GDPR: все, что необходимо знать о регламенте по защите данных

Регламент GDPR – одна из самых обсуждаемых тем в европейской бизнес-среде. Все, что необходимо знать о новых правилах, специфике для российских компаний, а также влиянии на онлайн-проекты, читайте в статье от LoginCasino.

В апреле 2016 года Европейский совет и Европейский парламент утвердили «Общий регламент по защите персональных данных». Документ также стал широко известен как GDPR. Правила, регламентированные в документе, стали обязательными для выполнения в мае прошлого года. Принятие новых стандартов по защите личных данных спровоцировало всплеск активности компаний, которые стали массово уведомлять своих клиентов об изменении политики конфиденциальности.

Какие компании подпадают под действие GDPR? Все компании, которые используют данные граждан ЕС, вне зависимости от того, в какой стране учреждена фирма, обязуются следовать предписаниям регламента. Как правило, речь идет о крупных западноевропейских компаниях: операторах связи, провайдерах, банковских учреждениях и перевозчиках.

Целью создания регламента является урегулирование сбора, обработки, хранения, передачи и защиты персональных данных граждан ЕС.

Под персональными данными подразумеваются сведения, позволяющие идентифицировать личность человека: Ф. И. О., геолокация, контакты, интересы и предпочтения, а также онлайн-идентификаторы или IP.

Соответственно, существует информация, сбор которой не является запрещенным, однако при работе с подобными данными необходимо учитывать правила защиты. К такого рода данным относится происхождение человека (этническая и расовая принадлежность), сексуальная ориентация, генетические показатели, а также политические, философские и религиозные предпочтения.

GDPR является гарантом соблюдения прав человека, данные которого используются. Таким образом, пользователь или клиент становится осведомлен о том, какого рода информацией о нем владеет та или иная компания, может запросить удалить данные, а также имеет представление о том, кто именно владеет и распоряжается его личными данными.

Кроме того, регламент обязует компании к сужению спектра запрашиваемой информации согласно целям, которые преследуют фирма. Что это означает? Компании, которая занимается продажей бытовой техники, совершенно необязательно знать политические, философские или сексуальные предпочтения своих клиентов, поэтому данная информация, согласно новым правилам, не должна запрашиваться у клиентов.

Помимо того, что компании, работающие с данными граждан ЕС, обязуются бдительно защищать предоставленную им личную информацию, в случае утечки фирма должна сообщить об инциденте в органы надзора в течении 72 часов.

Формат соглашения, заключаемого с человеком, четко регламентирован правилами. Если компания составляет договор таким образом, что у пользователя нет возможности отказаться от навязанных условий, соглашение считается недействительным. 

Кроме того, если компания желает получить согласие на использование данных несовершеннолетних, помимо согласия пользователя, нужно разрешение родителей.

Зона действия GDPR

Обязательным для исполнения регламент является для компаний, которые базируются в странах ЕС, а также для всех предприятий, которые в процессе деятельности соприкасаются со сбором, обработкой или хранением личных данных граждан Европейского союза. Кроме того, международные онлайн-операторы, ориентированные на работу с клиентами из стран ЕС, также должны соблюдать предписания.

Обращаем внимание читателей на то, что ключевым в отношении соблюдения регламента GDPR является не то, в какой стране находится офис компании, и не то, какая юрисдикция выдавала лицензию, а место жительства клиентов, личными данными которых оперируют.

Под действие регламента попадают такие страны: Австрия, Болгария, Бельгия, Республика Кипр, Хорватия, Дания, Чехия, Финляндия, Эстония, Германия, Греция, Франция, Италия, Венгрия, Ирландия, Люксембург, Мальта, Литва, Латвия, Португалия, Нидерланды, Польша, Великобритания, Швеция, Словения, Испания, Словакия и Румыния. Кроме того, регламенту также подчиняются Россия и Украина.

Регламент GDPR затрагивает те украинские и российские компании, которые имеют филиалы в Европе или обрабатывают личную информацию пользователей ЕС.

Для соблюдения правил GDPR необходимо:

• уведомлять клиентов о том, что их личные данные собираются и хранятся;
• ставить пользователей в известность о том, какие именно данные были собраны;
• следить за соблюдением не только регламента GDPR, но и законов страны в отношении защиты личных данных;
• организовывать политику конфиденциальности компаний в соответствии с предписаниями.

Если российская или украинская компания работает с европейским рынком и обслуживает граждан ЕС, но при этом не запрашивает, не сохраняет и/или не передает данных, регламент выполняется в качестве вспомогательного правила.

Законодательство РФ в отношении защиты личных данных является довольно строгим и во многом вторит регламенту, поэтому проблемных ситуаций из-за применения закона страны и GDPR возникать не должно.

Влияние GDPR на разработку проектов

Регламент по защите данных оказывает сильное влияние на большинство онлайн-проектов, поэтому отправной точкой для любой компании является разработка грамотной политики конфиденциальности.

Наибольшее влияние GDPR окажет на блокчейн-проекты и рекламу в социальных сетях. Показательно, что, несмотря на то что регламент GDPR был создан для безопасности пользовательской информации, многие с радостью обменивают личные данные на скидки в социальных сетях. Кроме того, введение GDPR повлияло на работу гемблинг-компаний.

Итоги

GDPR – следствие закономерного развития интернет-индустрии, а также расширения прав человека. Ключевым для компании в проблематике соответствия ее деятельности GDPR является политика конфиденциальности. Компании, которые соблюдают нормы российского законодательства в отношении защиты личных данных, могут не переживать о соответствии правилам GDPR, так как законы не противоречат друг другу, а во многом вторят.

Напомним, что британская Ассоциация удаленного гемблинга (RGA) опубликовала руководство, призванное помочь лицензированным операторам выполнять обязательства в рамках Общего регламента по защите данных (GDPR).