных для разных целей, например для адресного маркетинга;
• требовать не подвергать свои данные автоматизированной обработке: в GDPR предусмотрены строгие правила использования данных для определения профилей людей и автоматизации решений на основе этих профилей.

Остались вопросы? Отвечаем на самые распространенные

Как определить, что веб-сайт отвечает требованиям GDPR?

Первый вопрос, который нужно себе задать: «Собираются ли персональные данные на сайте моей организации?» Например, на сайте организации может быть контактная форма, в которой запрашивается имя и адрес электронной почты. Если вы хотите отправлять электронные сообщения с рекламой, добавьте поле для флажка «подписаться» и информацию о целях использования данных. Только если получатель установит этот флажок, вы можете использовать персональные данные в маркетинговых целях.

Также отлично работает принцип доступности – вся полученная системой личная информация пользователя содержится в его аккаунте, и он имеет постоянный доступ к своим данным в личном кабинете. Так он может просмотреть, исправить или удалить персональные данные.

Моя организация находится вне Европы. Нужно ли соблюдать требования GDPR?

GDPR – это регламент, защищающий граждан ЕС. Если ваша организация сотрудничает с гражданами ЕС или вы надеетесь на это в будущем, вам необходимо придерживаться этого регламента. Кроме того, правила распространяются как на защиту граждан ЕС, проживающих в Европейском Союзе, так и на граждан ЕС, проживающих в другом месте.

Можно ли рассылать сообщения с рекламой старым клиентам?

Не все так просто. Сначала вы должны убедиться, что ваши клиенты, даже те, с которыми вы сотрудничали в течение многих лет, согласились на использование своих данных для маркетинга. Возможно, вы ранее получили согласие и у вас есть записи, подтверждающие это. Если это так, вы можете продолжать отправлять сообщения с рекламой. Если нет, вам необходимо получить согласие клиентов. Для этого, например, можно отправить сообщения вашим клиентам с просьбой перейти на ваш сайт и подтвердить обновленные правила использования данных.

Что будет в случае несоблюдения норм GDPR?

Вашему кошельку будет больно 🙁 Если серьезно, то за несоблюдение положений акта предусмотрены штрафы до 20 млн. евро или в размере 4% от годового дохода компании (в зависимости от того, какая сумма больше).

Выводы

Основные принципы регламента GDPR существенно изменяют отношения между пользователями и компанией. Для пользователей GDPR обеспечивает большую контролируемость их персональных данных, увеличивает доверие к компаниям и гарантирует защиту конфиденциальности. Для компаний это больше морока, ведь GDPR требует внедрения надлежащих мер безопасности, разработки политик конфиденциальности и обеспечивает ответственность за обработку данных.