Три года GDPR. Подробно объясняем, как он работает и что вам будет за нарушение

Все о защите персональных данных пользователей в 900 словах

26 мая 2021

Юлия Даниленко

Три года назад вступил в силу GDPR — регламент, определяющий принципы работы с персональными данными европейских пользователей интернета. GDPR вместе с CCPA — серьезная веха в истории защиты персональных данных, а также предмет головной боли для компаний, которые занимаются сбором данных. Уже в первый день действия GDPR Google и Facebook получили исков на общую сумму в $8,8 млрд.

Adsider рассказывает, что такое GDPR, с чем его едят и как его случайно не нарушить.
Что такое GDPR
Общий регламент защиты данных (General Data Protection Regulation, GDPR) — это законодательство, обеспечивающее защиту персональных данных лиц в пределах ЕС и Европейской экономической зоны, а также наказывающее за нарушение стандартов.

На 88 страницах регламента прописано, что понимать под понятием «персональные данные», кто имеет право собирать и обрабатывать эту информацию, согласно каким принципам прописываются права владельцев данных (то есть пользователей интернета), а также обязанности и ограничения для компаний, собирающих данные, и определяются наказания за нарушения.
Почему возникла потребность в GDPR
Право на защиту персональных данных закреплено в Европейской конвенции прав человека. Статья 8 Конвенции гласит: «Каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции».

Развитие технологий и появление интернета привели к тому, что появились новые способы сбора данных — для коммерческих нужд и не только. Чем более продвинутыми становились интернет-технологии, тем больше возникало рисков, связанных с вопросами конфиденциальности и выдачей персональной информации из-за недостаточной информированности, особенно с появлением соцсетей.

В 2011 году пользовательница Google из штата Массачусетс подала против компании иск, обвинив техногиганта в том, что он сканировал ее частную переписку.

В 2016 году скандал с Cambridge Analytica, когда манипулирования частными данными позволило повлиять на результат выборов в США, показал, что ситуация стала критической, а персональные данные пользователей нуждаются в защите как никогда.
Кого касается GDPR
Ваше местонахождение не имеет значения. Вы можете работать из США, Украины, Гватемалы или вообще управлять своей компанией с базы в Арктике — если вы собираете и обрабатываете данные граждан или резидентов ЕС, вы подпадаете и под GDPR.
Что будет, если его нарушить?
Если коротко, нарушать GDPR — очень дорого.

Есть два уровня штрафов. Первый, за менее серьезные нарушения, — это штраф на сумму до €10 млн или 2% глобального годового дохода компании за предыдущий финансовый год (если этот доход больше €10 млн).

Второй уровень штрафов — это €20 млн или 4% глобального годового дохода компании за предыдущий финансовый год.

Подробнее о том, за какие нарушения назначаются штрафы, можно прочитать на сайте регулятора.
Когда появился GDPR
GDPR вступил в законную силу ровно три года назад, 25 мая 2018-го, но основные принципы регламента прописали на четыре года раньше — в 2014-м.

Работа над созданием соответствующего законодательства началась еще в 1995 году, с принятием Директивы Европейского парламента о защите персональных данных.

Adsider собрал основные события в «жизни» GDPR.
1
2014
12 мая — Европейский парламент проголосовал за первую итерацию GDPR в первом чтении. 621 голос за и только 10 против, 22 воздержались.
2
2015
27 июля — Европейское надзорное бюро по защите персональных данных публикует рекомендации к финальной версии текста GDPR. Запуск мобильного приложения, в котором можно сравнить предложения Парламента, Комиссии и Совета Европы.
3
2016
15 декабря — Европейский парламент, Совет и Комиссия приходят к согласию относительно текста GDPR.
2 февраля — опубликован план действий по внедрению GDPR.
27 апреля — Евросоюз принимает GDPR.
24 мая — через 20 дней после опубликования в Официальном вестнике ЕС GDPR вступает в законную силу.
4
2017
10 января — Еврокомиссия предлагает два новых правила конфиденциальности и электронных коммуникаций и правил защиты данных, применяемых в учреждениях ЕС.
5
2018
6 мая — предложено Положение о защите персональных данных в учреждениях ЕС.
25 мая — с этого дня GDPR применяется к любой компании в мире, собирает и обрабатывает персональные данные граждан или резидентов ЕС.
Принципы GDPR
Компании, подпадающие под действие GDPR, обязаны соблюдать семь принципов защиты и ответственности:
1
Законность, честность и прозрачность.
2
Ограничения цели использования (использовать данные только с той целью, о которой вы сообщили пользователю).
3
Минимизация данных (не копить больше данных о пользователе, чем вам жизненно необходимо для работы).
4
Точность (вы должны сохранять точные и актуальные данные).
5
Ограничение хранения (собранные данные можно хранить только в течение времени, необходимого для достижения цели, с которой вы их собрали).
6
Конфиденциальность.
7
Ответственность (вы должны доказать, что придерживаетесь всех принципов GDPR).
Стоит отметить, что компания отвечает за обеспечение защиты данных, которые собрала о своих клиентах или пользователях, а следовательно, нести ответственность в случае, если к этим данным добрались хакеры, конкуренты или кто-то, кто не должен был иметь к ним доступа. Так же, если компания передала собранные данные третьей стороне без информированного согласия пользователя.
Информированное согласие
Согласие пользователя на сбор и обработку персональных данных также четко регулируется GDPR. Компания не может просто попросить «согласитесь на все, что мы будем делать с вашими данными».
1
Согласие пользователя должно быть добровольным, четким, информированным.
2
Запросы на согласие должны быть четко различимыми и прописанными понятным языком.
3
Пользователь имеет право отозвать согласие на обработку своих данных в любой момент.
4
Дети до 13 лет могут давать согласие только с разрешения родителей.
5
Вы должны сохранять документальное подтверждение полученного согласия на обработку данных.
Ключевые термины, которые надо знать
Персональные данные
это любая информация, которая позволяет напрямую или не напрямую идентифицировать пользователя. Это имена, email-адреса, а также местонахождение, национальность, пол, биометрические данные и тому подобное.
Обработка данных
любые действия с этими данными: сбор, запись, организация, хранение, использование.
Субъект данных
лицо, данные которого обрабатываются, например ваш клиент или пользователь.
Контроллер данных
лицо, принимающее решение, чем и как будут обрабатываться персональные данные. Владелец компании или лицо, отвечающее в компании за работу с данными пользователей.
Обработчик данных
третья сторона, которая обрабатывает данные от имени контроллера.
Читать дальше Ресурс 1