Безопасность информации — немного больная тема и компании по всему миру сейчас в спешке обновляют свои системы защиты и обработки персональных данных. И причина тому не только новые вирусы и уязвимости, но и новая резолюция ЕС, которая вступает в силу уже весной.
GDPR (он же ОРЗД, или “общий регламент по защите данных”) — законопроект, призванный защитить личные данные граждан ЕС от недобросовестных компаний по их обработке.
Зачем нужен GDPR
GDPR необходим, так как предыдущая резолюция ЕС на эту тематику датирована 1995 годом и не соответствует нынешним нормам. На практике, Директива о защите данных ЕС нагло эксплуатируется компаниями, которые собирают и обрабатывают личную информацию. Штрафы и наказания за недобросовестную обработку или утечку персональных данных сейчас ничтожно малы, а доказать сам факт преступления — невозможно. Кроме того, нет возможности удалить свои данные из баз обработчика — разве что обработчик сам предоставляет такую возможность.
Поэтому, 14 апреля 2016 Европарламент одобрил новый законопроект об обработке персональных данных. Закон увеличивает штрафы до 20 миллионов евро или 4% от годового оборота компании, в зависимости от того, что больше. Кроме того, доказать факт утечки теперь намного проще, а также есть универсальный способ удаления информации.
Но самое главное нововведение — доказательство необходимости обработки данных. Причем не конечному пользователю, а представителю Европарламента, который может потребовать ваш договор с конечным пользователем и очень расстроится, если тот окажется 10-страничной юридической болтологией. Цель обработки данных в договоре должна быть указана четко, а сам договор — быть простым и понятным. Иначе — штраф.
Закон унифицирует все юридические акты, связанные с защитой баз данных по всей Европе. По подсчетам ЕС, только этот фактор сэкономит почти 2,3 миллиарда евро в год, не говоря уже о штрафах, полученных от недобросовестных компаний.
Как GDPR поможет простым гражданам
По новому законодательству, у граждан будет намного больше контроля над использованием и хранением их персональных данных. Новые законы нацелены на повышение ответственности среди обработчиков информации и призваны продвигать этичные, законные и безопасные методы обработки информации. На практике, это значит:
- Право доступа: Когда GDPR вступит в силу, у пользователей будет возможность запросить полную копию их личной информации с серверов компании, абсолютно бесплатно. Также компания будет вынуждена объяснить механизмы обработки информации, а также с какой целью она обрабатывается.
- Право на забвение: При заполнении заявления об отзыве соглашения на обработку личных данных, а также доказательстве того, что личные данные больше не нужны компании-обработчику для изначальных целей их обработки, они будут удалены. Существуют ситуации, когда обработчик сможет подать апелляцию, но она возможна только если данные обрабатываются в интересах публики.
Как GDPR повлияет на компании
Все контроллеры и процессоры (определения ниже), которые обрабатывают личную информацию жителей ЕС, теперь обязаны иметь официального представителя в Евросоюзе, вне зависимости от того, где они сами находятся.
Компании также обязаны создать должность Директора по защите информации, который будет отвечать за соответствие политик компании GDPR. Также все утечки обязаны быть разглашены в течение 72 часов с момента их обнаружения.
В целом, GDPR затрагивает любой бизнес, который работает в Европе или с жителями ЕС.
Определения
Артикул 4 GDPR дает подробные определения всех участников и терминов в документе, но если вы не хотите читать юридический сленг, прочтите наше изложение ниже:
- Личная информация. Любая информация, которая позволяет определить личность пользователя. Начиная от политической направленности и заканчивая номером паспорта.
- Контроллер. Тот, кто определяет порядок обработки личной информации. Обычно — компания, на сайте которой вы заполняете анкету.
- Процессор. Тот, кто обрабатывает личную информацию. Обычно — одно лицо с контроллером, но иногда специализированная компания, работающая по контракту.
- Обработка. Любая операция с личной информацией пользователя.
А как же Брексит? Как GDPR повлияет на Британию
Хотя Британия и выполнила артикул 50 и вскоре покинет ЕС, она всё равно будут вынуждена принять GDPR. Это значит, что до окончания Брексита, Британия считается членом ЕС и её граждане имеют все соответствующие права. С другой стороны, британское правительство уже заявило о некоторых местных изменениях в законе. Например, граждане не смогут подать жалобу на обработчика анонимно, а для обработки данных британских граждан не будет нужен представитель в ЕС.
Читайте дальше: Как генерировать лидов в социальных сетях.